Přejít k obsahu Přejít k hlavnímu menu
Kontakt

Obchodní společnost – distributor energií

Kontrola přijetí technicko-organizačních opatření

Kontrola byla provedena na základě ohlášeného porušení zabezpečení osobních údajů. Předmětem kontroly bylo dodržování povinností stanovených kontrolované osobě nařízením (EU) 2016/679 v souvislosti s předáním osobních údajů odběratelů plynu (kteří zároveň nebyli odběrateli elektřiny), poskytnutých na základě § 8 odst. 10 zákona č. 348/2005 Sb., o rozhlasovém a televizním vysílání. Dle toho ustanovení je dodavatel, zajišťující dodávku elektřiny odběratelům, povinen na požádání sdělit provozovateli vysílání, se kterými odběrateli uzavřel smlouvu o dodávce elektřiny. Dodavatel zajišťující dodávku elektřiny odběratelům předá do 30 dnů ode dne doručení žádosti vedle adresy odběrného místa následující údaje: jméno, popřípadě jména a příjmení, datum narození a adresu trvalého pobytu, u cizinců popřípadě dlouhodobého pobytu odběratele, který je fyzickou osobou, jméno, příjmení, popřípadě obchodní firmu, místo podnikání a identifikační číslo odběratele, který je fyzickou osobou, která je podnikatelem, obchodní firmu nebo název, právní formu, sídlo a identifikační číslo odběratele, který je právnickou osobou, název, sídlo a identifikační číslo odběratele, který je organizační složkou státu nebo územního samosprávného celku.

Shora uvedená povinnost se netýká odběratelů plynu. Kontrolovaná osoba zjistila incident až na základě stížnosti zákaznice, kterou kontaktoval Český rozhlas v souvislosti s placením koncesionářského poplatku. Vlastní provedenou analýzou kontrolovaná osoba zjistila, že její zaměstnanec nesprávně pracoval s databázemi zákazníků odebírajících elektřinu i plyn.

Předáním databáze, která obsahovala osobní údaje o odběratelích plynu Českému rozhlasu a České televizi, došlo k nezákonnému způsobu zpracování osobních údajů, neboť pro předání osobních údajů o odběratelích plynu nedisponovala kontrolovaná osoba žádným právním titulem.

Kontrolou bylo zjištěno, že kontrolovaná osoba na postup při vyřizování uvedené povinnosti neměla zpracován samostatný řídicí dokument pro jednotlivé exporty dat, práce s daty se řídily obecnými postupy stanovenými v řídicí dokumentaci pro ochranu osobních údajů a pro informační a kybernetickou bezpečnost. Přijatá (obecná) opatření a pokyny pro zaměstnance do doby zjištění porušení vedly k porušení postupu zaměstnance při vytváření předmětné databáze a tím i k porušení ustanovení nařízení (EU) 2016/679.

Bezodkladně po zjištění nesprávně vygenerované databáze byl vydán pokyn, stanovující způsob postupu zaměstnanců při vytváření uvedených databází a kontrolovaná osoba zároveň provedla školení zaměstnanců. Dále byli informováni zástupci České televize a Českého rozhlasu, kteří byli požádáni o součinnost, výmaz/anonymizaci osobních údajů, zastavení procesu upomínání a vymáhání koncesionářských poplatků ve vztahu k neoprávněně předaným osobním údajům.

Úřad konstatoval, že kontrolovaná osoba výše uvedeným jednáním porušila povinnosti stanovené čl. 6 odst. 1 (zákonnost zpracování) a čl. 29 (zpracovávání pouze na pokyn správce) nařízení (EU) 2016/679.

Vzhledem k tomu, že kontrolovaná osoba závadný stav neprodleně napravila, Úřad neuložil opatření k odstranění zjištěných nedostatků a uložil pokutu ve výši 40 000 Kč.

Doplňující informace

V návaznosti na posouzení rizika musí správce přijmout vhodná technická a organizační opatření. Dojde-li i přes přijetí těchto opatření k porušení zabezpečení osobních údajů, musí správce případ vždy projednat, tj. zdokumentovat a vyhodnotit povahu incidentu, a posoudit, zda je porušení zabezpečení povinen ohlásit Úřadu, případně jej oznámit dotčeným subjektům údajů. V klíčových postupech zpracování a ochrany údajů, zejména při pravidelném předávání dokumentů/informací obsahujících osobní údaje, musí každý správce a zpracovatel mít nastaveny a pravidelně vyhodnocovat také mechanismy zajišťující eliminaci a kontrolu případů selhání lidského faktoru, které umožní odhalení chyb jednotlivce.