„Pokud se ohlédneme za uplynulým rokem, lze v této souvislosti konstatovat, že důležitost ochrany osobních údajů si uvědomuje stále více lidí, bohužel však často až v okamžiku, kdy se sami stanou obětmi jejího porušení,“ píše v úvodu výroční zprávy za rok 2021 předseda Úřadu pro ochranu osobních (ÚOOÚ) údajů Jiří Kaucký.
V úvodu tedy uvádíme základní čísla, díky nimž si čtenář udělá lepší představu o celoroční práci dozorového orgánu a která zároveň potvrzují Kauckého slova. Mimo to jsme pro vás ze shrnutí dozorové a rozhodovací činnosti ÚOOÚ za loňský rok vybrali nejzajímavější případy z oblastí relevantních pro náš obor.
Výroční zpráva v číslech
- 2 430 podnětů a stížností, z toho čtvrtina se týkala marketingu a desetina telemarketingu,
- skoro 300 ohlášení porušení zabezpečení osobních údajů (data breach), z nichž většina byla způsobena hackerskými útoky,
- zahájeno přes 50 kontrol,
- uloženo 40 pokut za porušení GDPR v celkové výši 3 526 000 Kč, přičemž nejvyšší pokuta (uložena za nesplnění uložených nápravných opatření) činila 2 miliony Kč,
- a 29 pokut v oblasti šíření obchodních sdělení, celkově v částce 2 901 000 Kč, nejvyšší z nich ve výši 600 000 Kč.
V případě obchodních sdělení šlo převážně o chybějící právní titul při rozesílání. Správní řízení se nejčastěji vedla ve věci nedostatečného plnění informační povinnosti a nedostatečného umožnění výkonu práv subjektů údajů.
Očkování proti covid-19
ÚOOÚ prověřoval situaci, kdy zaměstnavatel zjišťoval od zaměstnanců, zda jsou očkovaní proti covid-19, nemoc prodělali nebo mají negativní test (podmínil tím vstup na pracoviště), a vedl si o tom evidenci. Tuto činnost prováděl i v době, kdy mu nebyla taková povinnost stanovena předpisy. Údaje mazal po uplynutí 3 měsíců od skončení bezinfekčnosti. Zpracování opřel o § 102 odst. 1 zákona č. 262/2006 Sb., zákoník práce, a tam stanovenou povinnost vytvářet bezpečné a zdraví neohrožující pracovní prostředí a pracovní podmínky vhodnou organizací bezpečnosti a ochrany zdraví při práci a přijímání opatření k předcházení rizikům. Ministerstvo práce a sociálních věcí prezentovalo názor, že taková praxe je v souladu se zákonem stejně jako požadavek testování zaměstnanců i v době, kdy takovou povinnost nestanovilo mimořádné opatření (musí to však být upraveno v interních předpisech BOZP). ÚOOÚ to považuje za extenzivní výklad ustanovení a s MPSV dosud vede debaty na toto téma.
Věrnostní programy
ÚOOÚ v roce 2021 zaměřil část kontrol na prověřování věrnostních programů. Konstatoval pochybení u prodejců, kteří údaje o nákupu uchovávali po dobu 3 let. Tuto dobu shledal jako nepřiměřeně dlouhou (zejména i proto, že šlo o potravinářské nebo drogistické zboží). Navíc dodal, že osobní údaje týkající se nákupního chování jsou velmi cenné, protože teoreticky lze na jejich základě profilovat subjekty údajů za účelem zvýšení zisku. I z toho důvodu se na podobně rozsáhlá zpracování osobních údajů zaměřuje, a to předně z hlediska rozsahu zpracovávaných údajů, jejich užívání pouze k legitimním a jasně deklarovaným účelům, doby uchovávání a plnění informační povinnosti.
Zpracování osobních údajů na základě AML zákona
Na základě podnětů zahájil ÚOOÚ kontrolu u společnosti, která zpracovávala osobní údaje osob za účelem plnění povinností podle AML zákona, avšak v průběhu řízení konstatoval, že se nejedná o povinnou osobu ve smyslu AML zákona, a tedy nelze uplatnit právní titul dle čl. 6 odst. 1 písm. c) GDPR. Společnost namítala, že zpracování provádí na základě oprávněného zájmu třetích stran, které povinnými osobami ve smyslu AML zákona jsou. Námitky ÚOOÚ zamítl a kontrolované osobě uložil nápravná opatření, přičemž přestupkové řízení stále běží.
„Pokud zpracovatel v postavení vázaného zástupce ve své činnosti pochybí, konečnou odpovědnost za správné zpracování osobních údajů má správce, jímž je subjekt, v jehož prospěch vyvíjí činnost.“
(rozsudek NSS ze dne 7. října 2021, č. j. 7 As 146/2021-26, ve věci SMS finance, a.s.)
Společnost se proti právnímu názoru ÚOOÚ ohradila, že v rámci zpracování osobních údajů jejími vázanými zástupci vystupuje v pozici správce údajů. NSS konstatoval: „Vázaný zástupce oslovuje potenciálního klienta za účelem nabídnutí služeb zastoupeného, neboť právě v tom zprostředkování dle § 2 písm. e) zákona o distribuci pojištění tkví. Ani kasačnímu soudu není nadto zřejmé, z jakého důvodu by měly být zprostředkovatelské služby nabízeny ‚jen‘ jako takové (samy o sobě). Aby totiž mohl kdokoli nabízet své vlastní zprostředkovatelské služby, musí k tomu mít co zprostředkovávat.“
autorka: Mgr. Kateřina Grézlová
24. 6. 2022
Mohlo by vás také zajímat:
Výsledky kontrol Úřadu pro ochranu osobních údajů za první pololetí roku 2021
Novela AML zákona s dopadem na pojišťovnictví
Informační povinnost u neživotního pojištění na Slovensku se týká i českých poskytovatelů