7 aktualit k ochraně osobních údajů

Přijetí zákona o zpracování osobních údajů dospělo ke zdárnému konci

Parlament 12. 3. 2019 schválil návrh zákona o zpracování osobních údajů, který po nabytí účinnosti nahradí dosud účinný zákon č. 101/2000 Sb., o ochraně osobních údajů. Zákon byl 24. 4. 2019 vyhlášen ve Sbírce zákonů pod číslem 110/2019. Změnami, které zákon přináší, je například omezení výše pokut pro obce a jiné veřejnoprávní subjekty nebo vyloučení povinnosti provádět posouzení vlivu na ochranu osobních údajů u zpracování, která jsou prováděna při plnění zákonné povinnosti.

Nárůst stížností s ohledem na GDPR dle statistiky ÚOOÚ k listopadu 2018

Za období od 1. června do 1. listopadu 2017 ÚOOÚ evidoval celkem 770 stížností. Za téměř stejně dlouhé období od 25. května do 1. listopadu 2018, tedy bezprostředně po účinnosti GDPR, ÚOOÚ přijal celkem 1993 stížností. Byť v tomto počtu jsou zahrnuty také reakce stěžovatelů, dosáhl počet stížností dvaapůlnásobně vyššího počtu, než tomu bylo v předchozím roce.

Obchodní sdělení

Nejčastějším prohřeškem při zasílání obchodních sdělení je porušení povinnosti šířit obchodní sdělení elektronickými prostředky pouze současným zákazníkům nebo uživatelům, kteří k tomuto dali předchozí souhlas. Další časté porušení povinností pak představuje neuvedení funkční adresy, kam se může uživatel obrátit, když si nepřeje další zasílání obchodních sdělení. Dalším porušením povinnosti je neoznačení zprávy jako obchodního sdělení a nemožnost identifikovat odesílatele. Za takováto porušení povinností v souvislosti se zasíláním obchodních sdělení ÚOOÚ dosud uložil pokuty v rozmezí od 10 do 100 tisíc korun vzhledem k rozsahu a závažnosti porušení povinností.

Zpracování osobních údajů při používání hybridní pošty

Využívání hybridní pošty, tedy služby spočívající v tom, že Česká pošta zajistí pro odesílatele převedení dokumentů z elektronické do fyzické podoby a jejich odeslání, je také nutno považovat za formu zpracování osobních údajů. Jestliže tedy využíváte služeb hybridní pošty, je nutné mít s jejím poskytovatelem uzavřenou písemnou zpracovatelskou smlouvu.

Zveřejňování osobních údajů na internetu v tzv. klonech veřejných rejstříků

Při zveřejňování osobních údajů podnikatelů, které byly již odstraněny z veřejné části živnostenského rejstříku, dochází k nedůvodnému zásahu do práv těchto osob na ochranu jejich osobních údajů, proto musí být tyto údaje v tzv. klonech veřejných rejstříků průběžně aktualizované.

Zneužití osobních údajů zákazníků zaměstnanci

Bývalý zaměstnanec rozeslal hromadné e-mailové sdělení kontaktům z databáze společnosti. Následná kontrola však prokázala, že ke konkrétnímu případu zneužití osobních údajů zákazníků došlo tak, že bývalý zaměstnanec rozeslal hromadné obchodní sdělení na adresy, které si ponechal po ukončení svého pracovního poměru v rozporu s interními předpisy kontrolované osoby. ÚOOÚ toto vyhodnotil jako ojedinělý incident, kterému přes přijatá opatření kontrolovaná osoba nemohla zabránit.

Zabezpečení osobních údajů v aplikaci

ÚOOÚ řešil případ aplikace určené ke shromažďování názorů registrovaných uživatelů k určité aktuální problematice, z informací následně vytváří statistiky. Při registraci do aplikace je vyžadováno vyplnění údajů – e-mail, heslo, PSČ, pohlaví, věk, dosažené vzdělání. Tyto údaje nejsou technicky propojitelné s e-mailovou adresou po odeslání dotazníku, a nelze je proto přiřadit ke konkrétní osobě, nicméně v ojedinělých případech mohlo dojít k situaci, kdy by bylo možné konkrétní osobu identifikovat pouze na základě těchto informací. Z toho důvodu je provozovatele aplikace nutno považovat za správce osobních údajů.