Nejčastější chyby v ochraně osobních údajů
- Nesprávné zpracování osobních údajů uchazečů o zaměstnání – zaměstnavatel vyžaduje v souvislosti s jednáním před vznikem pracovního poměru po uchazeči o zaměstnání osobní údaje, které jsou v rozporu s ochranou osobních údajů a zákoníkem práce.
- Nadbytečné osobní údaje uvedené v pracovní smlouvě – zaměstnavatel uvádí v pracovní smlouvě kromě jména, data narození a bydliště i jiné osobní údaje (např. kontakty, číslo občanského průkazu, rodné číslo apod.), které pak využívá pro další dokumenty uzavírané se zaměstnancem (např. dohoda o mzdě, dohoda o srážkách ze mzdy atd.). Dochází tak k nadbytečné duplicitě zpracování osobních údajů a zvýšení rizika jejich zneužití.
- Kopírování dokladů totožnosti – organizace pořizuje a archivuje kopie občanských průkazů bez souhlasu subjektu údajů (podle zákona č. 328/1999 Sb., o občanských průkazech, je zakázáno pořizovat jakýmikoliv prostředky kopie občanského průkazu bez prokazatelného souhlasu občana). Platí také pro pořizování kopií cestovních pasů, řidičských průkazů a zbrojních pasů.
- Nadbytečné vyžadování souhlasu – správci a zpracovatelé osobních údajů nadbytečně požadují po svých zákaznících / klientech souhlas se zpracováním osobních údajů v případech služeb, které jsou běžně poskytovány na základě zákona, smlouvy či jiného právního důvodu uvedeného v Nařízení GDPR. Vyžadování souhlasu je tedy v řadě případů nadbytečné a v rozporu s Nařízením GDPR (jedná se např. o poskytování bankovních či telekomunikačních služeb).
- Nedostatečná informovanost o správci osobních údajů – subjekty údajů nejsou dostatečným způsobem informovány o tom, kdo je správce osobních údajů a jak mohou uplatňovat svá práva. Vhodným řešením je zveřejnění Informačního memoranda na webových stránkách správce osobních údajů, které obsahuje všechny informace podle čl. 13 a 14 Nařízení GDPR.
- Nejasnosti / chyby při jmenování Pověřence pro ochranu osobních údajů – Pověřenec své ustanovení do funkce ohlásí sám; Pověřenec neví, kdy a kdo jeho jmenování oznámil či na jakém základě byl jmenován; organizace ustanovila více než jednoho Pověřence; organizace nezveřejnila kontaktní údaje Pověřence na svých webových stránkách.
- Neplnění informační povinnosti – správce osobních údajů dostatečně neplní informační povinnost poskytnout subjektu údajů požadovanou informaci o jeho osobě (viz čl. 13 Nařízení GDPR – právo subjektu údajů na informace).
- Neexistence zpracovatelských smluv (smlouvy se zpracovateli osobních údajů) – správce osobních údajů nemá uzavřenou smlouvu o zpracování osobních údajů se společností (zpracovatelem osobních údajů), která pro ni zajišťuje např. mzdové účetnictví, skartaci, ICT služby atd.
- Porušení zásad minimalizace při zpracování osobních údajů – správce osobních údajů zpracovává nepřesné a nadbytečné osobní údaje, navíc v řadě případů i bez právního titulu (např. informace o tom, že zaměstnanec je voják, údaje manželky, přestože se nejedná o vyživovanou osobu, údaje kontaktní osoby bývalého zaměstnance apod.). Rozsah zpracovávaných osobních údajů musí být přiměřený, relevantní a omezený ve vztahu k účelům, pro které jsou zpracovávány (viz čl. 25 Nařízení GDPR).
- Nadbytečné užívání souhlasu při zpracování osobních údajů – správce osobních údajů vyžaduje od subjektu údajů souhlas ke zpracováním osobních údajů, i když osobní údaje zpracovává na základě jiného právního základu. Vyžadování souhlasu se zpracováním osobních údajů je protiprávní v případě, kdy správce osobních údajů tento souhlas nepotřebuje (např. v rámci ustanovení pracovní smlouvy či pracovního dotazníku, kde zaměstnanec dává souhlas se zpracováním svých osobních údajů pro mzdové účely – souhlas je v tomto případě nesprávným právním titulem).
- Nedostatečné zajištění personálních spisů zaměstnanců – k personálním spisům zaměstnanců mají přístup nerelevantní zaměstnanci organizace (osobní spisy zaměstnanců musí být přístupny vždy jen určeným zaměstnancům / zástupcům organizace) či personální dokumenty jsou odcizeny z IT systému organizace z důvodu nepřijetí / nerealizace dostatečných technicko-organizačních opatření vedoucích k zajištění ochrany osobních údajů.
- Nedodržování pravidel ochrany osobních údajů členy orgánů obce (RM, ZM) – zastupitel obce nedodržuje pravidla ochrany osobních údajů, není dostatečně proškolen v problematice GDPR. Zastupitel obce je z pohledu GDPR běžnou fyzickou osobou a může být postižen stejnou sankcí jako každý jiný subjekt, zastupitel potřebuje, jako kdokoliv jiný, zákonný důvod (přesněji zákonné oprávnění), k nakládání s osobními údaji jiných.
- Nedodržování Spisového a skartačního řádu organizace – zpracování, archivace a skartace dokumentace organizace není realizována v souladu se schváleným Spisovým a skartačním řádem organizace, tj. zaměstnanci organizace přiřazují dokumentům nesprávné spisové znaky a skartační lhůty. Častou chybou je také pořizování dalších kopií a záloh, které následně nejsou zařazeny do skartačního řízení.
- Neexistence skartačních lhůt / špatně stanovené skartační lhůty – organizace nemá pro jednotlivé činnosti stanoveny správné skartační lhůty s ohledem na účel, pro který osobní údaje zpracovává (např. zpracování osobního údaje v souladu s právním předpisem, zpracování osobního údaje po dobu trvání smlouvy atd.).
- Zpracování osobních údajů i přes vyjádřený nesouhlas subjektu údajů – společnost i přes dříve vyjádřený nesouhlas bývalých zákazníků dále zpracovává osobní údaje těchto zákazníků za účelem nabídky zboží / služeb.
- Neoprávněné zasílání nabídky zboží / služeb – společnost zasílá nabídky zboží / služeb na adresy databází získaných za jiným účelem (tedy na základě právního důvodu, který není využitelný pro tento účel); na adresy získané z databáze jiných subjektů, které společnost pro tento účel kupuje, respektive si pronajímá (adresná kampaň); či roznáší a vkládá nabídky zboží / služeb do poštovních schránek (neadresná kampaň).
- Porušení zákona č. 480/2004 Sb., o některých službách informační společnosti – zaslaná obchodní sdělení (zprávy) neobsahují žádnou identifikaci odesílatele. Obchodní sdělení nesmí být zaslána bez platné adresy, na kterou by mohl adresát přímo a účinně zaslat informaci o tom, že si nepřeje, aby mu byly obchodní informace odesílatelem nadále zasílány (šířená obchodní sdělení musí být zřetelně a jasně označena jako obchodní sdělení).
- Sběr souhlasů na účely, které jsou dány zákonnou povinností, uzavřenou smlouvou, oprávněným zájmem nebo špatná definice jejich účelů.
- Zveřejnění celého scanu jmenování pověřence (včetně podpisů) na webových stránkách nad požadovaný rámec (je nutné zveřejnit jméno, příjmení, email, telefon), nebo nedostatečný rozsah zveřejněných údajů.
- Chybně nastavená skartace personálních složek – nerozlišování skartačních lhůt pro jednotlivé součásti spisu zaměstnance, kdy je nastavena pro každou součást jiná skartační lhůta, v některých případech i S/1, přesto je celý spis uchováván 30 i více let.
- Nedostatečná anonymizace zveřejňovaných dokumentů – např. již probíhá šetření ÚOOÚ: nevládní nezisková organizace, která zveřejnila osobní údaje na svých internetových stránkách. Konkrétně jde o kompletní zveřejněné případy podání, rozhodnutí i další dokumenty vydané v rámci řízení, jichž se účastní, včetně všech osobních údajů, které obsahují.
- Zveřejnění Záznamů o činnostech zpracování – Záznamy o činnostech zpracování nejsou určeny subjektům údajů a nemá na ně být aplikován zákon č. 106/1999 Sb., o svobodném přístupu k informacím.
Kompletní informace z oblasti ochrany osobních údajů pro firmy naleznete zde a pro veřejnou správu zde.
Poznámka: Zdrojem výše uvedených informací jsou nejen znalosti a zkušenosti společnosti Equica, a.s. v oblasti ochrany osobních údajů, ale také webové stránky Úřadu pro ochranu osobních údajů (www.uoou.cz) a webové stránky Ministerstva vnitra České republiky (www.mvcr.cz).