Úřad dokončil v roce 2022 kontrolu, jejímž předmětem bylo dodržování povinností Ministerstva zdravotnictví při zpracování osobních údajů subjektu údajů v souvislosti s elektronickým certifikátem EU COVID-19, zpřístupněném na očkovacím portálu https://ocko.uzis.cz/, včetně aplikací „Tečka“ a „čTečka“.
V rámci této kontroly se Úřad zejména soustředil na povinnosti dle čl. 32 GDPR, tedy povinnosti týkající se zabezpečení zpracování osobních údajů.
Úřad shledal v rámci kontrolního protokolu, že kontrolovaná osoba „neplní povinnosti dle čl. 32 nařízení (EU) 2016/679, jelikož:
-
v souvislosti s vydáváním původních certifikátů docházelo při načtení QR kódu čtečkou v mobilním zařízení ke zpřístupnění údaje o číslu pojištěnce držitele certifikátu;
-
v aplikaci čTečka nebylo znemožněno pořizování screenshotu displeje, což je v rozporu se smyslem aplikace, tedy ověření platnosti certifikátů, bez zanechání elektronické stopy s osobními údaji o tomto ověření.“
Podané námitky předseda Úřadu zamítl. Zjištěná porušení kontrolovaná osoba následně napravila, nebyl tedy důvod zahajovat správní řízení o uložení nápravného opatření.
Úřad si je vědom citlivosti údajů o očkování, a proto provedl hloubkovou kontrolu zabezpečení zpracování osobních údajů v rámci aplikací, jež s těmito údaji pracovaly, a požadoval maximální úroveň zabezpečení údajů o zdravotním stavu.
