Ministerstvo (UOOU-04097/20)
Kontrola zpracování osobních údajů zaměstnanců v informačních a komunikačních systémech
Kontrolu Úřad zahájil na základě kontrolního plánu. Předmětem kontroly bylo dodržování povinností stanovených kontrolované osobě obecným nařízením a zákonem č. 110/2019 Sb., o zpracování osobních údaj, v souvislosti se zpracováním osobních údajů zaměstnanců v informačních a komunikačních systémech.
Kontrolováno bylo zpracování osobních údajů zaměstnanců ve 21 samostatných informačních a komunikačních systémech a aplikacích využívaných ministerstvem, vč. zvláštních kategorií osobních údajů ve smyslu čl. 9 odst. 1 obecného nařízení (údaje o zdravotním stavu, biometrické údaje), a činnost zpracovatele údajů postupujícího podle smlouvy naplňující požadavky čl. 28 odst. 3 obecného nařízení.
Kontrolující ověřili zákonnost zpracování ve smyslu čl. 6 odst. 1 obecného nařízení, resp. též ve smyslu čl. 9 odst. 2 obecného nařízení ve vztahu ke zvláštní kategorii osobních údajů.
V rámci kontroly Úřad konstatoval, že kontrolovaná osoba poskytuje subjektům údajů všechny informace, které jsou čl. 13 obecného nařízení předpokládány. Nebylo zjištěno ani porušení povinností odpovídajících právům subjektů údajů, upravených v čl. 15, čl. 16, čl. 17, čl. 18 a čl. 21 obecného nařízení.
V zabezpečení zpracovávaných osobních údajů byly zjištěny některé dílčí nedostatky (např. formální neaktuálnosti v některých interních předpisech), tyto nicméně nedosahovaly úrovně neplnění stanovených povinností vztahujících se k zabezpečení. Úřad proto konstatoval, že kontrolovaná osoba neporušila ve vztahu k zabezpečení osobních údajů povinnosti společně stanovené čl. 24 odst. 1, čl. 25 odst. 1 a 2, čl. 32, čl. 5 odst. 1 písm. f) a čl. 5 odst. 2 obecného nařízení.
Taktéž v předložených záznamech o činnostech zpracování byly zjištěny nedostatky formálního charakteru. Kontrola však neodhalila porušení povinnosti podle čl. 30 obecného nařízení.
V průběhu kontroly Úřad zjistil, že pověřenec pro ochranu osobních údajů nebyl nijak zapojen v rámci plnění povinností kontrolované osoby vztahujících se k zabezpečení osobních údajů a ani ve vztahu k realizaci práv subjektů údajů. Pověřenci nebyly předkládány informace, které jsou pro výkon této funkce nezbytné (např. auditní zprávy), ani zdroje k plnění jeho úkolů, a to zejména zdroje časové a personální, když mu byly kromě plnění úkolů pověřence systematicky ukládány další úkoly s touto funkcí nesouvisející a pověřenci nebyla poskytnuta dodatečná personální kapacita.
Kontrola v návaznosti na zjištěné skutečnosti konstatovala, že kontrolovaná osoba porušila povinnost podle čl. 38 odst. 1 obecného nařízení tím, že nezajistila, aby byl pověřenec pro ochranu osobních údajů náležitě a včas zapojen do veškerých záležitostí souvisejících s ochranou osobních údajů zaměstnanců. Porušila též povinnost dle čl. 38 odst. 2 obecného nařízení tím, že pověřenci pro ochranu osobních údajů neposkytla zdroje nezbytné k plnění jeho úkolů, jakož i k přístupu k osobním údajům a operacím zpracování.
Kontrolovaná osoba proti kontrolním zjištěním neuplatnila námitky a v návaznosti na uvedená zjištění přistoupila k nápravě závadného stavu.
Doplňující informace
Pověřenci pro ochranu osobních údajů jsou zněním čl. 39 obecného nařízení uloženy úkoly, které má vykonávat. Aby však pověřenec mohl svěřené úkoly plnit, je nezbytné, aby správce osobních údajů zajistil náležité a včasné zapojení pověřence do veškerých záležitostí souvisejících s ochranou osobních údajů a aby mu poskytl zdroje, které potřebuje k plnění stanovených úkolů a taktéž k udržování svých odborných znalostí.