KAK_MISTO}
Dobrý den, jsem chatbot a jsem tu pro vás! Klikněte na ikonu a napište mi dotaz.
Pověřenci pro ochranu osobních údajů se letos při kontrolách zaměří zejména na preventivní kontrolu zveřejňování informací dle infozákona, ale i na předcházení různým chybám, na něž ve své výroční zprávě upozornil Úřad pro ochranu osobních údajů.
Ačkoliv se může zdát, že v praxi se toho „moc neděje”, opak je pravdou. Navíc Úřad, vědom si toho, že sankce jsou veřejné správě odpuštěny, začal doporučovat stěžovatelům jiné postupy obrany, které jsou svým způsobem pro veřejnou správu sankcí.
Pozornost se upírá na praktiky consent or pay
Počet zaslaných podnětů a stížností na Úřad pro ochranu osobních údajů neklesá. V roce 2024 jich bylo téměř 2 300. Při podrobnějším zkoumání lze vyvodit, že stěžovatelům se ze všeho nejvíce nelíbily praktiky soukromého sektoru, tzv. consent or pay – souhlas, nebo zaplať. V praxi to znamená, že když za určitou službu, typicky za mediální obsah, zaplatí uživatel poskytovateli služby peníze, nebude poskytovatel zpracovávat jiné osobní údaje uživatele než ty, které jsou k poskytování služby nezbytné. V opačném případě bude poskytovatel požadovat po uživateli souhlas se zpracováním osobních údajů a osobní údaje nad rámec smlouvy (obvykle cookies, IP adresu, sekvenci otevření stránek apod.) zpracovávat pro účely behaviorální (personalizované) reklamy. Jinou možnost uživatel nemá, pokud tedy chce službu využívat, musí souhlas udělit.
Consent or pay je téma, kterým se poslední rok zabývají jak dozorové orgány v evropských zemích, tak Evropský sbor pro ochranu osobních údajů (EDPB). Jejich snahou je nastavit této praktice pravidla, která zajistí rovný přístup ke službám bez zneužití osobních údajů uživatelů.
Stále se opakující chyby při poskytování informací
Značnou část stížností pak tvoří ty na zveřejnění osobních údajů fyzických osob, coby žadatelů o informace podle zákona o svobodném přístupu k informacím (infozákon). Ačkoliv jde o téma, které by snad v praxi již mělo být vyřešeno, a to i díky práci pověřenců, snad různorodost jejich služeb způsobuje zcela běžnou praxi, že obec spolu se zveřejněním informace publikuje i žádost včetně osobních údajů žadatele či s nedostatečně anonymizovanými údaji.
Předmětem kontroly bude vyvěšení poskytnutých informací
Úřad to považuje za tak významné a zbytečné pochybení, že se rozhodl v roce 2025 kontrolovat zpracování osobních údajů při vyřizování žádosti dle infozákona. Zásadní rozdíly jsou dle něj především v míře anonymizace osobních údajů či vůbec ve vyhodnocení, zdali je nezbytné osobní údaje poskytovat. Ve svých pověřeneckých aktivitách se u klientů proto v letošním roce zaměříme právě na preventivní kontrolu zveřejňování informací dle infozákona.
Častá pochybení se týkají kamerových systémů
Obce a jejich příspěvkové organizace, jakou jsou školy, pak dle zprávy instalují kamerové systémy bez toho, aniž by zvážili nutnost takového opatření nebo naplnění všech povinností správce dle obecného nařízení (GDPR), jako je třeba informační povinnost.
Obce čelí útokům typu phishing
A nakonec Úřad zmiňuje, že za rok 2024 eviduje téměř 340 porušení zabezpečení. Zejména u obecních úřadů jsou nadále nejčastější příčinou porušení zabezpečení útoky typu phishing, chybná odesílání e-mailů třetím osobám a ransomwarové útoky. I na předcházení těchto chyb a na včasné řešení situace se ve své činnosti chceme spolu s pověřenci v tomto roce zaměřit.
Lenka Matějová
koordinátorka pověřenců pro ochranu osobních údajů SMS-služby
Celé číslo si přečtete v elektronické podobě zde. Archiv s předchozími vydáními si otevřete zde.
Sdružení místních samospráv ČR, z.s.
Nábřeží 599, 760 01 Zlín - Prštné
Telefon: +420 604 345 806
E-mail: info@smscr.cz
IČO: 751 301 65
ID datové schránky: khcbsyh
Hlavní kancelář
Nábřeží 599, 760 01 Zlín-Prštné
Regionální kancelář
Národní 41, 110 00 Praha 1
Projektová regionální kancelář
Žižkova 98, 586 01 Jihlava