Úřad pro ochranu osobních údajů

Kontrolovaná osoba zpracovává osobní údaje v souladu se zákonnými podmínkami dle čl. 6 odst. 1 písm. b), c), f) obecného nařízení a dále se souhlasem subjektů údajů za účelem marketingu a zlepšování služeb. Kontrolovaná osoba plní informační povinnost na svých webových stránkách zveřejněním dokumentu „Informace o zpracování osobních údajů zákazníka“, který obsahuje transparentní informace dle čl. 12–14 obecného nařízení, včetně jednotlivých práv subjektů údajů.  Přijatá technicko-organizační opatření kontrolované osoby jsou ve vztahu k ochraně osobních údajů popsána zejména v dokumentu Bezpečnostní politika a směrnice o zpracování osobních údajů“ a dále v analýze rizik a záznamech o činnostech zpracování osobních údajů.  Kontrolou bylo zjištěno, že kontrolovaná osoba nevede záznamy o přístupech (logování) k osobním údajům s ohledem na velmi malá rizika zpracování osobních údajů a vzhledem k malému počtu zaměstnanců. 

Kontrolující v této souvislosti v protokolu o kontrole konstatovali, že logování přístupů k osobním údajům není v obecném nařízení direktivně stanoveno jako povinnost správce, přesto se stává standardní ochranou a nezbytnou součástí zabezpečení osobních údajů. Dále kontrolující uvedli, že volba správce nevést logování přístupů k osobním údajům je spojena s větší odpovědností za přijatá opatření k zabezpečení údajů. V případě, že dojde k neoprávněnému přístupu k osobním údajům, popřípadě k jejich zneužití a správce nebude v daném případě schopen prokázat, kdo, kdy a za jakým účelem k osobním údajům neoprávněně přistoupil, bude odpovídat za vzniklé protiprávní následky v plném rozsahu.  S ohledem na malá rizika při zpracování osobních údajů a malý počet zaměstnanců rozhodli kontrolující výše uvedené zjištění neposuzovat jako porušení čl. 5 odst. 1 písm. f), resp. čl. 32 obecného nařízení.