*UOOUX009CVDO* ROZHODNUTÍ. Čj. UOOU-02069/16-6

Podobné dokumenty
ROZHODNUTÍ. pokuta ve výši Kč (slovy sedm tisíc korun českých)

ROZHODNUTÍ. pokuta ve výši Kč (slovy dva tisíce korun českých)

ROZHODNUTÍ. pokuta ve výši Kč (slovy osmnáct tisíc pět set korun českých)

PŘÍKAZ. pokuta ve výši Kč (slovy sedm tisíc korun českých)

*UOOUX009TSQB* PŘÍKAZ. Čj. UOOU-08666/16-3

*UOOUX002KR2E* ROZHODNUTÍ. Zn. SPR-1375/10-48

PŘÍKAZ. pokuta ve výši Kč (slovy patnáct tisíc korun českých)

*UOOUX0084YG1* ROZHODNUTÍ. Čj. UOOU-03916/15-6

ROZHODNUTÍ. pokuta ve výši Kč (slovy tři tisíce korun českých)

ROZHODNUTÍ. podpis a, a podpisové listiny s osobními údaji 84 obyvatel obce Svojetice

ROZHODNUTÍ. za což se mu v souladu s 45 odst. 3 zákona č. 101/2000 Sb. ukládá. pokuta ve výši Kč (slovy tři tisíce korun českých)

ROZHODNUTÍ. Obec Tursko, se sídlem Čestmírovo náměstí 59, Tursko, IČO:

ORIGINÁL. příkaz. povinnost přijmout taková opatření, aby nemohlo dojít k neoprávněnému nebo

ROZHODNUTÍ. pokuta ve výši Kč (slovy třicet dva tisíc pět set korun českých)

ROZHODNUTÍ. Odůvodnění

ROZHODNUTÍ. za což se mu v souladu s 45 odst. 3 zákona č. 101/2000 Sb. ukládá. pokuta ve výši Kč (slovy sto tisíc korun českých)

/UOOUX008ECL0* Č.j. : UOOU 01254/15-16 V Praze dne 28. července Protokol o kontrole

ROZHODNUTÍ. pokuta ve výši Kč (slovy sto padesát tisíc korun českých)

Čj. 34/04/SŘ-OSR Výtisk č. 1 ROZHODNUTÍ

ROZHODNUTÍ. za což se účastníku řízení v souladu s 45 odst. 3 zákona č. 101/2000 Sb. ukládá. pokuta ve výši Kč (slovy tři tisíce korun českých)

PŘÍKAZ. jako správce osobních údajů svých klientů podle čl. 4 bodu 7 nařízení (EU) 2016/679,

*UOOUX00D1JMU* PŘÍKAZ. ÚŘAD PRO OCHRANU OSOBNÍCH ÚDAJŮ Pplk. Sochora 27, Praha 7 tel.: , fax:

ROZHODNUTÍ. za což se mu v souladu s 45 odst. 3 zákona č. 101/2000 Sb. ukládá. pokuta ve výši Kč (slovy pět tisíc korun českých)

PROTOKOL O KONTROLE. Úřad pro ochranu osobních údajů, se sídlem Pplk. Sochora 727/27, Praha Holešovice, IČ: (dále jen Úřad )

ROZHODNUTÍ. pokuta ve výši Kč (slovy čtyřicet pět tisíc korun českých)

*UOOUX0042L8A* ROZHODNUTÍ. Zn. SPR-8505/11-14

PŘÍKAZ. tím, že neměl k dispozici žádnou smluvní dokumentaci, na základě které vymáhal dluh D. S. pro jeho věřitele J. K.,

/UOOUX009L0HW* Č.j. : UOOU 03261/ V Praze dne 26. května Protokol o kontrole

*UOOUX009JK4J* PŘÍKAZ. Čj. UOOU-04978/16-3

ENERGETICKY REGULACNI URAD Masarykovo náměstí 5, 586 Ol Jihlava

ROZHODNUTÍ. pokuta ve výši Kč (slovy třicet tisíc korun českých)

ROZHODNUTÍ. pokuta ve výši Kč (slovy dva tisíce korun českých)

Legislativní hranice identifikovatelnosti pacienta. Mgr. Konstantin Lavrushin

ROZHODNUTÍ. pokuta ve výši Kč (slovy čtyři tisíce korun českých)

P Ř Í K A Z N A M Í S T Ě

ROZHODNUTÍ. pokuta ve výši Kč (slovy sto tisíc korun českých)

ROZHODNUTÍ. pokuta ve výši Kč (slovy třicet tisíc korun českých)

Informace o zpracování osobních údajů fyzických osob

ROZHODNUTÍ. pokuta ve výši Kč (slovy patnáct tisíc korun českých)

Ochrana osobních údajů

ENERGETICKY REGULACNI URAD Masarykovo náměstí 5, Jihlava

P Ř Í K A Z N A M Í S T Ě

r '\tl,,'\tl ENERGETICKY REGULACNI URAD Masarykovo náměstí 5, 586 O 1 Jihlava v, PRIKAZ

KRAJSKÝ ÚŘAD JIHOMORAVSKÉHO KRAJE Odbor kontrolní a právní Žerotínovo náměstí 3/5, Brno

ENERGETICKY REGULACNI URAD Masarykovo náměstí 5, 586 O 1 Jihlava

POBOČKA OSTRAVA NÁDRAŽNÍ OSTRAVA 1 V Ostravě dne Č. j.: 2014/059372/CNB/768 Příkaz č. 15/2014 Počet stran: 5

P Ř Í K A Z N A M Í S T Ě. t a k t o : I. Právnická osoba TRAIS GOLD s.r.o., IČ , se sídlem Václavská 184/11,

ENERGETICKY REGULACNI URAD Masarykovo náměstí 5, 586 Ol Jihlava

ROZHODNUTÍ. pokuta ve výši Kč (slovy pět tisíc korun českých)

*UOOUX009E9FY* PŘÍKAZ. Čj. UOOU-03122/16-3

IDG Storage world, Ing. Miloš Šnytr

Pravidla ochrany osobních údajů

PŘÍKAZ. tedy povinnost správce shromažďovat osobní údaje odpovídající pouze stanovenému účelu a v rozsahu nezbytném pro naplnění stanového účelu,

ROZHODNUTÍ. pokuta ve výši Kč (slovy patnáct tisíc korun českých)

PŘÍKAZ. pokuta ve výši Kč (slovy sto třicet pět tisíc korun českých)

, v,,~ ENERGETICKY REGULACNI URAD Masarykovo náměstí 5, 586 Ol Jihlava. v, PRIKAZ

*UOOUX0043FCJ* Zn. INSP2-6235/ Praha 8. února 2012 KONTROLNÍ PROTOKOL

ENERGETICKY REGULACNI URAD Masarykovo náměstí 5, 586 O 1 Jihlava

ROZHODNUTÍ. částky ke zúčtování a uvnitř vchodu do domu na adrese Mařákova 1110,

ROZHODNUTÍ. pokuta ve výši Kč (slovy čtyřicet tisíc korun českých)

P Ř Í K A Z N A M Í S T Ě. t a k t o : A. Podnikající fyzická osoba Roman Barcal, IČO , Labské nábřeží 308/37,

r v,,"tll ENERGETICKY REGULACNI URAD Masarykovo náměstí 5, 586 O 1 Jihlava v, PRIKAZ

*UOOUX003J09K* ROZHODNUTÍ. Zn. SPR-4162/11-7

Osobní údaje získává Golferia House přímo od subjektu údajů, od třetích subjektů a z veřejných evidencí.

P Ř Í K A Z N A M Í S T Ě

P Ř Í K A Z N A M Í S T Ě

ENERGETICKY REGULACNI URAD Masarykovo náměstí 5, Jihlava

ENERGETICKY REGULACNI URAD Masarykovo náměstí 5, 586 Ol Jihlava

P Ř Í K A Z N A M Í S T Ě

, '\tf,,'\tf ENERGETICKY REGULACNI URAD Masarykovo náměstí 5, Jihlava PŘÍKAZ

pokuta ve výši Kč (slovy dva miliony tři sta tisíc korun českých)

P Ř Í K A Z N A M Í S T Ě

JUDr. Alena Kučerová Úřad pro ochranu osobních údajů OCHRANA OSOBNÍCH ÚDAJŮ V PROCESU DIGITALIZACE ZDRAVOTNICKÉ DOKUMENTACE

ROZHODNUTÍ. pokuta ve výši Kč (slovy dva tisíce korun českých)

ENERGETICKY REGULACNI URAD Masarykovo náměstí 5, Jihlava

ENERGETICKY REGULACNI URAD Masarykovo náměstí 5,58601 Jihlava

SMLOUVA O ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ

ROZHODNUTÍ. rozhodnutí:

r v,., 'tti Masarykovo náměstí 5, Jihlava PRIKAZ

ROZHODNUTÍ. Čj. 1/04/SŘ-OSR Výtisk č. 1

Směrnice o ochraně osobních údajů

ROZHODNUTÍ O ULOŽENÍ POKUTY

*UOOUX009VT4G* ROZHODNUTÍ. Čj. UOOU-07635/16-11

Ochrana osobních údajů

*UOOUX0028E1E* ROZHODNUTÍ. Zn. SPR-5651/09-18

ROZHODNUTÍ. Odůvodnění

PŘÍKAZ. pokuta ve výši Kč (slovy tři tisíce korun českých)

rozhodnutí: Odůvodnění:

Interní směrnice o ochraně osobních údajů (GDPR) NATUR TRAVEL s.r.o.

P Ř Í K A Z N A M Í S T Ě

*UOOUX0089P9Y* PŘÍKAZ. Čj. UOOU-06974/15-3

P Ř Í K A Z N A M Í S T Ě. t a k t o : A. Právnická osoba ALFORAT s.r.o., IČO , Pražská 3002/16, Teplice Prosetice:

Ing. Rudolf Baldík odbor životního prostředí oddělení státní správy lesů a myslivosti

Směrnice starosty SH ČMS

*UOOUX003OQD5* ROZHODNUTÍ. Zn. REG-0281/09-23

ENERGETICKY REGULACNI URAD Masarykovo náměstí 5, 586 Ol Jihlava

P Ř Í K A Z N A M Í S T Ě

č. j /2015-ERU

ENERGETICKY REGULACNI URAD Masarykovo náměstí 5, Jihlava

Transkript:

*UOOUX009CVDO* Čj. UOOU-02069/16-6 ROZHODNUTÍ Úřad pro ochranu osobních údajů, jako příslušný správní orgán podle 10 zákona č. 500/2004 Sb., správní řád, 2 odst. 2 a 46 odst. 4 zákona č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů, a 17e odst. 6 zákona č. 133/2000 Sb., o evidenci obyvatel a rodných číslech a o změně některých zákonů (zákon o evidenci obyvatel), rozhodl dne 31. března 2016 takto: Je prokázáno, že účastník řízení: ČESKÁ CENTRÁLA CESTOVNÍHO RUCHU, příspěvková organizace, se sídlem Vinohradská 1896/46, 120 00 Praha - Vinohrady, IČ: 49277600, v souvislosti s pořádáním kurzů a projektů v oblasti cestovního ruchu, jako správce osobních údajů zájemců a účastníků projektů podle 4 písm. j) zákona č. 101/2000 Sb., v přesně nezjištěnou dobu, nejméně ke dni 29. září 2015, I. tím, že nedefinoval standardizovaný proces zálohování dat účastníků kurzů a projektů a ani nezavedl technicko-organizační opatření na ochranu osobních údajů, porušil povinnost stanovenou v 13 odst. 1 zákona č. 101/2000 Sb., tedy povinnost správce přijmout taková opatření, aby nemohlo dojít k neoprávněnému nebo nahodilému přístupu k osobním údajům, k jejich změně, zničení, či ztrátě, neoprávněným přenosům, k jejich jinému neoprávněnému zpracování, jakož i k jinému zneužití osobních údajů, II. dále tím, že u automatizovaného zpracování osobních údajů prostřednictvím programového vybavení MS Excel neměl zajištěno pořizování elektronických záznamů, tj. neprováděl logování, porušil povinnost stanovenou v 13 odst. 4 písm. c) zákona č. 101/2000 Sb., tedy povinnost správce pořizovat v oblasti automatizovaného zpracování osobních údajů elektronické záznamy, které umožní určit a ověřit, kdy, kým a z jakého důvodu byly osobní údaje zaznamenány nebo jinak zpracovány,

III. a dále tím, že zpracovával rodná čísla přesně nezjištěného počtu zájemců o kurzy získaná z registračního webového formuláře,

porušil povinnost stanovenou v 13 odst. 9 zákona č. 133/2000 Sb., podle kterého je rodné číslo oprávněna užívat a rozhodovat o jeho využívání v mezích stanovených zákonem výlučně fyzická osoba, které bylo rodné číslo přiděleno, nebo její zákonný zástupce; jinak lze rodné číslo využívat jen v případech stanovených v 13c odst. 1 tohoto zákona, a tím spáchal v bodě I a II správní delikt podle 45 odst. 1 písm. h) zákona č. 101/2000 Sb., neboť nepřijal nebo neprovedl opatření pro zajištění bezpečnosti zpracování osobních údajů, a v bodě III správní delikt podle 17e odst. 1 písm. b) zákona č. 133/2000 Sb., neboť neoprávněně využíval rodná čísla, za což se mu v souladu s 17e odst. 2 zákona č. 133/2000 Sb. ukládá pokuta ve výši 18.000 Kč (slovy osmnáct tisíc korun českých) splatná do 30 dnů ode dne nabytí právní moci tohoto rozhodnutí bezhotovostním převodem na účet vedený u ČNB, č. ú. 3754-67724011/0710, variabilní symbol IČ účastníka řízení, konstantní symbol 1148, a dále podle 79 odst. 5 správního řádu povinnost nahradit náklady řízení ve výši 1.000 Kč, splatné do 30 dnů ode dne nabytí právní moci tohoto příkazu bezhotovostním převodem na účet vedený u ČNB, č. ú. 19-5825001/0710, variabilní symbol IČ účastníka řízení, konstantní symbol 1148. Odůvodnění Správní řízení pro podezření ze spáchání správního deliktu podle 45 odst. 1 písm. h) zákona č. 101/2000 Sb. a správního deliktu podle 17e odst. 1 písm. b) zákona č. 133/2000 Sb., v souvislosti s pořádáním kurzů a projektů v oblasti cestovního ruchu, bylo zahájeno příkazem Úřadu pro ochranu osobních údajů (dále jen Úřad ), který byl účastníku řízení, příspěvkové organizaci ČESKÁ CENTRÁLA CESTOVNÍHO RUCHU, doručen dne 26. února 2016. Podkladem pro zahájení řízení byl písemný materiál shromážděný v rámci kontroly provedené inspektorem Úřadu PhDr. Petrem Krejčím ve dnech 3. září až 10. prosince 2015. Dne 7. března 2016 byl Úřadu doručen odpor účastníka řízení proti výše uvedenému příkazu. V souladu s 150 odst. 3 správního řádu byl podaným odporem příkaz zrušen a správní orgán pokračoval ve správním řízení. Z výše uvedeného spisového materiálu vyplývá, že je účastník řízení příspěvkovou organizací přímo řízenou Ministerstvem pro místní rozvoj. Dne 4. února 2013 a 28. března 2015 byl na základě splnění oznamovací povinnosti podle 16 odst. 1 zákona č. 101/2000 Sb. účastník řízení zaregistrován jako správce osobních údajů v souvislosti s realizací vzdělávacích projektů a za účelem sběru statistických dat,

sdělování novinek v oblasti cestovního ruchu a zaslání případných výher ve spotřebitelských soutěžích. Dále ze spisového materiálu vyplývá, že základním cílem kontrolované osoby je propagace České republiky jako destinace cestovního ruchu v zahraničí a v České republice. K dosažení tohoto cíle využívá účastník řízení destinační marketing, dále koordinuje činnosti v oblasti cestovního ruchu, mediálně prezentuje Českou republiku, zajišťuje informační podporu cestovního ruchu, provádí výzkumné a vzdělávací činnosti a v neposlední řadě musí ekonomicky a administrativně zajistit chod agentury. V rámci ústního jednání, které proběhlo u účastníka řízení dne 29. září 2015, mj. účastník řízení sdělil rozsah zpracovávaných osobních údajů, který je u každého projektu či kurzu z části rozdílný, kdy záleží právě na druhu daného projektu či kurzu. Např. v rámci kurzů určených pro zaměstnance z předem dohodnuté společnosti je jedním z osobních údajů i rodné číslo zaměstnance, které má sloužit dle vyjádření účastníka řízení pro identifikaci přijaté platby za konání semináře. Jedná se tedy o povinný údaj, který musí zájemce o kurz v registračním formuláři vyplnit. Dále ze spisového materiálu plyne, že účastník řízení vykonává svou činnost buď v rámci Operačního programu Lidské zdroje a zaměstnanost (dále jen OPLZZ ) nebo mimo tento projekt. V rámci projektu OPLZZ získává účastník řízení osobní údaje prostřednictvím webových stránek projektu, kam je na základě souhlasu se zpracování osobních údajů a souhlasu s podmínkami účasti zadává pověřená osoba. Dodavatel projektu následně předává originály prezenčních listin obsahující osobní údaje účastníkovi řízení, který je realizátorem projektu. Ze získaných dat účastník řízení vypracovává informace o plnění monitorovacích indikátorů projektu, které předává Ministerstvu práce a sociálních věcí, a to včetně scanu prezenčních listin. Tyto zpracované monitorovací indikátory obsahují souhrnné informace o počtu účastníků. Originály prezenčních listin spolu s osobními údaji v elektronické podobě jsou účastníkem řízení uchovávány. Do kurzů pořádaných mimo projekt OPLZZ v letech 2014 a 2015 se zájemci přihlašovali prostřednictvím registračního formuláře na webových stránkách účastníka řízení. Získané osobní údaje jsou uloženy na disku zaheslovaného počítače, zaměstnance účastníka řízení, podobně jako databáze zájemců o kurzy OPLZZ. Po vložení údajů z webového formuláře se data převádí do tabulky ve formátu xls a takto vzniklá tabulka je uložena ve výše zmíněném počítači. Účastník řízení se též vyjádřil, že zpracovává osobní údaje pouze elektronicky. Vzhledem k tomu, že zpracování osobních údajů probíhá pouze prostřednictvím programového vybavení MS Excel, nemá účastník řízení zajištěno pořizování elektronických záznamů, tzv. logů. Z tohoto důvodu účastník řízení nepořizuje záznamy o tom, kdo, kdy a z jakého důvodu osobní údaje zaznamenal či jinak zpracoval. V podaném odporu účastník řízení nejprve shrnul některé závěry plynoucí z kontrolního protokolu, a to, že účastník řízení zpracovával osobní údajů podle 4 písm. a) zákona č. 101/2000 Sb. a je tedy správcem osobních údajů. Dále kontrolní orgán dospěl k závěru, že mělo být porušeno ustanovení 13c odst. 1 písm. c) zákona č. 133/2000 Sb., k čemuž uvedl, že se jednalo o výjimečný případ v době provedené kontroly, který byl použit po dobrovolném sdělení subjektu údajů.

Dále účastník řízení uvedl další kontrolní zjištění, kdy údajně neměl v době provedené kontroly zajištěné IT služby od žádného poskytovatele v tom smyslu, aby bylo bráněno uložení osobních údajů v počítačích jednotlivých manažerů projektů, do kterých je řízený přístup zabezpečený uživatelským heslem. K tomu sdělil, že době provedení kontroly provádělo IT služby pro účastníka řízení Ministerstvo pro místní rozvoj. Dle účastníka řízení případně vedená IT služba v době provádění kontroly byla ihned zabezpečena po provedené kontrole. Na výše uvedené kontrolní závěry reagoval účastník řízení v podaném odporu tak, že byly všechny výtky uvedené v protokolu o kontrole ihned vyřešeny. Vzdělávací kurz z webových stránek byl odstraněn a databáze rodných čísel byla smazána. Byl zajištěn seznam databází software, kompletní dokumentace aplikací, v nichž jsou zpracovány osobní údaje, byl zajištěn přístup a logování přístupu prostřednictvím IT Ministerstva pro místní rozvoj. V tomto smyslu je dál situace projednávána se správcem, tj. s Ministerstvem pro místní rozvoj. Z výše uvedených důvodů je dle účastníka řízení patrné, že intenzita porušení předpisů, pokud k němu došlo, byla velmi malá. Žádné z porušení neznamenalo negativní následek na straně jedné, a veškerá opatření doporučená provádějící kontrolou byla ihned přijata a realizována. S ohledem na to mělo být přihlédnuto ve smyslu 17e odst. 4 zákona č. 133/2000 Sb. k závažnosti správního deliktu, ke způsobu jeho spáchání a jeho následkům a k okolnostem, za nichž byl spáchán. I když je možné dle 17e odst. 2 zákona č. 133/2000 Sb. ukládat pokutu až do 1 mil. Kč [pozn. správního orgánu: za správní delikt podle 17e odst. 1 písm. b) zákona č. 133/2000 Sb. lze uložit sankci až do výše 10 mil. Kč, nikoli 1 mil. Kč, jak uvádí účastník řízení], je účastník řízení toho názoru, že stačilo projednání celé věci, shledání provedené nápravy s tím, že žádná pokuta neměla být uložena. K předmětu řízení lze konstatovat, že údaje zájemců v rozsahu jméno, příjmení, pozice v zaměstnání, datum narození, kraj činnosti, e-mailová adresa, telefonní číslo, organizace a v některých případech i rodné číslo jsou nepochybně osobní údaje ve smyslu 4 písm. a) zákona č. 101/2000 Sb., neboť se vztahují k jednoznačně určenému, resp. určitelnému subjektu údajů. Účastník řízení je správcem osobních údajů zájemců a účastníků kurzů a projektů jím pořádaných v souvislosti s předmětem jeho činnosti, kterou je podpora podnikatelského prostředí se zaměřením na cestovní ruch. Účastník řízení je správcem osobních údajů ve smyslu 4 písm. j) zákona č. 101/2000 Sb., který stanoví, že správcem osobních údajů je každý subjekt, který určuje účel a prostředky zpracování osobních údajů, provádí zpracování a odpovídá za něj. Účelem zpracování osobních údajů je evidence souhrnných číselných hodnot, monitorovacích indikátorů pro potřeby povinně předkládaných monitorovacích zpráv. Prostředky zpracování osobních údajů jsou pro účastníka řízení stanoveny Metodickou příručkou pro příjemce OPLZZ, Metodikou monitorovacích indikátorů a Rozhodnutím o poskytnutí dotace, kterým je i ke sběru a uchovávání osobních údajů vázána. Účastník řízení tedy jako správce těchto osobních údajů odpovídá za dodržování povinností stanovených pro jejich zpracování zákonem č. 101/2000 Sb. Za zpracování osobních údajů je podle 4 písm. e) zákona č. 101/2000 Sb. považována jakákoliv operace nebo soustava operací, které správce nebo

zpracovatel systematicky provádějí s osobními údaji, a to automatizovaně nebo jinými prostředky. Zpracováním osobních údajů se rozumí zejména shromažďování, ukládání na nosiče informací, zpřístupňování, úprava nebo pozměňování, vyhledávání, používání, předávání, šíření, zveřejňování, uchovávání, výměna, třídění nebo kombinování, blokování a likvidace. Osobní údaje zájemců a účastníků kurzů a projektů jsou shromažďovány účastníkem řízení, následně jsou uchovávány v elektronické podobě a používány účastníkem řízení pro jím vymezené účely, jedná se tedy o zpracovávání osobních údajů ve smyslu zákona č. 101/2000 Sb. K výroku I tohoto rozhodnutí správní orgán uvádí, že jednou z povinností správce osobních údajů je povinnost stanovená v 13 odst. 1 zákona č. 101/2000 Sb., tj. povinnost přijmout taková opatření, aby nemohlo dojít k neoprávněnému nebo nahodilému přístupu k osobním údajům, k jejich změně, zničení či ztrátě, neoprávněným přenosům, k jejich jinému neoprávněnému zpracování, jakož i k jinému zneužití osobních údajů. Ze spisového materiálu vyplývá, že účastník řízení ke zpracování osobních údajů využívá registrační webové formuláře, jejichž dodavateli jsou různé společnosti. Získaná data jsou uložena v zaheslovaném souboru ve formátu xls v osobním počítači manažera konkrétního projektu, přičemž přístup do počítače je též zaheslován. Dále bylo zjištěno, že zálohovaná data projektu jsou uložena na externím disku manažera projektu, v uzamykatelné zásuvce jeho kancelářského stolu. Avšak vzhledem k tomu, že není definován standardizovaný proces zálohování, účastník řízení neeviduje přehled aplikací jednotlivých projektů, zda jsou provozovány interně nebo formou externí služby, ani zavedená technicko-organizační opatření na ochranu osobních údajů, je zřejmé, že účastník řízení porušil povinnost stanovenou v 13 odst. 1 zákona č. 101/2000 Sb. K výroku II tohoto rozhodnutí správní orgán uvádí, že podle 13 odst. 4 písm. c) zákona č. 101/2000 Sb. je v oblasti automatizovaného zpracování osobních údajů správce nebo zpracovatel v rámci opatření podle 13 odst. 1 povinen také pořizovat elektronické záznamy, které umožní určit a ověřit, kdy, kým a z jakého důvodu byly osobní údaje zaznamenány nebo jinak zpracovány. Ze spisového materiálu není pochyb o tom, že dochází k automatizovanému zpracování osobních údajů, protože účastník řízení uchovává osobní údaje pouze v elektronické podobě. Dále k tomuto správní orgán uvádí, že pokud má účastník řízení zpracovávané osobní údaje uloženy pouze v tabulce xls formátu, nemá zajištěnu výše uvedenou povinnost spočívající v pořizování elektronických záznamů (logů) všech přístupů k daným osobním údajům, tj. která oprávněná osoba přistoupila k databázi subjektů údajů, z jakého důvodu, kdy přesně byl proveden přístup, příp. jaké byly provedeny změny. Proto i v tomto bodě správní orgán dospěl k závěru, že účastník řízení porušil 13 zákona č. 101/2000 Sb. K výroku III tohoto rozhodnutí, a tedy ke zpracování rodných čísel, je třeba uvést, že speciální právní úprava týkající se právních titulů k jejich zpracování je obsažena v 13 odst. 9 zákona č. 133/2000 Sb., podle kterého je oprávněna užívat nebo rozhodovat o jeho využití výlučně fyzická osoba, které bylo rodné číslo přiděleno, nebo její zákonný zástupce; jinak lze rodné číslo využívat jen v případech stanovených v 13c odst. 1 tohoto zákona. Podle tohoto ustanovení lze rodná čísla využívat jen, jde-li o činnost ministerstev, jiných správních úřadů, orgánů pověřených výkonem státní správy, soudů, vyplývající z jejich zákonem stanovené působnosti,

nebo notářů pro potřebu vedení Centrální evidence závětí, stanoví-li tak zvláštní zákon, nebo se souhlasem nositele rodného čísla nebo jeho zákonného zástupce. Vzhledem k předmětu řízení nelze použít výjimky v 13c odst. 1 písm. a) a písm. b) zákona č. 133/2000 Sb. a pro využití rodného čísla je tedy ve smyslu 13c odst. 1 písm. c) zákona č. 133/2000 Sb. potřeba souhlasu nositele rodného čísla, nebo jeho zákonného zástupce. Ze spisového materiálu vyplývá, že rodné číslo bylo při vyplňování registračního formuláře zcela zjevně vynucováno, tedy se nejednalo o souhlas ve smyslu 4 písm. n) zákona č. 101/2000 Sb., podle kterého je souhlasem subjektu údajů svobodný a vědomý projev vůle subjektu údajů, jehož obsahem je svolení subjektu údajů se zpracováním osobních údajů. Účastník řízení tak neprokázal (viz též 5 odst. 4 zákona č. 101/2000 Sb.), že by disponoval souhlasem subjektů údajů ke zpracování jejich rodných čísel a tedy je zpracovával bez relevantního právního titulu. K argumentaci účastníka řízení, že v době kontroly pro něj provádělo IT služby Ministerstvo pro místní rozvoj a po provedené kontrole byly tyto služby ihned zabezpečeny, správní orgán uvádí, že ačkoli IT služby zajišťovalo pro účastníka řízení dané ministerstvo, odpovídá za plnění povinností plynoucích ze zákona č. 101/2000 Sb., příp. zákona č. 133/2000 Sb. stále sám účastník řízení jako správce osobních údajů. Přestože účastník řízení tvrdí, že všechny výtky uvedené v protokolu o kontrole byly ihned vyřešeny (vzdělávací kurz byl z webových stránek odstraněn, databáze rodných čísel byla smazána, byla zajištěna dokumentace aplikací, přístup a jeho logování), skutková podstata správních deliktů byla naplněna, což dokazuje sám účastník řízení již tím, že se nedostatky snažil napravit ex post, jak sám v odporu uvedl. Správní orgán nicméně zohlednil skutečnosti uvedené účastníkem řízení v odůvodnění odporu, jako např. to, že provedl nápravu protiprávního stavu ihned po provedené kontrole, při stanovení výše sankce. Správní orgán tedy na základě výše uvedeného považuje za prokázané, že účastník řízení porušil svým jednáním povinnost stanovenou v 13 odst. 1 zákona č. 101/2000 Sb., tedy povinnost přijmout taková opatření, aby nemohlo dojít k neoprávněnému nebo nahodilému přístupu k osobním údajům, k jejich změně, zničení, či ztrátě, neoprávněným přenosům, k jejich jinému neoprávněnému zpracování, jakož i k jinému zneužití osobních údajů, dále povinnost stanovenou v 13 odst. 4 písm. c) zákona č. 101/2000 Sb., tedy povinnost správce pořizovat v oblasti automatizovaného zpracování osobních údajů elektronické záznamy, které umožní určit a ověřit, kdy, kým a z jakého důvodu byly osobní údaje zaznamenány nebo jinak zpracovány, a dále povinnost stanovenou v 13 odst. 9 zákona č. 133/2000 Sb., podle kterého je rodné číslo oprávněna užívat a rozhodovat o jeho využívání v mezích stanovených zákonem výlučně fyzická osoba, které bylo rodné číslo přiděleno, nebo její zákonný zástupce; jinak lze rodné číslo využívat jen v případech stanovených v 13c odst. 1 tohoto zákona. Při stanovení výše sankce bylo jako k přitěžující okolnosti přihlédnuto zejména ke skutečnosti, že účastník řízení spáchal více správních deliktů. Jako další přitěžující okolnost správní orgán zhodnotil skutečnost, že mezi zpracovávanými

osobními údaji bylo i rodné číslo jako obecný identifikátor občana, přičemž jeho zpracování pro daný účel bylo nadbytečné. Jako k polehčující okolnosti správní orgán přihlédl k nízké možnosti ohrožení zneužít předané osobní údaje a dále též ke skutečnosti, že byla účastníkem řízení zajištěna náprava nedostatků zjištěných v průběhu kontroly. Po posouzení všech shora uvedených skutečností rozhodl správní orgán o uložení sankce při samé dolní hranici zákonné sazby (konkrétně ve výši 0,18 % nejvyšší možné sazby). Při rozhodnutí o uložení povinnosti uhradit náklady řízení správní orgán vycházel z ustanovení 79 odst. 5 správního řádu, který správnímu orgánu ukládá povinnost uložit paušální částkou náhradu nákladů řízení účastníkovi, který řízení vyvolal porušením své právní povinnosti, a z 6 odst. 1 vyhlášky č. 520/2005 Sb., o rozsahu hotových výdajů a ušlého výdělku, které správní orgán hradí jiným osobám, a o výši paušální částky nákladů řízení, kterou se stanoví paušální částka nákladů správního řízení ve výši 1.000 Kč. S ohledem na výše uvedené, bylo rozhodnuto, jak je uvedeno ve výroku tohoto rozhodnutí. Poučení: V souladu s 152 odst. 1 správního řádu lze u oddělení správních činností Úřadu pro ochranu osobních údajů proti tomuto rozhodnutí podat ve lhůtě 15 dnů ode dne doručení rozhodnutí rozklad předsedkyni Úřadu pro ochranu osobních údajů. Rozhodnutí je doručeno dnem převzetí stejnopisu, nejpozději ale desátým dnem od jeho uložení na poště. V případě doručování do datové schránky je dnem doručení okamžik přihlášení oprávněné osoby do datové schránky, nejpozději ale desátý den ode dne dodání rozhodnutí do datové schránky. Praha 31. března 2016 otisk úředního razítka Vanda Foldová vedoucí oddělení správních činností

2024 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář