GDPR přehled: pozor na změnu pravidel pro telemarketing a cookies
- 15. 07. 2022
- Články > GDPR
Úřad pro ochranu osobních údajů (ÚOOÚ) zveřejnil výroční zprávu za rok 2021, ve které shrnul výsledky své kontrolní činnosti za toto období. Provedl celkem 52 kontrol, z toho 43 kontrol ukončil. Úřad uložil celkem 40 pokut, z nichž nejvyšší částka 2 miliony Kč byla uložena za nesplnění uložených nápravných opatření. Celková částka uložených pokut v souvislosti s porušením nařízení GDPR od 25. května 2018 činí 10 684 000 Kč.
Mezi nejčastější pochybení patřilo zpracování osobních údajů bez řádného právního titulu, užívání údajů k jinému účelu, než k jakému byly získány, zpracovatelské smlouvy neobsahující všechny náležitosti dle čl. 28 nařízení GDPR a nedostatečné informování subjektů údajů o zpracování jejich údajů.
Kontrola průzkumu spokojenosti ukázala nesrovnalosti
Jedním z případů, kterým se ÚOOÚ zabýval, byla např. kontrola postupu obce při realizaci tzv. průzkumu spokojenosti obyvatel s životem v obci. Průzkum měl být zaměřen pouze na občany, kteří měli v obci trvalý pobyt nebo zde vlastnili nemovitost. Za tímto účelem byly respondenti v dotazníku vyzývání k vyplnění svého data narození a čísla občanského průkazu. I přes uvedené zaměření průzkumu byly nakonec do výsledků veřejného průzkumu zahrnuty i vyplněné dotazníky osob, které nejsou občany obce ani zde nevlastní nemovitost. Protože byl překročen účel, pro který byly údaje shromažďovány, a obec neprokázala žádný jiný právní titul pro zpracování údajů, shledal ÚOOÚ porušení zásady zákonnosti a zásady omezení účelem.
Výroční publikace školy může uvádět seznam absolventů
Předmětem kontroly ÚOOÚ bylo i dodržování pravidel nařízení GDPR při vydání publikace k výročí školy s uvedením seznamu absolventů. Úřad konstatoval, že k zařazení seznamu absolventů do ročenky musí mít škola právní důvod, kterým může být oprávněný zájem školy připomenout významné výročí školy mapující její historii. To však platí jedině za předpokladu, že před tímto důvodem nemají přednost zájmy nebo základní práva a svobody absolventů a že jsou tyto osobní údaje zpracovávány způsobem, který je slučitelný s účelem vedení školní matriky, který je zdrojem pro vydání ročenky.
Pokud bude ročenka zveřejněna v tištěné podobě v omezeném nákladu určeném pouze samotným absolventům nebo jejich rodinným příslušníkům a v minimálním rozsahu osobních údajů (jméno, příjmení, třída a rok absolvování), nebudou uvedené zásady porušeny a vydání ročenky je i bez souhlasu jednotlivých absolventů školy možné. Právo na ochranu osobních údajů absolventů by však mělo přednost v případě, že by ročenka měla být zveřejněna prostřednictvím internetu neomezenému okruhu příjemců, kdy je riziko dalšího zpracování mnohem vyšší. K takovému zveřejnění tedy může dojít jedině na základě souhlasu subjektů údajů.
Potřebujete právní radu týkající se GDPR?
Sejdeme se s Vámi a probereme, jaké jsou Vaše aktuální potřeby vzhledem k velikosti vaší instituce a množství kontaktů, se kterými pracujete.
