ÚOOÚ - Vyjádření k nahodilým únikům informací o očkovaných osobách

Úřad pro ochranu osobních údajů není oprávněn řešit nahodilé a jednorázové úniky informací o očkovaných osobách a jejich zdravotním stavu do médií, jelikož nejde o součást systematického zpracování osobních údajů.

„Nicméně by naším úkolem mělo být zjišťovat v případě úniku osobních údajů, odkud k tomuto úniku došlo,“ uvedl předseda Úřadu Jiří Kaucký. Dle § 50 odst. 1 zákona č. 110/2019 Sb., o zpracování osobních údajů, je Úřad ústředním správním úřadem pro oblast ochrany osobních údajů v rozsahu stanoveném tímto zákonem, jinými právními předpisy, mezinárodními smlouvami, které jsou součástí právního řádu, a přímo použitelnými předpisy Evropské unie.

V případě zveřejněných informací o očkování konkrétní osoby ve zdravotnickém zařízení, kdy zjevně nejde o systémové pochybení, ale o nahodilou situaci, nejde ani o porušení čl. 5 obecného nařízení (GDPR), popisujícího zásady zpracování osobních údajů, konkrétně odst. 1 písm. b) obecného nařízení, kdy osobní údaje musí být shromažďovány pro určité, výslovně vyjádřené a legitimní účely a nesmějí být dále zpracovávány způsobem, který je s těmito účely neslučitelný. Přičemž správce osobních údajů, v tomto případě zdravotnické zařízení, podle čl. 5 odst. 2 obecného nařízení odpovídá za dodržení těchto zásad zpracování osobních údajů.

Přestože tedy nejde o působnost Úřadu, mohlo by se jednat o pochybení zaměstnance, který porušil ustanovení § 301 písm. a) zákoníku práce, podle kterého jsou zaměstnanci povinni pracovat řádně podle svých sil, znalostí a schopností, plnit pokyny nadřízených vydané v souladu s právními předpisy a spolupracovat s ostatními zaměstnanci. Případné porušení povinnosti zachování mlčenlivosti v souvislosti se zdravotními službami dle § 51 odst. 1 a 5 zákona č. 372/2011 Sb., o zdravotních službách a podmínkách jejich poskytování (zákon o zdravotních službách), ve znění pozdějších předpisů, za které dle § 177 odst. 4 téhož zákona hrozí pokuta ve výši 1 000 000 Kč, Úřadu nepřísluší posuzovat. Dle názoru Úřadu může být dokonce úmyslné jednání zaměstnance za určitých podmínek (zejména způsobení vážné újmy na právech nebo oprávněných zájmech osoby, jíž se osobní údaje týkají) posuzováno jako trestný čin dle § 180 trestního zákoníku.

„Jestliže nejde o nahodilou situaci, je podle čl. 33 obecného nařízení platnou povinností ohlásit porušení zabezpečení osobních údajů Úřadu (do 72 hodin od zjištění takového incidentu). Pouze pokud je nepravděpodobné, že by toto porušení mělo za následek riziko pro práva a svobody fyzických osob, není nahlášení nutné,“ upřesnil předseda Úřadu Jiří Kaucký.

Dále upozorňujeme, že dle čl. 9 odst. 2 písm. e) obecného nařízení se rovněž nezakazuje zpracování zvláštních kategorií osobních údajů, pokud se zpracování týká osobních údajů zjevně zveřejněných subjektem údajů.

Je však také třeba mít na paměti, že může dojít k porušení zabezpečení osobních údajů i zvenčí. Typickým příkladem jednání, které může mít za následek riziko pro práva a svobody fyzických osob, je kybernetický incident, kdy je veden útok na počítač, ve kterém jsou osobní údaje zpracovávány, jehož důsledkem je únik osobních údajů, jejich pozměnění nebo jiné zneužití. Dalším takovým útokem zvenčí může být např. ztráta listinných dokumentů obsahujících osobní údaje, které byly součástí manuálně vedené evidence (kartotéky) fyzických osob nebo byly vytištěny z počítače, ve kterém je taková evidence vedena a obsah těchto dokumentů zakládá riziko pro dotčené osoby (např. ztráta zdravotnické dokumentace). I zde je však nutné rozlišovat rozsah porušení zabezpečení. Úřad nicméně řeší samotné nastavení ochrany osobních údajů správcem, včetně opatření, která byla nastavena poté, co k porušení zabezpečení osobních údajů došlo, s cílem jej vyřešit a neopakovat, nikoli útok jako takový.

Závěrem je nutné zdůraznit, že i když Úřad není oprávněn řešit případy ochrany osobnosti podle občanského zákoníku, zejména v souvislosti s pomluvami a uváděním nepravdivých a nesprávných informací ohledně očkovaných osob v tisku a na internetu, neznamená to, že by takové jednání nebylo protiprávní. V takových případech je ovšem nutno se obrátit přímo na provozovatele médií, případně na soud nebo na příslušný státní orgán. 


29.01.2021 (autor Redakce)





Související

EDPB přijal pokyny ke kodexům chování jakožto nástroje k předávání osobních údajů

EDPB schválil konečné znění pokynů k virtuálním hlasovým asistentům. Tento dokument má poskytnout doporučení...

 vydáno 11.10.2021 
Téma: GDPR a procesy

ÚOOÚ - K vládnímu návrhu zákona o covid pasech

Úřad pro ochranu osobních údajů zaslal Poslanecké sněmovně Parlamentu své vyjádření k návrhu zákona, kterým...

 vydáno 09.06.2021 
Téma: Zákony a GDPR

Prohlášení Global Privacy Assembly (GPA) k použití zdravotních údajů pro cestování

Global Privacy Assembly (Světové shromáždění pro ochranu soukromí) zveřejnilo souhrn principů pro správné...

 vydáno 09.06.2021 
Téma: Evidence zpracování



Související dotazy
Odpovídá Mgr. Nikola Dohnalová
Obecně poveřenec pro ochranu osobních údajů nenese osobní odpovědnost za nedodržování Obecného nařízení. Čl. 24 odst. 1 Obecného nařízení jasně...

Odpovídá Mgr. Martin Leskovjan
Článek 83 Obecného nařízení upravuje obecné podmínky pro ukládání správních pokut. Dle tohoto ustanovení by správní pokuty měly být především...

Odpovídá Mgr. Nikola Dohnalová
Ne není. Čl. 38 odst. 3 Obecného nařízení stanoví, že pověřenec pro ochranu osobních údajů v souvislosti s plněním svých úkolů není správcem či...



www.helpgdpr.cz
© Copyright 2000 - 2021, všechna práva vyhrazena - European Business Enterprise, a.s., Masarykovo nám. 14, Říčany
Firma je zapsána v obchodním rejstříku vedeném Městským soudem v Praze, oddíl B, vložka 8892, IČ 25130382, DIČ CZ25130382
E-mail: info@ebe.cz