Zdravotní pojišťovny (UOOU-05364/20, UOOU-00343/21)
Úřad v roce 2021 provedl dvě kontroly zdravotních pojišťoven, jež zaměřil na zpracování osobních údajů souvisejících s registrací pojištěnců.
Kontrola u první zdravotní pojišťovny byla zahájena na základě podnětů a stížností osob, které uvedly, že byly neoprávněně bez jejich vědomí přihlášeny k registraci za pojištěnce této zdravotní pojišťovny.
V rámci kontroly byla prověřena neoprávněná „přeregistrace” čtyř osob. Uvedené osoby se o tom dozvěděly až v době, kdy jim původní zdravotní pojišťovna oznámila, že jsou přeregistrovány ke kontrolované osobě nebo v době, kdy jim byla doručena písemná informace, že jsou nově registrovány u kontrolované osoby. Spolu s uvedenou informací obdržely také nový Evropský průkaz zdravotního pojištění. O přeregistraci výše nevěděly a přihlášky k registraci u kontrolované osoby nepodepsaly . Z pohledu pravidel pro zpracování osobních údajů se především jednalo o porušení čl. 6 obecného nařízení, neboť přeregistrace probíhaly bez předchozího informování nových pojištěnců (tedy bez jejich vědomí). Jednalo se tedy o zpracování osobních údajů bez jakéhokoliv právního titulu k takovému zpracování, přičemž v průběhu roku 2020 sama kontrolovaná osoba evidovala 264 obdobných případů neoprávněných přeregistrací.
Kontrola byla dokončena vyřízením námitek kontrolované osoby ke konci roku 2021, přičemž v návaznosti na to zahájil Úřad správní řízení za účelem zamezení popsaného závažného problému a uložení nápravy.
Kontrola u druhé zdravotní pojišťovny byla zahájena na základě stížnosti, ve které stěžovatel uvedl, že nikdy neučinil žádné úkony směřující ke změně zdravotní pojišťovny, přesto obdržel písemné potvrzení o své přeregistraci ke kontrolované osobě.
Úřad v této souvislosti zjistil, že pojišťovna sice eviduje vyplněnou a podepsanou přihlášku pojištěnce (stěžovatele), avšak osoba, která údajně s využitím občanského průkazu stěžovatele přihlášku podepsala, nebyla totožná se stěžovatelem. Tento nezákonný stav nastal mj. v důsledku toho, že pojišťovna nepřijala vnitřní předpis ani pracovní postup, který by upravoval vnitřní kontrolní mechanismy a vhodná technicko-organizační opatření zabraňující tomu, aby bez vědomí dotčených osob mohlo docházet ke zpracovávání jejich osobních údajů na základě pouhého vyplnění formuláře. Úřad předně konstatoval, že pojišťovna porušila povinnost správce osobních údajů dle čl. 25 odst. 1 obecného nařízení tím, že nezavedla organizační, nebo technická opatření k naplnění zásady přesnosti osobních údajů.
V navazujícím správním řízení pak byla pojišťovně uložena konkrétní opatření k nápravě uvedeného závadného stavu, zejména nastavení interních mechanismů, které zamezí „divokým” nezákonným přeregistracím.
Doporučení:
Popsaný problém poukazuje na důležitost důsledného dodržování principu záměrné ochrany osobních údajů (též známý jako rivacy by default), dle kterého je třeba, aby správci posuzovali pravděpodobný důsledek zpracování osobních údajů pro práva a svobody fyzických osob již před zahájením předmětného zpracování.