Přejít k obsahu Přejít k hlavnímu menu
Kontakt

Dodavatel online rezervačního systému očkování (UOOU-0341/21)

Úřad provedl kontrolu zpracovatele osobních údajů, a to dodavatele online rezervačního systému očkování. Předmětem kontroly bylo především porušení zabezpečení, spočívající v chybě funkcionality systému webových stránek kontrolované osoby, která umožnila zobrazení čísla pojištěnce (a tím také rodného čísla) a jeho následný přenos do USA prostřednictvím nástroje pro získávání statistických dat Google Analytics.

Úřad provedl rozsáhlé šetření za účelem prověření autenticity udělených pokynů správce vůči zpracovateli (kontrolované osobě), na jejichž základě docházelo ke zpracování osobních údajů, včetně pokynů, které se týkaly vzniklého porušení zabezpečení, aby tak mohl spolehlivě určit odpovědnost za jeho vznik.

Úřad především konstatoval, že kontrolovaná osoba, jakožto další zpracovatel, je spolu se správcem odpovědná za porušení ustanovení čl. 32 odst. 1 písm. b) GDPR, neboť jako odborník neupozornila správce na nevhodnost pokynu k vytvoření systému, v rámci kterého URL adresa obsahovala číslo pojištence (rodné číslo) a tuto zpracovávala za současného použití služby Google Analytics, přičemž tímto došlo k úniku URL adres včetně čísel pojištenců v rozsahu cca 80 tisíc subjektů údajů. Ve vymezeném období nebylo zpracování osobních údajů kontrolovanou osobou prováděno v souladu s GDPR, když se toto zpracování řídilo smlouvou, aniž by tato naplňovala atributy čl. 28 odst. 3 GDPR. Dále porušovala také čl. 37 odst. 1 GDPR, neboť pro zpracování nejmenovala pověřence pro ochranu osobních údajů.

Kontrola byla zásadně ztěžována přístupem správce, který po téměř celou dobu trvání kontroly odmítal (a to navzdory opakovaným výzvám Úřadu) potvrdit tvrzení zpracovatele, že pokyny k nastavení systému tak, že došlo k porušení zabezpečení, byly vydány jím. Tyto potvrdil až poté, co kontrolovaná osoba podala námitky proti kontrolním zjištěním. Tento přístup se negativně projevil do délky kontroly, neboť potvrzení pokynu mělo klíčový význam pro určení odpovědnosti (resp. podílu na ní) za porušení zabezpečení. Ve věci bylo zahájeno správní řízení.

V této souvislosti Úřad předně zdůrazňuje, že je oprávněn kontrolovat i zpracovatele osobních údajů (tedy nejenom správce, který je primárně za zpracování osobních údajů odpovědný), přičemž je to i zpracovatel, který může být spoluodpovědný (a v některých případech i samostatně odpovědný) za porušení GDPR.