ÚOOÚ - Reakce na výsledné znění mimořádného opatření k evidenci zákazníků v provozovnách

Úřad s ohledem na publikaci konečného znění mimořádného opatření doplňuje své stanovisko K vedení evidence zákazníků některými poskytovateli služeb a k prokazování výsledků testů na SARS-CoV-2 ze strany zákazníků ze dne 29. dubna 2021.

S ohledem na skutečnost, že mimořádné opatření bylo vyhlášeno v pozměněném znění oproti verzi zveřejněné vládou dne 26. dubna 2021, a to pod č. j. MZDR 14601/2021-7/MIN/KAN ze dne 29. dubna 2021, je třeba korektně upozornit na změnu, jež může mít vliv na dílčí závěry Úřadu prezentované v odkazovaném vyjádření a na provádění mimořádného opatření ze strany poskytovatelů služeb.

Až v připojeném odůvodnění mimořádného opatření byl zmíněn rozsah zpracovávaných osobních údajů a doba jejich uchování. Odůvodnění k tomu uvádí: „Evidence údajů poskytovatele služby je na dobu nezbytnou pro provedení epidemiologického šetření orgánem ochrany veřejného zdraví, a to v nezbytném rozsahu. Taková evidence, aby mohla sloužit pro uvedený účel, by měla obsahovat identifikaci zákazníka (jméno, příjmení), kontaktní údaje zákazníka (nejlépe telefonní číslo), informaci o čase poskytnutí služby (od kdy, do kdy) a informaci, který zaměstnanec poskytoval služby tomuto zákazníkovi. Tuto evidenci by měl poskytovatel uchovávat 30 dnů.“ 

Ačkoliv tím nebyly zhojeny pochybnosti o právním základu pro nařízení povinnosti vést evidenci zákazníků, a to specificky s uvedenými parametry, absence posouzení vlivu na ochranu osobních údajů či řada dalších vytknutých nedostatků, jedná se o indikaci, v jakém maximálním rozsahu bude evidence ze strany orgánů veřejného zdraví či jiných kontrolních orgánů od poskytovatelů služeb vyžadována. 

Bez ohledu na to lze poskytovatelům služeb doporučit, budou-li zpracovávat osobní údaje vymezené v odůvodnění mimořádného opatření, aby nepřekračovali indikovaný rozsah údajů a dobu jejich uchování. Zvláště je nutno zdůraznit, že součástí evidence nemá být originál či kopie listiny, kterou se osvědčují skutečnosti, jimiž je vstup do provozovny podmíněn (potvrzení, prohlášení, certifikáty).  

Zároveň je nutno obecně upozornit, že odpovědnost za eventuální následně zjištěnou protiprávnost mimořádného opatření ve kterémkoliv jeho ustanovení stíhá primárně původce mimořádného opatření, nikoliv adresáty povinností, vůči nimž není ani stanoveno, zda „pro potřeby epidemiologického šetření“ vystupují v pozici správců nebo zpracovatelů osobních údajů. Přitom ze strany poskytovatelů služeb by měla být každopádně naplněna informační povinnost vůči zákazníkům, že údaje obsažené v seznamu zákazníků (identifikační a kontaktní údaje), jimž byla poskytnuta služba, mohou být předány orgánům ochrany veřejného zdraví za účelem trasování nákazy COVID-19. 

Ve zbytku Úřad odkazuje na své vyjádření ze dne 29. dubna 2021


05.05.2021 (autor Redakce)





Související

ÚOOÚ - K vládnímu návrhu zákona o covid pasech

Úřad pro ochranu osobních údajů zaslal Poslanecké sněmovně Parlamentu své vyjádření k návrhu zákona, kterým...

 vydáno 09.06.2021 
Téma: Zákony a GDPR

Prohlášení Global Privacy Assembly (GPA) k použití zdravotních údajů pro cestování

Global Privacy Assembly (Světové shromáždění pro ochranu soukromí) zveřejnilo souhrn principů pro správné...

 vydáno 09.06.2021 
Téma: Evidence zpracování

ÚOOÚ - K prokazování totožnosti a zpracování osobních údajů

Úřad pro ochranu osobních údajů zveřejnil souhrnný materiál k prokazování totožnosti a zpracování osobních...

 vydáno 14.05.2021 
Téma: Evidence zpracování



Související dotazy
Odpovídá Mgr. Nikola Dohnalová
Obdobně, jako u jiných správců, doporučuji provést revizi interní dokumentace podle požadavků GDPR, nastavení interních procesů pro přístup k údajům...

Odpovídá Mgr. Nikola Dohnalová
S velkou pravděpodobností bude nutné doplnit souhlasy a poučení o zpracování osobních údajů. U aplikací provádějících složitější zpracování, resp....

Odpovídá Ing. Vladimír Paclík
Dobrý den, ano, chápete to správně. Jednak není třeba souhlas - existuje zákonný rámec - Zákoník práce, pak také smluvní rámec (samozřejmě ten by...



www.helpgdpr.cz
© Copyright 2000 - 2021, všechna práva vyhrazena - European Business Enterprise, a.s., Masarykovo nám. 14, Říčany
Firma je zapsána v obchodním rejstříku vedeném Městským soudem v Praze, oddíl B, vložka 8892, IČ 25130382, DIČ CZ25130382
E-mail: info@ebe.cz