Jaké novinky v ochraně osobních údajů přinesl rok 2020?

COVID-19 a ochrana osobních údajů

Při vstupu na pracoviště po vás může zaměstnavatel žádat měření teploty. Jedná se totiž o zajištění bezpečného pracovního prostředí a tím pádem o legitimní právní zájem zaměstnavatele. Neplatí to však pro vstup na kulturní akce nebo do restaurace - v těchto případech smí informace o pozitivitě na COVID-19 sbírat pouze krajská hygienická stanice.

Novinkou je pro zaměstnavatele také rozšířený home-office, se kterým však souvisí řada bezpečnostních rizik, kterým by měl předcházet. Z domova se momentálně také vzdělávají děti prostřednictvím online technologií. V rámci online výuky proto může podle Úřadu pro ochranu osobních údajů školské zařízení požadovat, aby měl žák zapnutou kameru.

Stovka porušení GDPR a rekordní pokuta

S bezpečnostním incidentem se v první polovině letošního roku potýkaly firmy z oblasti finančnictví, bankovnictví, školství, zdravotnictví a veřejné správy. Podle Úřadu pro ochranu osobních údajů je to proto, že správci osobních údajů nepracují s bezpečností systematicky a nedodržují základní zásady GDPR.

Šest milionů korun musí za nevyžádané rozesílání obchodních sdělení zaplatit společnost prodávající ojeté automobily. Jedná se u nás o dosud nejvyšší pokutu udělenou za spam. Firma obeslala téměř půl milionu adresátů, přičemž udělení souhlasu adresátů neprokázala.

Privacy shield

Při využívání zpracovatelů osobních údajů v USA (např. poskytovatelé ICT systémů či sociálních sítí) nově nelze využít tzv. Privacy shield. Pokud se přesto správce rozhodne pro předání osobních údajů do této země, musí sám prověřit úroveň jejich ochrany. Soudní dvůr EU už přitom konstatoval, že USA dostatečnou ochranu nezajišťují.

Každý správce by proto měl při předávání osobních údajů do USA řešit s dovozcem údajů konkrétní dopady rozsudku Soudního dvora a hledat řešení v podobě dalších bezpečnostních záruk (například uložení dat pouze na území EU, šifrování bez zadních vrátek apod.)

Obce a ochrana osobních údajů

Ochrana osobních údajů má vliv na doručování písemností. Na úřední desce může obec vyvěsit buď písemnost nebo oznámení o možném převzetí písemnosti. Přitom podle Úřadu pro ochranu osobních údajů musí zvážit účel zveřejnění. Pokud jsou adresáti neznámí (např.majitelé určitých věcí), není možné využít oznámení o možném převzetí. Pokud se naopak jedná o konkrétní osobu, lze zveřejnit pouze údaje nutné pro jeho identifikaci. Povinností správce (obce) je také zamezit dohledání osobních údajů ve zveřejněném dokumentu, pokud byl odstraněn z úřední desky.

Nově by také obec neměla zasílat ve výzvách určených pachatelům (typicky dopravních přestupků) jméno, příjmení, datum narození a adresu oznamovatelů protiprávního jednání. Porušuje tím totiž povinnost zpracovávat tyto údaje jen pro účel, k němuž byly shromážděny.

Povinnosti správců osobních údajů

Pozor dávejte při přemisťování dokumentů s osobními údaji. Pokud správce nechá osobní údaje ve vozidle, odkud jsou ukradeny, porušil svou povinnost přijmout dostatečná opatření k ochraně osobních údajů. Za toto porušení je odpovědný.

V případě, že je z bytového domu pořizován kamerový záznam, je nutné mít k tomu jasný důvod - například ochranu majetku, případně zdraví. Místa, z nichž se záznam pořizuje by měla být také jasně označena - zřetelněji než pouhým nápisem o záznamu. Mělo by být také možné identifikovat správce.

Dvoustupňové ověření souhlasu

Úřad pro ochranu osobních údajů udělil pokutu 36 000 korun za nedodržení dvoustupňového ověření souhlasu (tzv. double opt-in) při registraci do věrnostního programu internetového obchodu. Kontrolovaná osoba nedokázala double opt-in u dvou sporných adresátů obchodních sdělení.