Kontrolní plán ÚOOÚ pro rok 2024

Na co se letos zaměří Úřad pro ochranu osobních údajů? Jaké sektory a typy zpracování dat bude kontrolovat? Odpovědi najdeme v kontrolním plánu ÚOOÚ na rok 2024!

Kontrolní plán ÚOOÚ pro rok 2024

Úřad pro ochranu osobních údajů zpřístupnil svůj kontrolní plán pro rok 2024. Zaměří se třeba na šíření obchodních sdělení poskytovateli rozvážkových služeb, nahrávání hovorů nebo na využití údajů z registru smluv. Jak kontrola u úřadu probíhá a na co byste si měli při kontrole dát pozor?

Kontrolní plán ÚOOÚ pro rok 2024
Co ÚOOÚ kontroluje

Úřad pro ochranu osobních údajů (ÚOOÚ) je ústředním správním úřadem pro oblast ochrany osobních údajů. Dohlíží zejména na zpracování osobních údajů v souladu s GDPR, zákonem č. 110/2019 Sb., o zpracování osobních údajů, a zvláštními právními předpisy (např. týkající se činnosti Policie ČR, Vězeňské služby ČR nebo schengenské spolupráce).

Velkou agendu ÚOOÚ tvoří také kontrola šíření obchodních sdělení podle zákona č. 480/2004 Sb., o některých službách informační společnosti.

Průběh kontroly

ÚOOÚ zahajuje kontrolu dvěma způsoby — na základě svého kontrolního plánu nebo na základě stížností a podnětů, které obdržel. Kontrola probíhá v souladu s pravidly vymezenými v zákoně č. 255/2012 Sb., o kontrole (kontrolní řád), a zákoně č. 500/2004 Sb., správní řád.

Kontrola má zpravidla tento scénář:

  1. ÚOOÚ vás před zahájením kontroly požádá o součinnost, vysvětlení a doložení relevantních skutečností. Pokud ÚOOÚ prokážete, že plníte zjišťované povinnosti (např. doložením dokumentace), máte obvykle vystaráno.

  2. Při trvajícím podezření na porušení předpisů ÚOOÚ zahájí kontrolu, zpravidla doručením oznámení se žádostí o součinnost.

  3. V rámci kontroly ÚOOÚ zjišťuje další fakta, ověřuje skutečnosti uvedené ve stížnosti, kontroluje nastavení pravidel pro zpracování a ochranu osobních údajů atd.

  4. Výsledek kontroly může, ale nemusí směřovat k uložení pokuty nebo nápravných opatření. I v této fázi můžete svá pochybení napravit a pokutě či nápravným opatřením se vyhnout. Nebo alespoň přispět k tomu, aby pokuta byla co nejnižší.

  5. Pokud ÚOOÚ zjistí nedostatky, zahájí správní řízení, ve kterém vám může uložit pokutu. Její výše záleží např. na tom, jak závažného porušení jste se dopustili, jaké osoby a v jakém počtu byly protiprávním zpracováním dotčeny, zda šlo o první porušení nebo jak jste s úřadem spolupracovali.

Kolik kontrol ročně ÚOOÚ zvládne?

V posledních letech úřad prováděl pouze desítky kontrol ročně, jak v oblasti zpracování osobních údajů, tak i zasílání obchodních sdělení:

 

Ochrana osobních údajů

Šíření obchodních sdělení

 

Zahájené kontroly

Ukončené kontroly

Zahájené kontroly

Ukončené kontroly

2019

63

75

5

17

2020

54

48

15

8

2021

52

43

11

13

2022

25

20

12

10

2023

35

25

13

15

Na co se ÚOOÚ zaměří v roce 2024?

Soukromý sektor

V prvním čtvrtletí ÚOOÚ zohlední obdržené stížnosti a vytipuje tři subjekty provozující rozvážkové služby, které zasílají svá obchodní sdělení e-mailem, prostřednictvím mobilní aplikace či přes SMS. Následně u těchto subjektů zkontroluje, zda obchodní sdělení zasílají v souladu s § 7 zákona č. 480/2004 Sb., o některých službách informační společnosti.

ÚOOÚ bude kontrolovat zejména dodržení následujících povinností:

  • Jestli kontrolované subjekty mají oprávnění obchodní sdělení zasílat. Tedy jestli jim adresát buď udělil platný souhlas, nebo je jejich zákazníkem, kterému zasílají nabídky vlastních produktů nebo služeb obdobných těm, které již čerpali v minulosti.

  • Jaký je obsah komunikace, zejména zda je zřetelně označena jako obchodní sdělení, zda je identifikován odesílatel a ten, v jehož prospěch je sdělení zasíláno, a zda obsahuje platnou adresu pro odhlášení se z odběru obchodního sdělení.

  • Jestli organize přestane obchodní sdělení posílat, jakmile se adresát z jejich odběru odhlásí.

Pokud se vás tyto kontroly mohou týkat, zkontrolujte vaše aktuální nastavení mailingu, resp. elektronického marketingu. Úřad může zajímat, jak vypadá vaše mailingová databáze a zda si vedete blacklisty kontaktů, na které už obchodní sdělení posílat nemůžete. Pozornost byste měli věnovat i nastavení formuláře pro sběr souhlasů s newslettery a registračního či objednávkového formuláře, ve kterém by zákazníci měli mít možnost zasílání obchodních sdělení předem odmítnout. Nezapomeňte také na to, že u těchto formulářů by měly být dostupné informace o zpracování osobních údajů. Ověřte si, jestli ve vašich šablonách pro obchodní sdělení nechybí zákonné náležitosti a jestli odkaz pro odhlášení se z odběru obchodních sdělení funguje.  To vše platí také pro zprávy zasílané v mobilních aplikacích či prostřednictvím SMS.

Nahrávání telefonů

Ve třetím čtvrtletí se ÚOOÚ zaměří na kontrolu nahrávání telefonických hovorů. V první fázi provede dotazníkové šetření a u vybraných soukromoprávních subjektů bude zjišťovat, za jakými účely hovory nahrávají, co je k tomu opravňuje a jestli nenadužívají souhlas s nahráváním hovorů. ÚOOÚ bude dále zajímat, jak volající informují o zpracování osobních údajů a jak dlouho nahrávky uchovávají.

Pokud telefonické hovory nahráváte, měli byste si vyjasnit, zda a k čemu nahrávky potřebujete, jak o nahrávání hovorů volající informujete, jak dlouho nahrávky uchováváte i zda máte k dispozici interní pravidla pro vedení hovorů a nakládání s nahrávkami. Měli byste si také ověřit, že volající řádně informujete o nahrávání a dokážete reagovat na související dotazy nebo na odvolání souhlasu s nahráváním během telefonátu, pokud je právním důvodem k nahrávání hovorů právě souhlas.

Dostatečnou pozornost byste nahrávání hovorů měli věnovat zejména tehdy, pokud vám volající v hovorech obvykle sdělují citlivé údaje (např. informace o zdraví). K jejich nahrávání totiž zpravidla potřebujete získat výslovný souhlas telefonujícího.

Veřejný sektor

Ve druhém čtvrtletí si ÚOOÚ posvítí na to, jak orgány veřejné moci využívají osobní údaje z registru obyvatel. Úřad bude zajímat hlavně to, k jakým účelů a na základě jakého právního důvodu úřady tyto údaje používají a zda řádně zaznamenávají své přístupy do registru.

Ve druhém a třetím čtvrtletí se ÚOOÚ bude věnovat rovněž kontrole zpracování osobních údajů v oblasti víz a schengenského prostoru. Úřad bude zejména kontrolovat zpracování osobních údajů zastupitelskými úřady při vydávání víz a používání Vízového, Schengenského a Celního informačního systému.

Koordinovaná kontrola vyřizování žádostí o přístup k osobním údajům

V průběhu roku 2024 proběhne také kontrolní akce v rámci unijního projektu „Coordinated Enforcement Framework 2024“ (CEF). Během této akce se ÚOOÚ, společně s dalšími dozorovými úřady z EU, zaměří na to, jak správci vyřizují žádosti o přístup k osobním údajům.

Podrobnosti o této akci bude skupina CEF začátkem letošního roku ještě dojednávat. Už nyní je ale vhodné si zkontrolovat, jestli máte stanovena interní pravidla pro řešení žádostí o přístup k osobním údajům a zda pověřené osoby skutečně vědí, jak žádosti řešit, jaké informace mají žadatelům poskytovat a jaké jsou pro vyřízení žádosti stanoveny lhůty.