Kontrolní činnost Úřadu pro ochranu osobních údajů za období 2. pololetí roku 2020

Rádi bychom Vás informovali, že Úřad pro ochranu osobních údajů („Úřad“) na svých webových stránkách zveřejnil přehled o své dozorové a kontrolní činnosti v oblasti ochrany osobních údajů za období 2. pololetí roku 2020. Níže prosím naleznete souhrn nejdůležitějších závěrů a vyjádření Úřadu v rámci těchto kontrol. Veškeré zápisy o provedených kontrolách za výše uvedené období naleznete na webových stránkách Úřadu zde: Kontrolní činnost v oblasti ochrany osobních údajů – 2. pololetí: Kontroly za rok 2020: Úřad pro ochranu osobních údajů (uoou.cz).      

Ověřování totožnosti a pořizování kopií průkazů totožnosti

Úřad v rámci prováděné kontroly (UOOU-02511/19) konstatoval, že ke zpracovávání osobních údajů pro účely pořízení kopie občanského průkazu subjektu údajů a ověření totožnosti subjektu údajů je potřebný souhlas subjektu údajů dle čl. 6 odst. 1 písm. a) GDPR, který musí splňovat formální a materiální náležitosti stanovené v čl. 4 bod 11 a čl. 7 GDPR (svobodný a informovaný souhlas, který je správce schopen dodatečně doložit apod.). Úřad též opětovně připomněl, že zpracovávané osobní údaje mohou být uchovávány pouze po nezbytně dlouhou dobu a pouze v nezbytném rozsahu ve vztahu k účelu zpracovávání těchto údajů.

Zpracování osobních údajů při přímém marketingu

Úřad v rámci prováděných kontrol (UOOU-00660/20 a UOOU-03074/20) konstatoval, že ke zpracovávání osobních údajů při přímém marketingu se vyžaduje uzavření příslušné smlouvy mezi správcem a zpracovatelem takových osobních údajů, přičemž na základě takové smlouvy nelze zpracovávat osobní údaje pro jiného správce osobních údajů. Úřad též připomněl, že takové zpracovávání osobních údajů nemůže být založeno pouze na čl. 6 odst. 1 písm. f) GDPR (tj. zpracování nezbytné pro účely oprávněných zájmů příslušného správce či třetí strany), jelikož se dle názoru Úřadu nejedná o legitimní titul ke zpracování osobních údajů v rámci přímého marketingu.    

Biometrika při podepisování dokumentů

Úřad v rámci prováděné kontroly (UOOU-09654/18) konstatoval, že shromažďování a uchovávání dynamických biometrických podpisů v souvislosti s uzavíráním písemných smluv představuje porušení čl. 5 odst. 1 písm. c) GDPR (tj. porušení principu minimalizace zpracovávání osobních údajů). Úřad v této souvislosti poukázal na skutečnost, že občanský zákoník ani zvláštní právní úprava nevyžadují pro platnost právního jednání v písemné podobě dynamický biometrický podpis. Shromažďování a uchovávání takových podpisů tak není nezbytné pro účely uzavírání a uchovávání smluvní dokumentace, dostatečný je prostý obraz podpisu subjektu údajů na dematerializované smluvní dokumentaci.

Souhlas se zpracováním osobních údajů v době nouzového stavu v souvislosti s výskytem koronaviru

Úřad v rámci provedené kontroly (UOOU-01419/20) konstatoval, že právní titul pro zpracovávání osobních údajů uvedený v čl. 6. odst. 1 písm. d) GDPR (tj. zpracování nezbytné pro ochranu životně důležitých zájmů subjektu údajů nebo jiné fyzické osoby) nelze bez dalšího akceptovat jako legitimní právní titul k takovému zpracovávání osobních údajů pouze z důvodu, že byl vyhlášen nouzový stav v souvislosti s výskytem koronaviru, resp. že takovým právní titulem nelze bez dalšího nahrazovat souhlas subjektu údajů se zpracováním osobních údajů dle čl. 6 odst. 1 písm. a) GDPR. V rámci nouzového stavu je tak nadále nutné dodržovat všechna ustanovení GDPR, především informační povinnost správce osobních údajů dle čl. 13 a čl. 14 GDPR.

Vedení záznamů o přístupech k osobním údajům

Úřad v rámci provedené kontroly (UOOU-02100/20) konstatoval, že vedení záznamů správce o přístupech k osobním údajům subjektů údajů není v GDPR stanoveno jako povinnost správce, avšak takové jednání je považováno za standardní součást ochrany osobních údajů. Úřad dále upozornil, že volba správce nevést takové záznamy vede k větší odpovědnosti za přijatá opatření k zabezpečení osobních údajů. Pokud by tedy došlo k neoprávněnému přístupu k osobním údajům nebo k jejich zneužití, a správce by nebyl schopen prokázat kdo, kdy a za jakým účelem k osobním údajům přistupoval, bude odpovídat za vzniklé protiprávní následky v plném rozsahu.     

Zpracování osobních údajů na webových stránkách formou překlápění údajů z veřejných rejstříků

Úřad v rámci provedené kontroly (UOOU-00196/20) konstatoval, že prosté překlápění osobních údajů z veřejně přístupných rejstříků (např. ARES, obchodní rejstřík apod.) na jiné webové stránky představuje porušení příslušných ustanovení GDPR, jelikož zveřejňující entita nedisponuje žádným právním titulem k takovému jednání (právní titul uveden v čl. 6 odst. 1 písm. f) GDPR nelze v takové situaci aplikovat). Úřad dále upozornil na skutečnost, že v případě prostého překlápění osobních údajů dochází ze strany správce k nedostatečnému výkonu své informační povinnosti vůči subjektům údajů (pouhé zveřejnění informací na webových stránkách nelze považovat za splnění informační povinnosti).

Zveřejňování fotografií zaměstnanců na internetových stránkách zaměstnavatele

Úřad v rámci provedené kontroly (UOOU-03225/19) konstatoval, že právním titulem pro zveřejnění fotografie zaměstnance v obecné rovině může být i oprávněný zájem správce ve smyslu čl. 6 odst. 1 písm. f) GDPR, avšak pouze v případě, že správce skutečně prokáže oprávněný zájem na zpracování takových osobních údajů, který by převážil nad zájmy nebo základními právy a svobodami subjektu údajů. Pokud tedy správce zveřejňující fotografie zaměstnanců řádně neprokáže jiný právní titul ke zpracovávání osobních údajů, může k takové činnosti docházet výhradně na základě řádného souhlasu subjektu údajů s takovým zpracováním.     

Používání cookies

Úřad v rámci provedené kontroly (UOOU-00374/20) konstatoval, že správce webových stránek je povinen uživatelům/návštěvníkům webové stránky poskytovat informace o používání cookies snadno přístupným způsobem tak, aby je tyto osoby nebyly nuceny samy aktivně vyhledávat.

V rámci jiné kontroly (UOOU-00381/20) Úřad upozornil na skutečnost, že v souvislosti se zpracováním souborů cookies je nutné dodržovat veškeré zásady zpracování osobních údajů vyplývající z národní i evropské právní úpravy, především zásadu zpracovávání osobních údajů pouze v nezbytném rozsahu a pouze po nezbytnou dobu. Pokud to okolnosti umožňují, správce by měl přistoupit i k anonymizaci nebo pseudonymizaci zpracovávaných údajů, a to v maximální možné míře.

V rámci jiné kontroly (UOOU-00350/20) Úřad upozornil na skutečnost, že Česká republika nedostatečným způsobem transponovala novelizovanou směrnici EU, neboť po změně režimu z OPTOUT na OPT-IN český zákonodárce nadále pracuje s režimem OPT-OUT, tedy s režimem, kdy má správce osobních údajů možnost zpracovávat osobní údaje subjektů údajů automaticky (za splnění podmínky řádného informování) a pouze realizuje následně vyjádřené přání subjektů údajů o nezpracování jejich osobních údajů. Úřad dále konstatoval a opětovně potvrdil, že paušální souhlas ke zpracování cookies udělený prostřednictvím nastavení internetového prohlížeče je možné považovat za souhlas splňující definiční znaky dle čl. 4 odst. 11 GDPR.

V případě jakýchkoliv dotazů nebo komentářů nás neváhejte kdykoliv kontaktovat.