Vojenská zdravotní pojišťovna ČR
1. srpna 2014
Inspektorka Úřadu provedla v termínu od 26. srpna 2013 do 6. února 2014 kontrolu Vojenské zdravotní pojišťovny České republiky (dále jen „VoZP ČR“), jejímž předmětem bylo dodržování povinností správce osobních údajů stanovených zákonem č. 101/2000 Sb., se zaměřením na zpracování osobních údajů pojištěnců VoZP v souvislosti s jejich registrací. Kontrola byla provedena dle zákona č. 101/2000 Sb., ve smyslu ustanovení § 31 téhož zákona a zákona č. 552/1991 Sb., o státní kontrole, ve znění pozdějších předpisů, na základě stížností celkem 22 subjektů údajů, jejichž meritem byla skutečnost, že osobní údaje stěžovatelů byly bez jejich souhlasu v první polovině roku 2012 využity k neoprávněné registraci k VoZP ČR.
Z kontroly vyplynulo, že došlo k neoprávněnému registrování subjektů údajů k VoZP ČR bez jejich vědomí, a to v důsledku zprostředkovatelské činnosti, probíhající na základě smlouvy o nevýhradním obchodním zastoupení, kterou VoZP ČR uzavřela s fyzickou osobou podnikající dle živnostenského zákona nezapsanou v obchodním rejstříku. Uvedená fyzická osoba vykonávala smluvní činnost prostřednictvím cca 200 „náborářů“. Ze zjištění kontrolujících vyplynulo, že k sepsání Přihlášek pojištěnců a Evidenčních listů zdravotní pojišťovny nedošlo za přítomnosti dotčených osob (stěžovatelů). Kontrolující inspektorka konstatovala, že VoZP ČR neměla dostatečně nastaveny mechanismy při přeregistraci pojištěnců prostřednictvím obchodních zástupců tak, aby odhalila, že došlo k předložení „fiktivních“ Přihlášek pojištěnců a Evidenčních listů zdravotní pojišťovny a zajistila tak jako správce osobních údajů klientů (pojištěnců) a potencionálních klientů, jejich shromažďování a zpracovávání v souladu se zákonem č. 101/2000 Sb. S ohledem na smlouvu s fyzickou osobou, jejímž cílem bylo zajištění nových klientů (pojištěnců), měla VoZP ČR již při uzavírání smlouvy nastavit interní pravidla pro ověřování údajů uvedených na Přihláškách pojištěnců a Evidenčních listech zdravotní pojišťovny, předávaných obchodním zástupcem spolu se jmenným seznamem osob podávajících Přihlášku pojištěnce, potažmo žádost o přeregistraci, a to ještě před provedením samotné registrace.
Povinnost registrovat pojištěnce ve smyslu zákona č. 48/1997 Sb., o veřejném zdravotním pojištění, v platném znění, kontrolující inspektorka tímto nezpochybnila, avšak konstatovala, že platí povinnosti správce osobních údajů, tedy VoZP ČR, vyplývající z ustanovení § 5 odst. 1 písm. c) zákona č. 101/2000 Sb., tj. zpracovávat přesné osobní údaje. VoZP ČR tím, že prokazatelně na základě „fiktivních“ Přihlášek pojištěnců a Evidenčních listů zdravotní pojišťovny, které jí byly předloženy obchodním zástupcem, zpracovávala nepřesné osobní údaje osob, čímž porušila jako správce osobních údajů klientů ustanovení výše uvedeného § 5 odst. 1 písm. c) zákona č. 101/2000 Sb.
VoZP ČR se nepřesvědčila o tom, že přijatá technicko-organizační opatření obchodního zástupce jako zpracovatele osobních údajů, odpovídají požadavkům na ochranu osobních údajů definovaných v § 13 zákona č. 101/2000 Sb.
Shodné prohlášení smluvních stran, že ve smyslu zákona č. 101/2000 Sb., má VoZP ČR pro účely plnění předmětu této smlouvy postavení správce a obchodní zástupce postavení zpracovatele, a že smluvní strany jsou si vědomy závazků vyplývajících z této smlouvy a nezbytného režimu ochrany osobních údajů, nebylo dle kontrolující inspektorky možné považovat za naplnění smyslu zákonem stanovené povinnosti, tedy skutečnosti, aby se správce osobních údajů přesvědčil o tom, že jeho zpracovatel bude zpracovávat osobní údaje tak, aby nemohlo dojít k neoprávněnému nebo nahodilému přístupu k osobním údajům, k jejich změně, zničení či ztrátě, neoprávněným přenosům, k jejich jinému neoprávněnému zpracování, jakož i k jinému zneužití osobních údajů. VoZP ČR porušila tímto svým jednáním povinnost stanovenou v § 6 zákona č. 101/2000 Sb.
VoZP ČR byla následně v rámci správního řízení za porušení povinnosti stanovené v § 5 odst. 1 písm. c) zákona č. 101/2000 Sb. uložena pokuta ve výši 70.000 Kč. Rozhodnutí o spáchání správního deliktu a uložení sankce nabylo právní moci 2. července 2014.
PaedDr. Jana Rybínová,
inspektorka Úřadu pro ochranu osobních údajů