Kontrolu Úřad zahájil na základě
kontrolního plánu. Předmětem kontroly bylo dodržování povinností stanovených
kontrolované osobě obecným nařízením a zákonem č. 110/2019 Sb., o zpracování
osobních údaj, v souvislosti se zpracováním osobních údajů zaměstnanců v
informačních a komunikačních systémech.
Kontrolováno bylo zpracování
osobních údajů zaměstnanců ve 21 samostatných informačních a komunikačních
systémech a aplikacích využívaných ministerstvem, vč. zvláštních kategorií
osobních údajů ve smyslu čl. 9 odst. 1 obecného nařízení (údaje o zdravotním
stavu, biometrické údaje), a činnost zpracovatele údajů postupujícího podle
smlouvy naplňující požadavky čl. 28 odst. 3 obecného nařízení.
Kontrolující ověřili zákonnost
zpracování ve smyslu čl. 6 odst. 1 obecného nařízení, resp. též ve smyslu čl. 9
odst. 2 obecného nařízení ve vztahu ke zvláštní kategorii osobních údajů.
V rámci kontroly Úřad
konstatoval, že kontrolovaná osoba poskytuje subjektům údajů všechny informace,
které jsou čl. 13 obecného nařízení předpokládány. Nebylo zjištěno ani porušení
povinností odpovídajících právům subjektů údajů, upravených v čl. 15, čl. 16,
čl. 17, čl. 18 a čl. 21 obecného nařízení.
V zabezpečení zpracovávaných
osobních údajů byly zjištěny některé dílčí nedostatky (např. formální
neaktuálnosti v některých interních předpisech), tyto nicméně nedosahovaly
úrovně neplnění stanovených povinností vztahujících se k zabezpečení. Úřad
proto konstatoval, že kontrolovaná osoba neporušila ve vztahu k
zabezpečení osobních údajů povinnosti společně stanovené čl. 24 odst. 1, čl. 25
odst. 1 a 2, čl. 32, čl. 5 odst. 1 písm. f) a čl. 5 odst. 2 obecného nařízení.
Taktéž v předložených záznamech o
činnostech zpracování byly zjištěny nedostatky formálního charakteru. Kontrola
však neodhalila porušení povinnosti podle čl. 30 obecného nařízení.
V průběhu kontroly Úřad
zjistil, že pověřenec pro ochranu osobních údajů nebyl nijak zapojen v rámci
plnění povinností kontrolované osoby vztahujících se k zabezpečení
osobních údajů a ani ve vztahu k realizaci práv subjektů údajů. Pověřenci
nebyly předkládány informace, které jsou pro výkon této funkce nezbytné (např.
auditní zprávy), ani zdroje k plnění jeho úkolů, a to zejména zdroje
časové a personální, když mu byly kromě plnění úkolů pověřence systematicky
ukládány další úkoly s touto funkcí nesouvisející a pověřenci nebyla
poskytnuta dodatečná personální kapacita.
Kontrola v návaznosti na
zjištěné skutečnosti konstatovala, že kontrolovaná osoba porušila povinnost
podle čl. 38 odst. 1 obecného nařízení tím, že nezajistila, aby byl pověřenec
pro ochranu osobních údajů náležitě a včas zapojen do veškerých
záležitostí souvisejících s ochranou osobních údajů zaměstnanců. Porušila
též povinnost dle čl. 38 odst. 2 obecného nařízení tím, že pověřenci pro
ochranu osobních údajů neposkytla zdroje nezbytné k plnění jeho úkolů, jakož i
k přístupu k osobním údajům a operacím zpracování.
Kontrolovaná osoba proti
kontrolním zjištěním neuplatnila námitky a v návaznosti na uvedená
zjištění přistoupila k nápravě závadného stavu.
Doplňující informace:
Pověřenci pro ochranu osobních údajů jsou zněním
čl. 39 obecného nařízení uloženy úkoly, které má vykonávat. Aby však pověřenec
mohl svěřené úkoly plnit, je nezbytné, aby správce osobních údajů zajistil náležité
a včasné zapojení pověřence do veškerých záležitostí souvisejících
s ochranou osobních údajů a aby mu poskytl zdroje, které potřebuje
k plnění stanovených úkolů a taktéž k udržování svých odborných
znalostí.
