Vyjádření Úřadu k rezervačnímu systému očkování proti COVID-19
Úřad pro ochranu osobních údajů zahajuje kontrolu soukromého dodavatele online rezervačního systému očkování, provozovaného prostřednictvím platformy https://reservatic.com/ockovani. Děje se tak na základě obdržených stížností obsahujících vážná podezření na porušení právních předpisů ochrany osobních údajů při jejich zpracování v rámci online registrace na očkování proti nemoci COVID-19 (Centrální rezervační systém pro očkování proti COVID-19) a na základě informací z médií.
Předmětem kontroly bude zejména posouzení oprávněnosti předávání osobních údajů (tj. zejména rodných čísel pojištěnců) do USA prostřednictvím souborů cookies (aktuálně: ads/ga-audiences, NID, _ga, _gat, _gid, collect), prověření bezpečnostních záruk takového předávání, jakož i plnění informační povinnosti při zpracovávání osobních údajů v rámci Centrálního rezervačního systému pro očkování proti COVID-19. „Ověříme, jakým způsobem je nakládáno s osobními údaji občanů České republiky, kteří se registrují přes Centrální rezervační systém pro očkování proti COVID-19, a zda je toto nakládání s osobními údaji v souladu s obecným nařízením,“ prohlásil předseda Úřadu Jiří Kaucký.
V této souvislosti je třeba uvést, že Úřad obdržel dne 20. ledna 2021 ohlášení porušení zabezpečení osobních údajů od Ministerstva zdravotnictví České republiky a Národní agentury pro komunikační a informační technologie. Údajně „chybou při funkcionalitě rezervačního systému https://reservatic.com/ockovani?cpoj=xxxxxxxxx&pin2=yyyyyy“ provozovaného soukromým dodavatelem mělo dojít k zobrazení čísla pojištěnce (a tím také rodného čísla) a následnému přenosu do systému Google Analytics a sdílení se společností Google. Dle ohlášení již byla přijata vhodná opatření k nápravě. Úřad přijatá opatření podrobí detailní kontrole a posoudí dostatečnost a vhodnost, případně nařídí, aby správce (Ministerstvo zdravotnictví) nebo zpracovatel (dodavatel systému) učinili další potřebné kroky.
Součástí šetření Úřadu bude i ověření, zda jsou při zpracování osobních údajů dodržovány závěry vyplývající z rozhodnutí rozsudku Evropského soudního dvora ve věci C-311/18, které omezilo přenos osobních údajů mimo Evropskou unii. O tomto rozsudku již Úřad informoval.
O výsledných zjištěních a závěrech bude Úřad veřejnost po ukončení kontroly informovat.