Podívejte se i na další témata, kterým se věnujeme v našem květnovém TechLaw zpravodaji:

• Soudní dvůr EU se opět zabývá otázkou stahování přes torrenty, zaměří se na jednotlivé uživatele
• Aukce kmitočtů pro 5G sítě pokračují, nová pravidla by měla přilákat malé operátory
• Zájem o e-commerce masivně roste, EU modernizuje pravidla pro ochranu spotřebitele
• Online komunikační nástroje jsou dobrým pomocníkem na home office, provází je však bezpečnostní rizika

Činnost Úřadu pro ochranu osobních údajů za uplynulý rok

V měsíci únoru zveřejnil Úřad pro ochranu osobních údajů („Úřad“) výroční zprávu za rok 2019, ve které jsou mimo jiné obsaženy i výsledky jeho kontrolní činnosti.

Podle jakých předpisů Úřad postupoval?

Kontroly zahajované Úřadem v roce 2019 byly vykonávány již podle GDPR (Obecné nařízení o ochraně osobních údajů), respektive tzv. adaptačního zákona č. 110/2019 Sb., o zpracování osobních údajů. Avšak vzhledem k tomu, že v roce 2019 ještě dobíhala řízení zahájená za účinnosti dřívějšího zákona č. 101/2000 Sb., o ochraně osobních údajů, dokončoval Úřad takováto řízení a ukládal tresty rovněž podle tohoto staršího předpisu. V souvislosti s dozorovou činností v oblasti obchodních sdělení Úřad postupoval v souladu se zákonem č. 480/2004 Sb., o některých službách informační společnosti.

Na jaké oblasti se Úřad zaměřoval?

Předmětem kontrol v roce 2019 bylo například využívání souborů cookies nebo zpracování biometrických údajů, konkrétně se jednalo o využití otisků prstů pro identifikační účely. Další specifickou oblastí, které se Úřad v minulém roce věnoval, byla oblast zdravotnictví, v jejímž rámci se Úřad zabýval laboratorním screeningem novorozenců. Úřad se v roce 2019 rovněž zaměřil na kontrolu zpracování osobních údajů osob přepravovaných v dopravních prostředcích (Dopravní podnik hl. m. Prahy, a.s.).

Jaká byla nejčastější pochybení?

Nejčastěji kontrolující konstatovali nedodržení základních zásad zpracování, absenci právního důvodu pro zpracování osobních údajů a také porušení práv subjektu údajů. K porušení též docházelo například při zabezpečení osobních údajů nebo rozesílání obchodních sdělení. Ve své výroční zprávě Úřad také konstatoval, že se i v roce 2019 setkal s odmítnutím spolupráce a v 11 případech dokonce musel přistoupit k uložení pokuty za neposkytnutí součinnosti dle zákona č. 255/2012 Sb., kontrolní řád. V roce 2019 Úřad uložil pokuty celkem 32 subjektům v souhrnné výši téměř jednoho milionu korun. Celková výše sankce udělené oddělením obchodních sdělení činila 2 099 000 Kč.

Organizační změny uvnitř Úřadu – reorganizace odboru dozoru

V souvislosti s přijetím tzv. adaptačního zákona došlo od 1. července k reorganizaci odboru dozoru Úřadu. Nově vznikly kontrolní týmy v rámci specializovaných oddělení a čtyři dosavadní inspektoráty byly nahrazeny dvěma odděleními vykonávajícími kontrolní a dozorovou činnost v soukromém a veřejném sektoru.

Kdo byl podroben kontrolám Úřadu?

V roce 2019 bylo zahájeno celkem 68 kontrol včetně kontrol týkajících se obchodních sdělení, kterých bylo zahájeno celkem 5. Kontrolou byly dotčeny jak veřejnoprávní (např. Česká správa sociálního zabezpečení nebo Generální finanční ředitelství), tak soukromoprávní subjekty (bankovní a nebankovní subjekty, kasina, malé a střední podniky), přičemž kontroly byly zahajovány jak z poznatků ze stížnostní agendy, tak na základě kontrolního plánu 2019. Kontroly se zaměřily také na politické strany s cílem zkontrolovat zpracování osobních údajů jak v rámci členské základny, tak i mimo ni.

Kontrolní plán ÚOOÚ pro rok 2020

Taktéž v měsíci únoru zveřejnil Úřad na svých webových stránkách plán kontrol na rok 2020.

V tomto roce Úřad naplánoval provedení celkem 29 kontrol, které se zaměří zejména na chytré měření energií, provozování kamerových systémů využívajících biometriku, kontrolu využívání cookies a šíření obchodních sdělení. Do plánu kontrol je rovněž zahrnuta kontrola subjektů poskytujících nebankovní půjčky – Úřad totiž chce ověřit postupy při vyžadování a zpracovávání osobních údajů při vyřizování žádostí o finanční produkt, a dále také ověřit správnost plnění informační povinnosti správců a jejich postup v případech, kdy osoby dotčené zpracováním uplatní svá práva.

V rámci veřejného sektoru Úřad zkontroluje například Okresní správu sociálního zabezpečení, vízový informační systém a národní registr hrazených zdravotních služeb. Kontrola nemine ani oblast školství, Úřad se v této souvislosti zaměří na zajištění bezpečnosti žáků a jejich vyučujících.

Chytrá karanténa

Z pohledu ochrany osobních údajů je zajímavým a částečně kontroverzním počinem projekt tzv. chytré karantény.

O co se jedná?

Chytrá karanténa je systém, jehož cílem je zabránit šíření nemoci COVID-19 v České republice a zároveň uvolňovat opatření vydané vládou v době nouzového stavu tak, aby se život v zemi postupně dostal do stavu před vypuknutím epidemie. V současnosti probíhá její testování v Olomouckém kraji, Středočeském kraji a v Praze, postupně se přidávají i další kraje. Naplno byl systém spuštěn 1. května.

Jak systém funguje?

Podle zveřejněných informací hygienická stanice pacientovi zavolá na telefonní číslo a oznámí mu, že byl pozitivně testován. Požádá ho o souhlas se zpracováním osobních údajů získaných od telefonního operátora a banky, aby mohla vytvořit tzv. vzpomínkovou mapu. Pokud nebude souhlas udělen, pacient bude dotázán, aby uvedl osoby, se kterými se v posledních dnech setkal, a místa, která navštívil. Tyto informace ale nemusí být úplně přesné, protože pacient si nemusí na vše vzpomenout. Pokud je souhlas udělen, pomocí dat od telefonního operátora a informací z platební karty bude zjištěno, kde se pacient pohyboval a budou identifikováni potenciálně nakažení lidé. Hygienická stanice pak zjištěné osoby telefonicky informuje a bude jim proveden test na přítomnost koronaviru. Data ze vzpomínkové mapy budou vymazána nebo anonymizována nejpozději po 6 hodinách.

Nejasnosti ohledně způsobu zpracování osobních údajů v rámci chytré karantény

Ohledně zpracování osobních údajů však stále zůstává řada nejasností. První z nich se týká toho, zda má být ke zpracování (tedy vytvoření vzpomínkové mapy) získáván souhlas ze strany pozitivně testované osoby. Ačkoli Ministerstvo zdravotnictví v mimořádném opatření MZDR 12398/2020-1/MIN/KAN podmiňuje zpracování osobních údajů souhlasem, což odpovídá režimu článku 6 odst. 1 písm. a) GDPR, Úřad pro ochranu osobních údajů („Úřad“) ve svém vyjádření z 2. dubna uvádí, že údaje jsou zpracovávány veřejnými orgány při výkonu veřejné moci, popřípadě soukromými správci ve veřejném zájmu, a to v mezích čl. 6 odst. 1 písm. e) GDPR. I přesto jsou souhlasy se zpracováním sbírány.

Dále není jasné, do jaké míry byly otázky zpracování osobních údajů konzultovány se samotným Úřadem. Předsedkyně Úřadu požádala na konci března 2020 ministra zdravotnictví o konkrétní dokumentaci k projektu chytré karantény. V návaznosti na chybné informace v médiích (nesprávně poukazujících na jeho schvalovací roli) Úřad uvádí, že Ministerstvem byly zaslány pouze základní informace. Následně došlo též ke společnému jednání s vedením Ministerstva, hlavní hygieničkou ČR a pověřenkyní (pro ochranu osobních údajů) Ministerstva zdravotnictví. Připomínky Úřadu byly do projektu částečně zapracovány a na webu byla zveřejněna korektní informace o všech aspektech zpracování osobních údajů v projektu chytré karantény.

Kompletní dokumentaci však Úřad dosud zřejmě neobdržel a nemůže tak jednotlivá opatření a technologie blíže komentovat. Konzultace některých částí však samozřejmě nezbavuje správce a zpracovatele povinnosti, aby sami aktivně používali nástroje k ochraně osobních údajů, předcházeli tak rizikům prostřednictvím průběžné kontroly a o klíčových detailech informovali dotčené osoby.

Za zmínku také stojí, že projekt chytré karantény využívá datasety (např. telekomunikační data), tedy možnost sběru, která je již roky předmětem soudních diskusí (Ústavní soud, Soudní dvůr Evropské Unie).

Projekt chytré karantény bude zajímavé sledovat, a to jak z hlediska praktického fungování, tak z hlediska precedentního nastavení podobných projektů, které z povahy věci musí vyvažovat podstatné zásahy do soukromí s ochranou důležitých veřejných zájmů.