Přejít k obsahu Přejít k hlavnímu menu
Kontakt

Osobní údaje pro parkovací zóny

V souvislosti se zprovozněním zón placeného parkování v hlavním městě Praze byla Úřadu doručena podání čtyř stěžovatelů. Na počátku roku 2008 byla ukončena řada pěti kontrol. Na základě zjištění z kontroly byla vedena čtyři správní řízení.

V jednom řízení bylo konstatováno, že městská část v souvislosti s vydáváním parkovacích karet do zón placeného stání neinformovala žadatele v řízení o vydání parkovacích karet o jejich právech vztahujících se k jím prováděnému zpracování, zejména pak o tom, jakým způsobem bude osobní údaje zpracovávat a komu mohou být osobní údaje zpřístupněny, o právu přístupu k osobním údajům a právu na opravu osobních údajů, a dále nepředložila dokument o tom, že přijala technicko-organizační opatření k zajištění ochrany osobních údajů žadatelů, čímž porušila povinnost stanovenou v § 11 odst. 1 a 2 zákona o ochraně osobních údajů, tedy povinnost informovat subjekty údajů o tom, v jakém rozsahu a pro jaký účel budou osobní údaje zpracovány, kdo a jakým způsobem bude osobní údaje zpracovávat a komu mohou být osobní údaje zpřístupněny, a informovat je o právu přístupu k osobním údajům, právu na opravu osobních údajů, jakož i o dalších právech stanovených v § 21 uvedeného zákona a dále je poučit o tom, zda je poskytnutí osobního údaje povinné či dobrovolné, a dále porušil povinnost stanovenou v § 13 odst. 2 zákona o ochraně osobních údajů, tedy povinnost zpracovat a dokumentovat přijatá a provedená technicko-organizační opatření k zajištění ochrany osobních údajů subjektů údajů v souladu se zákonem a jinými právními předpisy, za což jí byla uložena pokuta ve výši 12.000 Kč.

Žadatelům o vydání parkovací karty byly poskytnuty pouze informace o rozsahu a účelu zpracování jejich osobních údajů, za zpřístupněné je možné částečně považovat informace o subjektech odpovědných za zpracování. Městská část nepoužila ani odkazy na dokumenty zveřejněné nebo jinak poskytované jiným subjektem a nemohla tedy předpokládat, že by žadatelé z takových zdrojů informace v rozsahu stanoveném v § 11 odst. 1 a 2 zákona o ochraně osobních údajů mohli získat.

Dále lze k předmětu řízení i jemu předcházející kontroly konstatovat, že městská část má jako správce povinnost přijmout dle § 13 odst. 1 a 2 zákona o ochraně osobních údajů taková opatření, aby nemohlo dojít k neoprávněnému nebo nahodilému přístupu k osobním údajům žadatelů, jejich změně, zničení či ztrátě, neoprávněným přenosům, k jejich jinému neoprávněnému zpracování, jakož i k jinému zneužití jejich osobních údajů, a dále povinnost zpracovat a dokumentovat přijatá a provedená technicko-organizační opatření k zajištění ochrany osobních údajů, včetně fyzické (objektové) bezpečnosti a bezpečnosti komunikační sítě.

Předložená a zjištěná dokumentace bezpečnostních opatření však byla neúplná; sice obsahovala popis opatření organizační povahy, včetně řídící kontroly, ale technická (technologická) opatření dokumentována nebyla, především z důvodu absence projektové a provozní dokumentace k systému, kterou neobsahuje ani v minimální míře smluvní dokumentace k systému. V rámci kontroly bylo dále zjištěno, že dokumentované bezpečnostní opatření bylo provedeno a je průběžně, resp. trvale užíváno. Technicko-organizační opatření tvořící součást systému však nebylo možné vyhodnotit, zejména nebylo možné ověřit, zda byly pořizovány elektronické záznamy, které umožňují určit a ověřit, kdy, kým a z jakého důvodu byly osobní údaje zaznamenány nebo jinak zpracovány v rozsahu stanoveném v § 13 odst. 4 zákona o ochraně osobních údajů.