EDPB přijal závěrečnou zprávu ke společné kontrolní akci CEF 2024

Společná dozorová akce byla zaměřena na implementaci práva subjektů údajů na přístup k osobním údajům. Na šetření se podílelo třicet jedna dozorových úřadů z Evropského hospodářského prostoru a také kancelář Evropského inspektora pro ochranu osobních údajů.

Zpráva obsahuje seznam nedostatků pozorovaných zapojenými dozorovými úřady spolu s doporučeními, jak tyto nedostatky řešit. Mezi zmíněné nedostatky se například řadí nízké povědomí ohledně rozsahu, v němž musí poskytnout přístup k osobním údajům a špatné nastavení lhůt vztahujících se k uchovávání informací o podaných žádostech o přístup či neindividuální přístup k vyhotovení odpovědí na žádost o přístup, které dostatečně nezohledňují vlastní obsah obdržené žádosti.

Úřad pro ochranu osobních údajů v souvislosti s touto akcí oslovil dvaadvacet bankovních domů, které mají (či v daném období měly) sídlo v České republice. Odpovědi obdržené od dotázaných bank naznačují některé nedostatky zejména v oblasti nastavení doby uchovávání informací týkajících se žádostí o přístup k osobním údajům, která se v některých případech jeví příliš dlouhá. Dále v oblasti identifikace subjektu údajů podávajícího žádost o přístup k jeho osobním údajům na dálku, kdy je v některých případech provedena pouze na základě užití poměrně běžně užívaných identifikátorů (např. rodného čísla); jakož i oblasti nedostatečného využívání konceptu tzv. vrstveného přístupu v souvislosti s poskytováním informací na základě žádosti o přístup k osobním údajům, který by mohl napomoci srozumitelnějšímu informování subjektu údajů.

Na základě informací získaných z tohoto dotazníkového šetření Úřad pro ochranu osobních údajů hodlá v případech indikujících možné porušení nařízení (EU) 2016/679 (GDPR) přistoupit k využití svých vyšetřovacích, a podle zjištěných skutečností, případně i nápravných pravomocí ve vztahu k osloveným bankám.