Úřad pro ochranu osobních údajů zveřejnil plán kontrol pro rok 2023
Úřad pro ochranu osobních údajů („Úřad“) je jediným dozorovým úřadem pro oblast ochrany osobních údajů v České republice. Jeden z hlavních úkolů Úřadu je monitorování a vymáhání uplatňování nařízení o ochraně osobních údajů (GDPR). K naplnění této povinnosti Úřad provádí zejména dva druhy kontrol – kontroly na základě stížností a podnětů a kontroly v souladu s ročním kontrolním plánem.
Incidenční kontroly Úřad provádí zejména na základě podnětů a stížností subjektů údajů (tj. fyzických osob) nebo dalších subjektů, organizací či sdružení. Vedle těchto neplánovaných kontrol Úřad každoročně sestavuje a zveřejňuje kontrolní plán, ve kterém jsou vymezeny plánované kontroly pro daný rok. V kontrolním plánu jsou vždy vymezeny subjekty, kterých se kontrola bude týkat a předpokládané období, ve kterém kontrola proběhne.
V roce 2023 se Úřad zaměří zejména na následující oblasti:
- dodržování a výkon práv subjektů údajů dle čl. 15 až 21 GDPR, a to konkrétně v případě dvou soudních exekutorů;
- zpracování osobních údajů systémem Eurodac, tj. systémem pro porovnávání otisků prstů a celkové nastavení odpovídajících procesů takového zpracování Ministerstvem vnitra;
- kontrola zpracování osobních údajů získávaných v rámci vízového procesu Ministerstvem zahraničních věcí, popř. vybranými zastupitelskými úřady;
- provozování kamerových systémů se zaměřením na sběr, uchování a přístup k biometrickým osobním údajům u soukromého subjektu;
- plnění povinností zpracovatele v případě soukromého subjektu, a to zejména s ohledem na zapojování dalších zpracovatelů, informování o změnách v zapojení dalších zpracovatelů, doložení způsobu projednání změn v oblasti zapojení dalších zpracovatelů se správcem nebo dodržování smlouvy uzavřené mezi zpracovateli;
- kontrola právních titulů pro zpracování osobních údajů v rámci telemarketingu a plnění informační povinnosti vůči subjektům údajů, a to u soukromého subjektu;
- tvorba databází soukromým subjektem, a to hlavně s ohledem na zdroje osobních údajů, právní titul pro zpracování osobních údajů v rámci databází, způsob plnění informační povinnosti a způsob výkonu práv subjektů údajů;
- zpracování osobních údajů v souvislosti s vydáváním občanských průkazů Ministerstvem vnitra, včetně zmapování zapojených subjektů, kteří se na zpracování osobních údajů podílejí;
- nastavení doby uchovávání osobních údajů, plnění informační povinnosti vůči subjektům údajů, výkon práv subjektů údajů a zapojení pověřence pro ochranu osobních údajů;
- zpracování osobních údajů zaměstnavateli v rámci docházkových systémů, a to zejména s ohledem na to, jaké kategorie osobních údajů jsou zpracovávány, po jakou dobu a v jakém rozsahu;
- dodržování zásad zpracování osobních údajů při využívání sociálních sítí ministerstvy při komunikaci s veřejností;
- postavení pověřenců pro ochranu osobních údajů v rámci koordinované kontrolní akce s dalšími evropskými dozorovými úřady; a
- dodržování podmínek při šíření obchodních sdělení prostřednictvím SMS zpráv u dvou soukromých subjektů.
V případě plánovaných kontrol se Úřad zaměřuje především na palčivé aktuální problémy v oblasti zpracování osobních údajů nebo na hodnocení výkonu nových povinností ve vztahu k osobním údajům vznikajících se změnou právních předpisů. A tak i přes to, že výše uvedené kontroly budou prováděny pouze u vybraných subjektů, pro ostatní správce a zpracovatele osobních údajů se jedná o cenné informace, na jaké oblasti se Úřad zaměřuje a v jakých oblastech si překontrolovat, zda zpracování osobních údajů probíhá v souladu s právními předpisy.
Další vývoj v oblasti nejen osobních údajů pro Vás nadále sledujeme a budeme Vás o něm informovat. V případě zájmu o podrobnější informace se prosím obraťte na autorky článku nebo na další členy advokátní kanceláře EY Law či týmu EY, se kterými spolupracujete.