Co přinese kontrolní plán ÚOOÚ pro rok 2025?

Kontrolní plán najdete zde.

1. Data z registrů: soukromý sektor pod drobnohledem

Úřad se zaměří na využívání údajů z registrů a informačních systémů veřejné správy ze strany soukromých subjektů – jako příklad takových subjektů ÚOOÚ zmiňuje banky a pojišťovny. Půjde zejména o kontrolu nezbytnosti zpracování těchto dat a plnění informační povinnosti vůči subjektům údajů. Už delší dobu platí, že subjekty s rozsáhlými datovými sadami – tzv. big data správci – jsou pod zvýšeným dohledem. Pro ty, kteří již v minulosti investovali do privacy nastavení odpovídajících interních procesů, pravděpodobně nepůjde o zásadní překvapení. Ostatní by měli zbystřit.

2. Sleva za souhlas: věrnostní programy v hledáčku

Další oblastí, na kterou se Úřad zaměří, je podmiňování poskytnutí slev souhlasem se zpracováním osobních údajů – např. v rámci věrnostních programů obchodních řetězců. Zkoumat se bude zejména právní titul zpracování a otázka, zda je souhlas skutečně svobodný. Téma rezonuje médii i odbornou veřejností delší dobu. Kontrola ze strany ÚOOÚ by tak mohla přinést potřebné vyjasnění pravidel a možná i širší impulz k diskuzi o tzv. „digitálním vyloučení“, tedy např. o tom, zda je třeba umožnit spotřebitelům čerpat jisté výhody i bez digitálních nástrojů a registrace.

3. Kamery v dopravě: technologie vs. soukromí

Pokračující trend instalace kamerových systémů v dopravních prostředcích bude podroben kontrole s důrazem na jejich nezbytnost a délku uchování záznamů. S poklesem cen a rostoucí technickou vyspělostí zařízení se zvyšuje riziko nadměrného zásahu do soukromí cestujících. Úřad bude pravděpodobně klást důraz na posouzení oprávněnosti a rozsahu záznamu i na naplnění informační povinnosti. Ne všichni dopravci totiž tyto povinnosti plní v plném rozsahu.

4. Marketing ze srovnávačů: kdo je (ještě) zákazník?

ÚOOÚ si posvítí i na rozesílání obchodních sdělení ze strany provozovatelů internetových srovnávačů. Podle znění kontrolního plánu půjde zřejmě o rozsáhlejší akci, která by mohla otevřít i otázky výkladu pojmu „zákazník“ a souvisejících právních vztahů v rámci přímého marketingu. Správci by měli revidovat své databáze, udělené souhlasy nebo rozesílku postavenou na oprávněném zájmu, a i samotný proces rozesílky obchodních sdělení.

Co dalšího ÚOOÚ chystá?

Kromě výše uvedeného se Úřad zaměří také na anonymizační standardy u žádostí dle zákona o svobodném přístupu k informacím, bude pokračovat v kontrolách zastupitelských úřadů v oblasti víz a obcí ve vztahu k Schengenskému informačnímu systému. Zapojuje se také do evropské koordinované kontrolní akce zaměřené na právo na výmaz. Podrobnosti zatím nejsou známy.

V tomto období navíc očekáváme zveřejnění výroční zprávy za rok 2024, která nabídne souhrn činností ÚOOÚ za minulý kalendářní rok a výhled na další vývoj.

Na co se připravit?

Správcům doporučujeme:

• zrevidovat právní tituly zpracování ve věrnostních programech,
• prověřit rozsah informací získávaných z veřejných registrů a způsob jejich použití,
• zkontrolovat nasazení kamerových systémů a způsob informování subjektů údajů,
• zhodnotit strategii rozesílání obchodních sdělení z pohledu právní kvalifikace příjemců.

Rok 2025 zřejmě vyzdvihne zásadní otázky o rovnováze mezi technologickým pokrokem, obchodním modelem a ochranou soukromí, resp. osobních údajů.