ÚOOÚ předkládá k veřejné diskuzi novou metodiku DPIA

ÚOOÚ předkládá k veřejné diskuzi novou metodiku DPIA

O co se jedná?

• návrh metodiky obecného posouzení vlivu na ochranu osobních údajů
• metodika je určena primárně pro potřeby správců
• využít ji však mohou i zpracovatelé osobních údajů (pokud např. v rámci dodávky předloží typovou DPIA pro jimi dodávané produkty)
• připomínky je možné podávat do 15. 12. 2019

Proč vzniká?

Předchozí metodika určovala, kdy je nutné DPIA předložit, připravovaná metodika se zaměřuje především na návod, jak v této náležitosti postupovat.

Co je DPIA?

Posouzení vlivu na ochranu osobních údajů. Takové posouzení je nutné v případech, kdy zpracování osobních údajů má za následek vznik vysokého rizika pro práva a svobody fyzických osob, a to s přihlédnutím k povaze, rozsahu, kontextu, účelům zpracování a využitím nových technologií.

Proč se tím zabývat?

ÚOOÚ zveřejnilo na podzim výsledky kontrol za I. pol. 2019. Po roce platnosti zákona se zdá, že Úřad se snaží spíše napomáhat kontrolovaným subjektům a v souvislosti se zavedením nové legislativy nepřistupuje příliš přísně k případným chybám. V návaznosti na zjištění z kontrol se proto zabývá novou metodikou, kterou chce napomoct k lepšímu uchopení zákona v praxi a vysvětlení případných nejasností v jeho pochopení.

Zároveň se Úřad nehodlá nijak odchýlit od dalších plánovaných kontrol a je možné předpokládat, že čím déle zákon bude platit a čím více se bude Úřad snažit podávat vodítka, tím méně může být postupem času shovívavější k případným pochybení.

Aplikace zákona se v mnohých organizacích řešila ve spěchu a především za účelem dodržení zákona. Nyní je možné se v klidu zamyslet, která opatření jsou přehnaná a která naopak pokulhávají.

Co odhalili výsledky kontrol?

Na co se při kontrolách ÚOOÚ zaměřuje nejvíce?

Na co se zaměřit jako správce nebo jako zpracovatel?

Co přinese nová metodika?

Více se dozvíte na semináři:

 GDPR ve veřejném sektoru pro roce praxe (29.11.2019)

A pokud Vás zajímají další informace o výsledcích kontrol a jejich zaměření především ve veřejném sektoru, můžete číst dále:

Nejčastější pochybení:

Opomíjení vykonání testu proporcionality (balančního testu)

• Co je balanční test?

• správce je povinen provést balanční test, neboli test proporcionality, pro každé zpracování osobních údajů, které hodlá vykonávat na základě právního důvodu oprávněného zájmu.
• Právě v důsledku takového testu je pak správce schopen vyhodnotit, zda před jeho oprávněnými zájmy nemají přednost zájmy nebo práva a svobody subjektu údajů, a lze tak tento právní důvod pro zpracování osobních údajů využít.
• Například u podání podnětů a stížností občanů je právní titul pro zpracování osobních údajů čl. 6 odst. 1 písm. c) GDPR

Příklad: ÚOOÚ uskutečnilo na základě podnětu kontrolu zpracování osobních údajů v registru oznámení vedeném na základě zákona č. 159/2006 Sb., o střetu zájmů (Ministerstvo spravedlnosti). Nebylo zjištěno žádné porušení a ÚOOÚ vydalo následující doporučení:

„Úřad poukazuje na skutečnost, že proti zpracování osobních údajů založenému na právním titulu plnění právní povinnosti není možné vznést námitku a ani není možné zpracování ukončit a údaje vymazat před uplynutím doby, která je stanovena právními předpisy nebo na jejich základě jako doba nezbytná pro uchovávání údajů (zásada omezení uložení).“

(Zdroj: ÚOOÚ)

Zavedení dostatečných technicko-organizačních opatření

• jedná se o úroveň zabezpečení dat tak, aby byly nezpochybnitelně v bezpečí, např. nedostupná na internetu přes různé registrační aplikace, odolná vůči zneužití – útokům hackerů, aby se osobní údaje nedostali tam, kam nepatří atp.

Příklad: Na základě stížnosti provedlo ÚOOÚ kontrolu Magistrátu hl. m. Prahy za účelem dodržování ochrany osobních údajů v registru smluv. Z této kontroly vzešla tato zjištění, která byla následně napravena:

„Kontrolující zjistili, že smlouvy uzavřené jménem hlavního města Prahy a zveřejněné v registru smluv měly rozdílný rozsah informací uvedených v hlavičce a rozdílný rozsah uveřejňovaných údajů. V některých případech byly v popisu smlouvy i ve smlouvě samé uvedeny i osobní údaje třetích osob (subjektů údajů), jichž se uzavřená smlouva týká. Zveřejnění těchto osobních údajů již představuje dle kontrolujících neoprávněný zásah do práv těchto osob, neboť k naplnění účelu sledovaného zákonem č. 340/2015 Sb. není zveřejnění identity třetích osob nezbytné. Zjištěný stav je přitom zřejmě důsledkem toho, že nebyl zaveden jednotný postup pro „anonymizaci“ smluv před jejich vložením do registru smluv, tj. nedefinovala alespoň rámcový rozsah osobních údajů, které mají být zveřejněny. 

Zaměstnanci odpovědní za úpravu smluv se řídí pouze obecným metodickým návodem Ministerstva vnitra. V důsledku absence sjednocující metodické činnosti pak dochází k tomu, že některé zveřejňované smlouvy osobní údaje třetích stran obsahují a jiné nikoli. Kontrolující proto vyhodnotili zjištěný stav tak, že došlo k porušení povinnosti stanovené v čl. 32 odst. 1 nařízení (EU) 2016/679.“

Příklad: Na základě stížnosti provedl Úřad kontrolu, jejímž předmětem bylo zabezpečení osobních údajů při jejich zpracování posudkovou komisí v souvislosti s posuzováním stupně invalidity okresní správou sociálního zabezpečení.

Na základě stížnosti subjektu údajů měl být jeho posudek o zdravotním stavu obsahující osobní a citlivé údaje (zvláštní kategorie osobních údajů) zpřístupněn neoprávněné osobě. Úřad zjistil, že k tomuto zpřístupnění skutečně došlo. Kontrolující však zjistili, že se nejednalo o systémovou chybu kontrolované osoby, ale o ojedinělé pochybení posudkového lékaře. Tento lékař, ač řádně seznámený s vnitřními předpisy, omylem předal posudek jinému klientovi okresní správy sociálního zabezpečení. Česká správa sociálního zabezpečení přitom na základě svého šetření daného lékaře potrestala udělením výtky a snížením odměny. Kontrolovaná osoba se dotčeným klientům po zjištěném pochybení lékaře omluvila. (Seminář "Registr smluv")

Doporučení: Předávání dokumentů obsahujících osobní údaje je nutné věnovat patřičnou pozornost. Zejména pokud dokumenty obsahují zvláštní kategorie osobních údajů, je nezbytné nastavit mechanismy dostatečné kontroly, které zajistí, aby chybou jediné osoby nedošlo k jejich zpřístupnění neoprávněné osobě.

(Zdroj:ÚOOÚ)

ZVEŘEJŇOVÁNÍ OSOBNÍCH ÚDAJŮ DLUŽNÍKŮ

• veřejné listiny, kde je možné dohledat dlužníky, jsou již považovány za porušení GDPR. Takové chování je považováno za nátlakové a lze tak tedy činit jen se souhlasem osob. Toto se týká i jakýchkoliv jiných porušení zákona, nejen dlužníků.

Příklad: z výsledků kontrol za I. pol. 2019 vyplývá, že u kontrolovaného subjektu (Probační a mediační služba) nedošlo k uzavření smlouvy mezi zpracovatelem a kontrolovanou osobou (v tomto případě se jednalo o monitorovací systém osob v domácím vězením, zpracovatelem zde je ministerstvo spravedlnosti). K uzavření smlouvy o zpracování osobních údajů mezi kontrolovaným a ministerstvem mělo přitom dojít ještě před samotným zahájením zpracování osobních údajů ministerstvem, bez ohledu na stav transpozice směrnice (EU) 2016/680 (na základě§ 6 zákona č. 101/2000 Sb.,).

(Zdroj: ÚOOÚ)

Pokud chcete znát odpovědi na vaše otázky, nemáte úplně jasno v konkrétní problematice, nebo máte naopak velice specifický problém, který zákon přímo neupravuje, přihlaste se na náš speciální seminář k GDPR. Je určen pro užší skupinu účastníků, aby měl lektor prostor odpovídat na vaše dotazy. Navíc máte možnost položit dotaz lektorovi již před konáním samotného kurzu a on mu bude věnovat dostatek času.