Úřad pro ochranu osobních údajů

Kontrola byla zahájena na základě stížnosti. Předmětem kontroly bylo dodržování povinností stanovených GDPR a zákonem č. 110/2019 Sb., o zpracování osobních údajů, v souvislosti se zpracováním osobních údajů v rámci spisové služby stavebního úřadu. Stěžovatelka uvedla, že stavební úřad ztratil spis vedeného řízení o dodatečném povolení stavby a o potvrzení existence stavby. Úřad tuto skutečnost při kontrole ověřil a provedl též šetření na místě s cílem vyloučit systémové pochybení města (kontrolované osoby) při vedení spisové služby. Předložená interní dokumentace, předvedení užívání konkrétního software i procesů stavebního řízení systémovému pochybení v oblasti zabezpečení osobních údajů nenasvědčilo.

Úřad však u ztráty konkrétního spisu vyhodnotil, že toto porušení zabezpečení osobních údajů mělo být městem zadokumentováno (povinnost daná čl. 33 odst. 5 GDPR) a nahlášeno Úřadu (povinnost dle čl. 33 odst. 1 GDPR). Kontrolovaná osoba tyto povinnosti nesplnila, neboť ztrátu spisu za porušení zabezpečení nepovažovala. Tomu však Úřad nemohl přisvědčit, neboť ani v době kontroly nebylo zřejmé, zda je spis skartován, ztracen v rámci budovy (např. přiřazením k jinému spisu) či došlo k manipulaci se spisem neoprávněnou osobou, která by jej stále mohla mít v držení. Ztráta spisu, který obsahuje též osobní údaje, může v takovém případě nepochybně vést k riziku pro práva a svobody fyzických osob. 

Proti kontrolním zjištěním kontrolovaná osoba nepodala námitky.

Doplňující informace: Ohlašování případů porušení zabezpečení osobních údajů podléhá ohlašovací povinnosti dle čl. 33 GDPR (ohlášení Úřadu), příp. též dle čl. 34 GDPR (ohlášení subjektu údajů). Pro ohlašovací povinnost je rozhodné riziko pro práva a svobody fyzických osob:

·         Pokud je nepravděpodobné, že by porušení zabezpečení mělo za následek riziko pro práva a svobody fyzických osob – správce případ porušení zabezpečení zadokumentuje dle čl. 33 odst. 5 GDPR, ohlášení Úřadu nebo subjektu údajů neprovádí.

·         Pokud je pravděpodobné, že porušení zabezpečení bude mít za následek riziko pro práva a svobody fyzických osob – správce případ porušení zabezpečení zadokumentuje dle čl. 33 odst. 5 GDPR a provede ohlášení Úřadu dle čl. 33 odst. 1, 3 a 4 GDPR.

·         Pokud je pravděpodobné, že porušení zabezpečení bude mít za následek vysoké riziko pro práva a svobody fyzických osob – správce případ porušení zabezpečení zadokumentuje dle čl. 33 odst. 5 GDPR, provede ohlášení Úřadu dle čl. 33 odst. 1, 3 a 4 GDPR a nadto provede ohlášení subjektu údajů dle čl. 34 GDPR.

GDPR počítá s tím, že veškeré informace, které mají být ohlášeny dozorovému úřadu (čl. 33 odst. 3 GDPR), nemusí mít správce okamžitě k dispozici (ohlášení musí být provedeno bez zbytečného odkladu a pokud možno do 72 hodin od okamžiku, kdy se o něm správce dozvěděl). V takovém případě lze učinit prvotní ohlášení ve stanovené lhůtě a informace postupně doplňovat bez dalšího odkladu (čl. 33 odst. 4 GDPR), jakmile je správce bude mít k dispozici na základě svého dalšího šetření.