Úřad pro ochranu osobních údajů (dále jen „ÚOOÚ“) zveřejnil výsledky svých kontrol za první pololetí 2022. V rámci své kontrolní činnosti se ÚOOÚ zaměřil na nevyžádaná obchodní sdělení, ochranu osobních údajů v soukromém sektoru, v schengenském prostoru, ve zdravotnictví a v rámci působnosti obcí a státní správy. Detailněji rozebereme nevyžádaná obchodní sdělení, dále také ochranu osobních údajů v soukromém sektoru a ve zdravotnictví.
Nevyžádaná obchodní sdělení
Dozorová činnost ÚOOÚ v oblasti zasílání obchodních nespočívá pouze v kontrole. ÚOOÚ se zabývá i stížnostmi na subjekty, resp. šiřitele obchodních sdělení, kterými jsou společnosti nebo fyzické osoby podnikající. Pokud ÚOOÚ obdrží jednu nebo více stížností na takový subjekt, vysvětlí mu podmínky, za kterých lze obchodní sdělení zasílat. Při opakovaných stížnostech nebo při opakovaném porušování povinností při šíření obchodních sdělení, může ÚOOÚ zahájit správní řízení i bez nutnosti provádět v dané věci kontrolu.
Za období od 1.1. do 30.6.2022 bylo podáno 419 stížností ohledně zasílání obchodních sdělení, a bylo zahájeno 9 kontrol. ÚOOÚ upozornil celkem 196 subjektů na možná porušení zákona č. 480/2004 Sb., o některých službách informační společnosti (dále jen „zákon o některých službách informační společnosti“) a zahájil 14 správních řízení, přičemž celková výše uložených pravomocných sankcí činila 260.000 Kč.
Kontroly prováděné ÚOOÚ se týkaly jak oblasti zasílání obchodních sdělení, tak i související oblasti týkající se zpracování osobních údajů. Při kontrolách byl kladen důraz na způsob získávání osobních údajů, především telefonních čísel a e-mailových adres, i na způsob šíření obchodních sdělení včetně informování uživatelů. ÚOOÚ dále zjišťoval právní tituly pro účely přímého marketingu, ale i rozsah a dobu zpracování osobních údajů pro stanovený účel. ÚOOÚ zkoumal také plnění informační povinnosti vůči subjektům údajů, ale také způsob, jakým subjekty údajů mohou realizovat svá práva, především právo vznést námitku proti zpracování.
Nejčastějším zjištěným právním titulem byl oprávněný zájem dle čl. 6 odst. 1 písm. f) nařízení GDPR pro přímý marketing nebo souhlas subjektu údajů dle čl. 6 odst. 1 písm. a) nařízení GDPR pro marketing ve prospěch třetích stran nebo pro zasílání newsletterů. V této souvislosti ÚOOÚ zohledňoval i ustanovení §7 odst. 3 zákona o některých službách informační společnosti, který stanový tzv. zákaznickou výjimku. Ta umožňuje společnostem zasílat určitá obchodní sdělení i bez předchozího souhlasu adresáta. Adresát však musí mít možnost zasílání obchodních sdělení odmítnout, a to jak před samotným odesláním, např. před finálním potvrzením objednávky, tak u každého doručeného obchodního sdělení, typicky poskytnutím možnosti „odhlásit odběr“ v závěru obchodního sdělení.
ÚOOÚ také upozorňuje, že v případě zasílání obchodních sdělení s nabídkou produktů třetích stran, je nutno adresáta informovat o totožnosti této třetí strany, přičemž pouhé uvedení odkazu na její webové stránky není dostatečné. Je třeba uvést jasnou identifikaci osoby, jejíž výrobky, zboží nebo služby jsou obchodním sdělením propagovány, tj. přesné jméno s dodatky a případně i další identifikátory, např. IČO nebo adresu.
Ochrana osobních údajů v soukromém sektoru
ÚOOÚ zdůrazňuje dodržování zásad a ustanovení nařízení GDPR. Upozorňuje zejména na nutnost zpracování osobních údajů pouze na základě zákonného důvodu v souladu s čl. 6 GDPR. V této souvislosti je vhodné zdůraznit zejména požadavky na dobrovolnost, konkrétnost a jednoznačnost souhlasu se zpracováním osobních údajů, případně povinnost oddělení tohoto souhlasu a souhlasu pro zasílání obchodních sdělení. ÚOOÚ dále opakovaně identifikoval nedostatečné plnění informační povinnosti vůči subjektům údajů.
V rámci kontrol bylo zjištěno porušování zásady „omezení uložení“ tím, že získané osobní údaje v některých případech byly uchovávány delší dobu, než je nutné. Subjekty nebyly schopny doložit, kdy jsou prováděny skartace, resp. jestli jsou nastavené termíny ke skartacím skutečně dodržovány. Jako další zjištění ÚOOÚ identifikoval nedostatečné, případně absentující záznamy o činnostech zpracování.
ÚOOÚ se v tomto kontrolním období vypořádával také s námitkami kontrolované osoby z roku 2020. Kontrolovaná osoba zajišťovala rozesílání informačních SMS s výzvou k instalaci aplikace eRouška. SMS obsahovaly speciální odkaz, který evidoval počty prokliků na stránku, které umožňovala stažení aplikace. ÚOOÚ konstatoval, že kontrolovaná osoba neměla pro tuto činnost dostatečný právní titul a ani neinformovala adresáty o zpracování osobních údajů. Námitky ohledně právního titulu a informační povinnosti byly zamítnuty. Námitce týkající se technických a organizačních opatřeních při zpracování osobních údajů bylo vyhověno. Tento případ byl předán k zahájení správního řízení.
Ochrana osobních údajů ve zdravotnictví
ÚOOÚ provedl kontrolu kliniky nemocnice, která využívá kamerový systém ve vnitřních prostorách pro detekci vzniku nežádoucích stavů pacientů, která je nedílnou součástí celkové léčby pacienta. Klinika uvedla, že údaje zpracovává na základě čl. 6 odst. 1 písm. c) nařízení GDPR a na základě zákona č. 372/2011 Sb., o zdravotních službách a vyhlášky č. 98/2012 Sb., o zdravotnické dokumentaci. Zpracování citlivých údajů klinika zdůvodňovala výjimkou podle čl. 9 odst. 2 písm. i) nařízení GDPR, neboť zpracování mělo být nezbytné z důvodu veřejného zdraví, bezpečnosti a kvality zdravotní péče. Žádný z výše zmíněných právních předpisu však nestanoví povinnost sledování stavu pacientů pomocí kamerového záznamu. Za zmínku rovněž stojí doplňující informace poskytnutá ze strany ÚOOÚ k této kontrole, podle které by bylo v teoretické rovině možné odůvodnit využívání kamerového systému ve vnitřních prostorách oprávněným zájmem správce podle čl. 6 odst. 1 písm. f) nařízení GDPR. Tato skutečnost by musela být nicméně správcem odpovídajícím způsobem prokázána.
Kamerový systém zachycující vnější prostory kliniky nemocnice ÚOOÚ shledal v souladu s čl. 6 odst. 1 písm. f) nařízení GDPR, neboť klinika prokázala oprávněný zájem na ochranu majetku a prevenci před vandalismem
Autor článku:
Kristýna Hrozová
Mgr. Eva Matějková