Česká školní inspekce
Kontrola zabezpečení osobních údajů žáků základních ško
Na základě ohlášení porušení zabezpečení osobních údajů a podnětu provedl Úřad kontrolu, jejímž předmětem bylo zabezpečení osobních údajů při jejich zpracování Českou školní inspekcí.
Obsahem podání byla informace, že došlo k porušení zabezpečení osobních údajů žáků základních škol v inspekčním systému elektronického testování, a to tím, že umožnil, aby v testovací aplikaci bylo možné získat osobní údaje stovek žáků v rozsahu jméno a příjmení žáka, třída, název testu, ke kterému je žák zaregistrován, a v některých případech i obecnou informaci o tom, že žák bude mít dle rozhodnutí ředitele školy test upraven.
Kontrolující proto konstatovali, že osobní údaje minimálně od 29. října do 7. listopadu 2018 nebyly náležitě zabezpečeny, respektive nebyly pomocí vhodných technických a organizačních opatření ochráněny před neoprávněným či protiprávním zpracováním, konkrétně před neoprávněným zpřístupněním. Kontrolující zjistili, že k porušení zabezpečení osobních údajů došlo i přes to, že kontrolovaná osoba přijala určitá technická a organizační opatření, aby zajistila zabezpečení, a zavedla záruky zpracování a minimalizace rizik negativních dopadů do práv a svobod subjektů údajů (provádí např. aktualizaci záznamů o činnostech zpracování, řízení přístupu k osobním údajům, logování).
Kontrolovaná osoba poté, co se o porušení zabezpečení dozvěděla, zajistila zastavení provozu systému a následnou úpravu testovací aplikace tak, aby osobní údaje byly náležitě zabezpečeny. Kontrolovaná osoba dle čl. 33 a 34 nařízení (EU) 2016/679 ohlásila porušení zabezpečení Úřadu a oznámila jej dotčeným subjektům údajů, respektive vzhledem ke skutečnosti, že nedisponovala kontaktními údaji dotčených subjektů údajů, uveřejnila oznámení na svých internetových stránkách a informovala ředitele škol, jejichž žáci byli dotčeni.
Úřad zjistil, že kontrolovaná osoba výše uvedeným jednáním porušila povinnosti stanovené čl. 5 odst. 1 písm. f) (integrita a důvěrnost) a čl. 32 nařízení (zabezpečení osobních údajů) (EU) 2016/679.
Vzhledem k tomu, že kontrolovaná osoba závadný stav neprodleně napravila, Úřad neuložil opatření k odstranění zjištěných nedostatků. S ohledem na skutečnost, že Česká školní inspekce je orgánem veřejné moci, Úřad ji ve správním řízení uznal vinnou ze spáchání přestupku a podle § 62 odst. 5 zákona č. 110/2019 Sb. od uložení pokuty upustil.
Kontrolu řídil inspektor Mgr. Daniel Rovan.
Doporučení
V návaznosti na posouzení rizika musí správce přijmout vhodná technická a organizační opatření. Dojde-li i přes přijetí těchto opatření k porušení zabezpečení osobních údajů, musí správce případ vždy zdokumentovat a dále vyhodnotit, zda je porušení zabezpečení povinen ohlásit Úřadu, případně jej oznámit dotčeným subjektům údajů.