3 největší omyly při zpracování osobních údajů

Vážení klienti,

s ohledem na aktuálně velmi diskutovanou problematiku ochrany osobních údajů jsme pro Vás připravili článek, v němž na základě našich dosavadních zkušeností z této oblasti poukazujeme na tři největší mýty a omyly při zpracovávání osobních údajů. Problematika ochrany osobních údajů je v současnosti stěžejně upravena v evropské směrnici Evropského Parlamentu a Rady 95/46/ES ze dne 24. října 1995, o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů (dále také jen „směrnice 95/46/ES“) a v zákoně č. 101/2000 Sb., ochraně osobních údajů (dále také jen „ZOOÚ“). Aktuálně se však jedná o přechodný stav, jelikož v květnu roku 2016 bylo v evropském prostoru vyhlášeno nařízení Evropského Parlamentu a Rady 2016/679 ze dne 27. dubna 2016, o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES, tzv. obecné nařízení o ochraně osobních údajů (dále jen „GDPR„), které nabývá platnosti dne 25. května 2018.


Zpracování nepřesných osobních údajů

Dle § 5 odst. 1 písm. c) ZOOÚ je každý správce povinen zpracovávat pouze přesné osobní údaje, které získal v souladu s tímto zákonem, a je-li to nezbytné, osobní údaje aktualizuje. Zjistí-li správce, že jím zpracované osobní údaje nejsou s ohledem na stanovený účel přesné, je správce povinen provést bez zbytečného odkladu přiměřená opatření, zejména zpracování blokovat a osobní údaje opravit nebo doplnit, v opačném případě má povinnost je zlikvidovat. Zpracování nepřesných osobních údajů se vztahuje jak na případy, kdy dojde ke zpracování např. nepřesného rodného čísla, jakožto státem přiznaného jedinečného identifikátoru, ale rovněž na situace, kdy jsou osobní údaje převzaty z neověřených zdrojů nebo dojde ke zpracování přesných identifikačních údajů spolu s údajem o tom, že dotčený subjekt je dlužníkem, ačkoliv tomu tak ve skutečnosti není.[1] Dle Úřadu na ochranu osobních údajů je každý, kdo zpracovává osobní údaje, povinen v závislosti na rozsahu a okolnostech předmětného zpracování přijmout systém opatření, jejichž prostřednictvím zajistí, že nebudou zpracovávány nepřesné či chybné osobní údaje.[2] V případě porušení této povinnosti může být správci nebo zpracovateli podle současné úpravy uložena pokuta až do výše 10,000.000,- Kč.

Na zásadu přesnosti zpracování osobních údajů klade důraz i GDPR, podle jehož čl. 5 odst. 1 písm. d) musí být osobní údaje přesné a v případě potřeby aktualizované. Současně je stanoveno, že musí být přijata veškerá rozumná opatření k tomu, aby osobní údaje, které nejsou přesné s přihlédnutím k účelům, ke kterým se zpracovávají, byly bezodkladně vymazány nebo opraveny. Porušení zásady přesnosti zpracování osobních údajů bude nově dle GDPR možno sankcionovat uložením pokuty až do výše 20,000.000,- EU, nebo v případě podniku až do výše 4 % celkového ročního obratu za předchozí finanční rok, podle toho, která hodnota je vyšší.


Nadužívání souhlasu se zpracováním osobních údajů

Zpracovávat osobní údaje je možné pouze na základě řádného právního titulu, např. souhlasu subjektu údajů. ZOOÚ dovoluje správci zpracovávat osobní údaje bez souhlasu subjektu například v situaci, kdy je zpracování osobních údajů nezbytné pro dodržení právní povinnosti správce nebo pro plnění smlouvy, jejíž stranou je subjekt údajů. Úřad na ochranu osobních údajů zdůrazňuje, že všechny právní tituly jsou si rovnocenné a postačí, pokud správce dokáže zpracování osobních údajů v konkrétním případě opřít o jakýkoliv jeden z titulů uvedených v ZOOÚ.[3] Případy, kdy je správcem souhlas od subjektu údajů vymáhán, přestože v konkrétním případě není nezbytný, jelikož mu svědčí pro zpracování jiný právní titul, je nejenom matoucí, ale představuje porušení informační povinnosti správce podle § 11 odst. 2 ZOOÚ, podle nějž je správce povinen subjekt údajů  poučit o tom, zda je poskytnutí osobního údaje povinné či dobrovolné. Pluralita právních titulů ke zpracování osobních údajů je zachována i v rámci GDPR, stejně jako informační povinnost správce, podle níž je správce povinen sdělit subjektu údajů též právní základ, na jehož základě jsou osobní údaje zpracovány. S ohledem na stávající, ale i budoucí právní úpravu obsaženou v GDPR je nezbytné, aby správci prověřili, na základě jakého právního titulu osobní údaje zpracovávají, neboť se jedná o esenciální podmínku jejich zákonného zpracování.


Generální souhlas se zpracováním osobních údajů

Jsou-li osobní údaje zpracovány na základě souhlasu subjektu údajů, musí být subjekt při udělení souhlasu informován o tom, pro jaký účel zpracování a k jakým osobním údajům je souhlas dáván, jakému správci a na jaké období. Formulace účelu zpracování sehrává zásadní úlohu při ochraně osobních údajů, neboť se jedná o cíl, jehož má být prostřednictvím zpracování osobních údajů dosaženo. Vyjádření účelu zpracování současně jasně definuje rozsah, v němž bude zpracování realizováno, a proto je třeba se vyvarovat vágních formulací jako „zpracování za účelem zákona o ochraně osobních údajů“ a stanovit jej dostatečně určitě tak, aby bylo zřejmé, jaký je skutečný cíl zpracování osobních údajů.

Účelové omezení zpracování osobních údajů je akcentováno i GDPR, které stanoví, že osobní údaje musí být shromažďovány pro určité, výslovně vyjádřené a legitimní účely a nesmějí být dále zpracovávány způsobem, který je s těmito účely neslučitelný. Subjekt údajů má právo od správce získat potvrzení, zda osobní údaje, které se ho týkají, jsou či nejsou zpracovávány, a pokud je tomu tak, má rovněž právo získat přístup k těmto osobním údajům a k informacím, mezi které, mimo jiné, patří i účely zpracování. Účel zpracování musí být též vyjádřen v záznamech o činnostech zpracování, které vede každý správce a jeho případný zástupce. Stanovení účelu zpracování je třeba věnovat náležitou pozornost, neboť na něj navazují i další povinnosti správce.


[1] Úřad na ochranu osobních údajů. K problematice aktualizace zpracovávaných osobních údajů [online]. [cit. 2017-04-08]. Dostupné z: https://www.uoou.cz/k-problematice-aktualizace-zpracovavanych-osobnich-udaju/d-1595.

[2] Tamtéž.

[3] Úřad na ochranu osobních údajů. Stanovisko č. 3/2014 [online]. [cit. 2017-04-08]. Dostupné z: https://www.uoou.cz/stanovisko-c-3-2014-k-nbsp-nadbytecnemu-vyzadovani-souhlasu-se-nbsp-zpracovanim-osobnich-udaju-a-nbsp-souvisejicimu-nespravnemu-plneni-informacni-povinnosti/d-11913/p1=1881