Time is precious. Waste it wisely. (K. Bromberg)
Čas je drahá komodita. Ušetřila jsem ten váš, přečetla Výroční zprávu Úřadu pro ochranu osobních údajů (ÚOOÚ) za rok 2023[1] a vybrala z ní informace, které považuji za nejdůležitější pro profesionála v oblasti ochrany osobních údajů. Jednotlivá témata jsou rozdělena podle toho, zda se vztahují především ke zpracování v soukromém či ve veřejném sektoru nebo se uplatní plošně.
Soukromý i veřejný sektor
- Cookies[2]
Od změny relevantní právní úpravy[3] se ÚOOÚ poměrně intenzivně věnuje problematice cookies. Pro podrobnosti doporučuji kromě výroční zprávy též webové stránky ÚOOÚ[4].
ÚOOÚ shrnuje nejčastější pochybení v souvislosti s cookies: nahrávání cookies souborů do koncových zařízení uživatelů internetových stránek, a to bez jejich souhlasu ve smyslu § 89 odst. 3 zákona o elektronických komunikacích; nedostatky souhlasu se zpracováním osobních údajů; nedostatečné plnění informační povinnosti; nemožnost (či výrazné zkomplikování možnosti) odvolat souhlas se zpracováním osobních údajů prostřednictvím cookies; umístění možnosti volby pro „souhlas“ a „nesouhlas“ se zpracováním osobních údajů prostřednictvím cookies souborů do různých vrstev v rámci cookie lišty.
- Výkon práv subjektu údajů[5]
Zdaleka ne poprvé ÚOOÚ upozorňuje na důležitost práv subjektů údajů stanovených v GDPR[6] a zejména zdůrazňuje nutnost na žádosti subjektů údajů řádně reagovat. Důvodem chybných postupů správců je dle ÚOOÚ často nesprávné vyhodnocení podání, která jsou správcům doručována. Další upozornění pro správce pak směřuje k tomu, že je třeba v případě výmazu pečlivě zkoumat, zda správce vymazal data ve všech existujících databázích, které spravuje. Výslovně pak ÚOOÚ upozorňuje na pochybení, které spočívá v tom, že správci na žádosti subjektu údajů často nereagují, jednak u společenství vlastníků jednotek a dále u subjektů, které zasílají obchodní sdělení „klasickou“ poštou.
Výroční zpráva se zabývá též právem na přístup k osobním údajům v případě žádostí o kopii telefonické nahrávky. ÚOOÚ konstatuje, že je nutno poskytnout nahrávku v plném rozsahu, pokud obsahem jsou pouze osobní údaje týkající se žadatele a osoby, která jménem správce hovor vedla.[7] Pokud obsahuje nahrávka osobní údaje, které se netýkají žadatele, je třeba nahrávku upravit tak, aby tyto údaje nebylo možno vztáhnout k jiné fyzické osobě.
- Zpracovatelské smlouvy[8]
ÚOOU informuje o kontrolní akci zaměřené na zpracovatelské smlouvy uzavírané obcemi. V ní bylo posuzováno 22 zpracovatelských vztahů a ani jedna smlouva nebyla posouzena jako bezvadná.[9] Nejčastější pochybení se týkala opatření k zabezpečení osobních údajů, zapojení dalšího zpracovatele a umožnění auditů a inspekcí.[10] Úřad upozorňuje, že v těchto kontrolách pokračuje.[11]
V oblasti zpracovatelských smluv ÚOOÚ též posuzoval možnost zakotvit v rámci tohoto typu smlouvy smluvní pokutu. Došel přitom k závěru, že vzhledem k tomu, že GDPR stanoví náležitosti smlouvy pouze demonstrativně[12], je nepochybně možné, aby její součástí byla též forma utvrzení závazku, jako je smluvní pokuta. Přestože ÚOOÚ v rámci výroční zprávy uvádí situaci, kdy smluvní pokutu bude možné požadovat po zpracovateli, pokud poruší své povinnosti, není samozřejmě vyloučené, aby smluvní pokuta byla upravena i ve vztahu ke správci.
- Kamerové systémy[13]
ÚOOÚ se vrací k problematice kamerových systémů. Pro všechny typy správců je podstatné zopakování závěru[14], který se odchyluje od předchozí praxe, tedy že i provozování kamerového systému pouze s online přenosem je zpracováním osobních údajů.
Současně však ÚOOÚ upozorňuje na limity, které má jeho kontrolní činnost v případech, kdy je kamerový systém provozován v obydlí, které současně není užíváno k podnikání nebo jiné hospodářské činnosti.[15] Do takového obydlí totiž nejsou kontrolující oprávněni vstoupit a potřebné šetření provést. Pokud však dostatečné podklady k porušení povinností stanovených GDPR existují, ÚOOÚ by měl vést jak přestupkové řízení, tak řízení o uložení opatření k nápravě.
- Biometrické systémy[16]
Závěrem bych v této části chtěla znovu připomenout opakovaně vyjádřený názor ÚOOÚ týkající se využívání biometrických údajů, jako jsou otisky prstů, typicky pro docházkové systémy. Jedná se o zpracování zvláštních kategorií údajů ve smyslu čl. 9 GDPR, které v České republice nelze zpravidla provádět. Zpracování přitom není vhodné ani na základě souhlasu uděleného subjektem údajů. Tento souhlas totiž často není svobodný a problémy nastávají i u práva souhlas kdykoli odvolat.
Soukromý sektor
- Vymáhání pohledávek[17]
Za praktické považuji i konstatování, že pokud věřitel předá osobní údaje za účelem vymáhání pohledávek inkasní společnosti, jedná se o předání mezi správcem a zpracovatelem a dlužník mu nemůže bránit (snad jen včasným splacením svého dluhu). Odlišnou situací je pak postoupení pohledávky, kde, ač to ÚOOÚ výslovně neuvádí, se jedná o předání údajů mezi dvěma správci.
ÚOOÚ se zabýval též případem odkupu pohledávek. Přitom konstatoval, že zpracování osobních údajů vlastníků pohledávek není možné založit na oprávněném zájmu[18], neboť před zájmem správce mají přednost zájmy nebo základní práva a svobody vlastníků pohledávek. Důvodem je zejména to, že mezi správci a vlastníky pohledávek neexistoval žádný relevantní předchozí vztah, a proto subjekty údajů nemohly takové zpracování očekávat. Současně správce neinformoval subjekty údajů o zpracování jejich údajů ve lhůtách, které GDPR stanoví[19].
- Doklady totožnosti[20]
Ve trojím kontextu se ÚOOÚ věnuje dokladům totožnosti. Prvním je kopírování občanských průkazů bankovními institucemi, druhým pořizování kopií dokladů nebankovními subjekty a posledním pak obecnější téma prokazování totožnosti.
U bankovních institucí odkazuje ÚOOÚ zejména na tzv. AML legislativu[21], která upravuje identifikaci klientů. S povinností identifikace pak může být spojeno i oprávnění povinných osob zkopírovat doklad, na jehož základě byl klient identifikován. Podrobnosti o oprávněních a povinnostech povinných subjektů podle AML zákona jsou obsaženy v příslušném pokynu Finančního analytického úřadu[22], na kterém se ÚOOÚ podílel. V pokynu je obsažen následující závěr: Povinná osoba může občanské průkazy a cestovní doklady pro účely AML zákona (a pouze pro tyto účely) kopírovat i bez souhlasu jejich držitele, pokud z jejího hodnocení rizik a posouzení vlivu na ochranu osobních údajů podle čl. 35 GDPR plyne, že v daném případě mají být průkazy totožnosti kopírovány.
U nebankovních subjektů se jedná často o požadavky na zaslání scanu či fotografie dokladu elektronickou cestou, kde mohou nastávat pochybnosti o zabezpečení údajů při jejich přenosu. ÚOOÚ upozorňuje, že i v případě, kdy dá držitel průkazu k pořízení kopie souhlas[23], musí být dodrženy základní zásady pro zpracování, zejména pak zásada minimalizace[24]. Kopii celého průkazu tak lze pořídit pouze, pokud má správce právní povinnost tak učinit. V ostatních případech je vhodné využít šablonu, která nadbytečné údaje zakryje. V případě použití šablony pak není třeba souhlas držitele dokladu podle zvláštního právního předpisu[25], protože se nejedná o plnohodnotnou kopii.
K prokazování totožnosti ÚOOÚ primárně definuje rizika neoprávněného zpracování, jako je například krádež identity. Konstatuje, že dochází k nadužívání skenování (pořizování kopií) dokladů, místo toho, aby byly z dokladu zaznamenány nezbytné údaje a dále číslo průkazu a kým byl vydán, což je zpravidla zcela dostačující postup. Zdůrazňuje nutnost dodržování všech povinností stanovených v GDPR (tj. zejména nezbytnost zpracování) a vymezuje další limity nakládání s občanským průkazem stanovené ve zvláštním právním předpisu[26].
Veřejný sektor
- Zpracování osobních údajů obcemi[27]
V rámci své činnosti se ÚOOÚ zaměřil též na obce. Výše ve svém příspěvku zmiňuji kontrolu zpracovatelských smluv u několika obcí. Další zpracování údajů tímto typem správců se týkalo provozování obecního kamerového systému, který sledoval veřejná prostranství na území obce za účelem monitorování veřejného pořádku. Některé kamery přitom měly i funkci rozpoznávání registračních značek vozidel a obličeje řidiče. ÚOOÚ v rámci vedeného řízení konstatoval, že k takovému zpracování by obec musela být oprávněna na základě zákona, a to není. Obec musela zpracování ukončit a začít jednat o uzavření dodatku k veřejnosprávní smlouvě s jinou obcí, která obecní policii zřídila[28], a o uzavření koordinační dohody s Policií České republiky[29]. Oba tyto subjekty, jak obecní, tak „státní“ policie, totiž takové zpracování provádět mohou.
ÚOOÚ dále, jako už mnohokrát v minulosti, upozornil na to, že není možné zveřejňovat při poskytování informací též osobní údaje žadatele, resp. že v případě zveřejňování dokumentů obsahujících osobní údaje je třeba řádně jeho obsah pseudonymizovat[30]. Řádně přitom znamená jak z hlediska rozsahu údajů, které jsou z textu odstraněny, tak technického způsobu, který je k tomu využit.
ÚOOÚ se zabýval též činností jednotlivých zastupitelů nebo dalších osob, které pořizovaly a následně zveřejnovaly nahrávky zasedání zastupitelstva. Tím se z nich stali správci osobních údajů, kteří byli povinni před zveřejněním odstranit ze záznamů ty osobní údaje, jež se netýkaly věcí veřejného zájmu[31].
Na závěr
Doufám, že vám tento text posloužil jako praktická orientace v závěrech ÚOOÚ z roku 2023, které se rozhodl veřejnosti zprostředkovat. Současně může sloužit jako vodítko, čemu se bude pravděpodobně věnovat, pokud ke správci či zpracovateli, pro kterého svou činnost vykonáváte, dorazí například na kontrolu. Do zbytku roku 2024 vám ale i tak přeji: žádné kontroly ani správní řízení v oblasti ochrany osobních údajů.
Vanda Foldová
Autorka se dlouhodobě věnuje ochraně osobních údajů, aktuálně jako zaměstnankyně Ministerstva financí
[1] dostupná na https://uoou.gov.cz/novinky/vse/vyrocni-zprava-uoou-za-rok-2023
[2] str. 16-21
[3] Novelizace zákona č. 127/2005 Sb., o elektronických komunikacích a o změně některých souvisejících zákonů (zákon o elektronických komunikacích), účinná od 1. ledna 2022, která jednoznačně zavedla do českého právního řádu pravidlo, že osobní údaje návštěvníků lze shromažďovat pouze na základě jejich prokazatelného souhlasu.
[4] např. https://uoou.gov.cz/cookies-listy-vykazuji-radu-nedostatku, https://uoou.gov.cz/udeleny-pokuty-ve-vysi-temer-45-mil-kc
[5] str. 32-34 a 38
[6] nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů)
[7] Typicky se jedná o hovory o uvažovaném nebo řešeném obchodním vztahu. V těchto případech tedy nelze odmítnout poskytnout část nahrávky obsahující osobní údaje osoby, která jménem správce se subjektem údajů hovor vedla, nebo z tohoto důvodu dokonce odmítnout poskytnout celou nahrávku.
[8] str. 22 a 36
[9] Pouze 3 smlouvy obsahovaly méně závažná porušení a 2 nebyly uzavřeny vůbec.
[10] tj. čl. 28 odst. 3 písm. c), d) a h) GDPR
[11] V roce 2023 zahájil kontrolu všech krajů.
[12] viz čl. 28 odst. 3 GDPR
[13] str. 34 a 36
[14] Tento závěr je obsažen například v Metodice k návrhu a provozování kamerových systémů z hlediska zpracování a ochrany osobních údajů, kterou ÚOOÚ vydal a je dostupná na https://uoou.gov.cz/profesional/metodiky-a-doporuceni-pro-spravce/metodika-ke-kamerovym-systemum.
[15] viz § 7 zákona č. 255/2012 Sb., o kontrole (kontrolní řád)
[16] str. 37-38
[17] str. 26-27 a 34
[18] viz čl. 6 odst. 1 písm. f) GDPR
[19] viz čl. 14 odst. 3 GDPR
[20] str. 31-32 a 40-42
[21] viz zákon č. 253/2008 Sb., o některých opatřeních proti legalizaci výnosů z trestné činnosti a financování terorismu
[22] Metodický pokyn č. 8 – Kopírování průkazů totožnosti pro účely AML zákona ze dne 17. srpna 2023 dostupný z https://fau.gov.cz/metodicke-pokyny
[23] viz § 39 písm. c) zákona č. 269/2021 Sb., o občanských průkazech
[24] viz čl. 5 odst. 1 písm. c) GDPR
[25] zákon č. 269/2021 Sb.
[26] zákon č. 269/2021 Sb.
[27] str. 26 a 30-31
[28] viz § 3a zákona č. 533/1991 Sb., o obecní policii
[29] viz § 16 zákona č. 273/2008 Sb., o Policii České republiky
[30] Přestože v souvislosti se zveřejňováním dokumentů, zejména při poskytování informací, se mluví/píše běžně o anonymizaci osobních údajů, jedná se o označení dle mého názoru nepřesné. Vzhledem k tomu, že dokument v původní podobě stále existuje, jde o pseudonymizaci ve smyslu čl. 4 bod 5 GDPR, nikoli o anonymizaci, kde by přiřazení konkrétní osobě již nebylo za žádných okolností možné.
[31] viz § 88 odst. 2 občanského zákoníku, podle kterého svolení není třeba ani v případě, když se podobizna, písemnost osobní povahy nebo zvukový či obrazový záznam pořídí nebo použijí na základě zákona k úřednímu účelu nebo v případě, že někdo veřejně vystoupí v záležitosti veřejného zájmu.