Úřad pro ochranu osobních údajů (Úřad) zveřejnil přehled kontrol za první polovinu roku 2020. Jedná se o velmi užitečný přehled, na základě kterého si každý správce a zpracovatel může ověřit, zda zpracování osobních údajů provádí v souladu s GDPR a souvisejícími předpisy. Kontrola Úřadu tak může ostatním sloužit jako dobrý průvodce.
Vůbec nejzajímavější ze všech je kontrola používání cookies, kterou Úřad prováděl na webu www.ceskatelevize.cz. Česká televize využívá cookies na daném webu pro účely anonymního sledování uživatelů na webových stránkách České televize, měření sledovanosti pořadů či marketingové účely.
Úřad v průběhu kontroly uvedl, že český zákon o elektronických komunikacích (který upravuje rovněž cookies) nesprávně reflektuje ePrivacy směrnici a v § 89 odst. 3 vyžaduje pouze tzv. OPT-OUT souhlas. V souladu se zákonem je tedy možno uvádět, že uživatel užíváním webu souhlasí s ukládáním cookies, přičemž má možnost jejich ukládání určitým způsobem odmítnout.
Zpracování osobních údajů (cookies) Českou televizí se děje v souladu s požadavky § 89 odst. 3 zákona o elektronických komunikacích, neboť kontrolovaná osoba informuje uživatele o rozsahu a účelu jejich zpracování a rovněž jim nabízí možnost takové zpracování odmítnout, přičemž tyto podmínky naplňuje kontrolovaná osoba tím, že postupuje v souladu s čl. 12-14 GDPR.
Dokud nedojde k novelizaci zákona o elektronických komunikacích/přijetí nařízení ePrivacy, Úřad se bude stavět k opt-out možnosti kladně a není potřeba aktivního souhlasu před zahájením ukládání cookies.
Úřad prováděl tento rok v oblasti cookies více kontrol (přesněji 8). Protože se řídíme starým rčením "důvěřuj, ale prověřuj", pro jistotu jsme před pár týdny požádali Úřad dle zákona č. 106/1999 Sb., o svobodném přístupu k informacím o zaslání protokolů z těchto kontrol (které byly ukončeny). Brzy se snad dočkáme přesnějších informací a budeme Vás informovat.
Faktura vystavená někým jiným?
Další poměrně kuriózní případ řešil Úřad v souvislosti s nejmenovaným e-shopem. V rámci nákupu byla vystavena faktura, na které však byl uveden jiný subjekt, než provozovatel e-shopu. Úřad tak měl podezření na neoprávněné předávání údajů mezi obchodními společnostmi.
Základním problémem kontroly však bylo, že provozovatel e-shopu vůbec nereagoval ani s Úřadem nespolupracoval. Úřad se tak rozhodl pro udělení pořádkové pokuty 100.000 Kč.
Vždy s Úřadem spolupracujte. I když se domníváte, že provádíte činnost, která je v rozporu s GDPR, je vhodnější chybu přiznat a snažit se sjednat nápravu. Vaše peněženka (či účet) takové jednání určitě ocení! :)
A zase ty občanky
Společnost půjčovala sportovní vybavení v rámci své podnikatelské činnosti. Po zákaznících však vyžadovala mimo jiné také kopie občanských průkazů.
Úřad poznamenal, že pro kopie občanských průkazů neexistoval relevantní účel, neboť se na průkazu nachází informace, které vůbec společnost pro výkon své činnosti nepotřebovala. Zároveň neměla společnost ani souhlas pro takové zpracování. Zákazníci ani nebyli písemně informování, a to ani na místě, ani na webu.
Ač společnost během kontroly spolupracovala a napravila řadu porušení, Úřad se i tak rozhodl pro zahájení správního řízení o udělení pokuty.
Nezapomínejte, že v ČR existuje zákon č. 328/1999 Sb., o občanských průkazech, který v § 15a upravuje možnosti pořizování kopie. Bez souhlasu lze pořizovat kopie jen tehdy, kdy to připouští jiný zákon.
I když se rozhodnete pro kopie se souhlasem, je potřeba mít dobře stanovený účel, proč kopie občanských průkazů potřebujete. Ani souhlas bez důvodného účelu dle GDPR neobstojí. Více si můžete přečíst v našem článku, který jsme celý věnovali souhlasu se zpracováním osobních údajů.
Docházkový systém a otisk prstu
Další závěr z kontroly Úřadu považujeme za velmi zajímavý a důležitý. Zaměstnavatel provozoval docházkový systém za účelem vedení evidence pracovní doby. Na základě souhlasu zaměstnanců zpracovával v systému rovněž otisky prstů (respektive hash – markantu z otisku prstu převedenou do číselné podoby). Souhlas udělilo celkem 7 z 8 zaměstnanců.
Z přehledu kontroly vyplývá, že souhlas nenaplňoval všechny požadavky kladené na souhlas. Nebylo z něj jednoznačné, jak dlouho budou otisky uchovány či k jakému účelu budou využity. V průběhu kontroly však zaměstnavatel vše napravil a uvedl souhlas do souladu s GDPR.
Za zajímavější však považujeme něco, co je uvedeno někde "mezi řádky". Úřad v podstatě posvětil možnost získávat od zaměstnanců souhlas se zpracováním osobních údajů pro takovéto účely. Je potřeba upozornit, že souhlas vždy musí být pro konkrétní účel a hlavně - musí být svobodný. Jinými slovy, pro zaměstnance by měl existovat i alternativní způsob, jak evidovat docházku a neměl by být do žádné z možností nucen.
Zároveň je na kontrole krásně vidět, že když správce osobních údajů spolupracuje, kontrola nemusí skončit pokutou.
V článku jsme vybrali jen některé výsledky kontrol. Další naleznete na webu Úřadu. Naleznete tam i oblast zasílání obchodních sdělení, kterou jsme v tomto článku neřešili. Na závěr snad jen znovu upozorníme, že kontrola Úřadu neznamená automaticky pokutu. Důležité je spolupracovat. Teda, lepší je mít vše nastaveno správně, aby byl výsledek kontroly uspokojivý. Proto se na nás neváhejte kdykoliv obrátit.