Přejít k obsahu Přejít k hlavnímu menu
Kontakt
  1. Úvod
  2. Úřad
  3. Povinně zveřejňované informace
  4. Poskytování informací
  5. Informace poskytnuté na žádost
  6. Informace poskytnuté na žádost v roce 2018
  7. Ke kontrolní činnosti

Ke kontrolní činnosti

Na základě žádosti dle zákona č. 106/1999 Sb., o svobodném přístupu k informacím, poskytl Úřad tyto informace:

1)  Počet zahájených kontrol v období 25. 5. do 16. 8. 2018 = 20

2)  Počet probíhajících kontrol k 16. 8. 2018 (bez ohledu na dobu jejich zahájení) = 37

3)  Počet ukončených kontrol do 30. 6. 2018 = 58 (k těmto viz Přehled uzavřených kontrol za první pololetí roku 2018), ukončených kontrol od 1. 7. do 16. 8. 2018 = 14.

1.  Kontrola zpracování osobních údajů prostřednictvím kamery (fyzická osoba)

Kontrola na základě podnětu. Kontrolou bylo zjištěno, že kontrolovaná osoba zpracovává osobní údaje prostřednictvím jedné kamery umístěné v provozovně (kavárně). Prostřednictvím této kamery monitoruje pokladnu a vstupní dveře. Účelem zpracování je pořízení dokumentace pro případ krádeže či jiného poškození majetku kontrolované osoby. Porušení zákona nebylo zjištěno.

2.  Kontrola zpracování osobních údajů uchazečů o zaměstnání (PRAGMA personální agentura s.r.o.)

Kontrola dle kontrolního plánu Úřadu pro rok 2018. Kontrolou bylo zjištěno, že kontrolovaná osoba zpracovává osobní údaje uchazečů o zaměstnání/agenturních zaměstnanců ve smyslu příslušných ustanovení zákona o zaměstnanosti a v rozsahu rozhodnutí vydaných Generálním ředitelstvím Úřadu práce České republiky. Účelem zpracování těchto osobních údajů je zprostředkování zaměstnání na základě dohody o pracovní činnosti. Porušení zákona nebylo zjištěno.

3.  Kontrola zabezpečení osobních údajů zpracovávaných finančním úřadem (Finanční úřad pro Ústecký kraj, územní pracoviště Teplice)

Kontrola na základě podnětu, jehož předmětem byla záměna písemností při odesílání. Kontrola se proto zaměřila na plnění povinností v oblasti zajištění bezpečnosti zpracovávaných osobních údajů (byly vyhodnoceny jak interní předpisy upravující nakládání s dokumenty, tak i postup při školení zaměstnanců a dále byla ověřena i opatření přijatá k zajištění fyzické bezpečnosti prostor, kde jsou osobní údaje zpracovávány). Kontrolou bylo zjištěno, že kontrolovaná osoba přijala dostatečná systémová opatření směřující k tomu, aby nedošlo při zpracování osobních údajů mimo jiné k jejich zpřístupnění neoprávněným osobám, a tedy že se v případě, který byl předmětem podnětu, jednalo o individuální pochybení zaměstnance kontrolované osoby.

4.  Kontrola zpracování osobních údajů při poskytování služby TelcoScore (Společnost pro informační databáze s.r.o.)

Kontrola na základě podnětu. Kontrolou bylo zjištěno, že kontrolovaná osoba poskytuje službu TelcoScore na základě rámcových smluv, které uzavřela s některými telekomunikačními operátory. V návaznosti na tyto rámcové smlouvy pak kontrolovaná osoba uzavírá smlouvy o poskytování služby TelcoScore se zájemci z řad bankovních či úvěrových institucí. Hodnota TelcoScore je číselné vyjádření bonity a platební morálky klientů telekomunikačních operátorů (v rozmezí od 1 do 1000), které operátoři vypočítávají dle vlastní interní metodiky, přičemž zohledňují nejrůznější aspekty smluvního vztahu s daným klientem. K předávání hodnoty TelcoScore jiným subjektům (uživatelům služby TelcoScore prostřednictvím kontrolované osoby) může docházet pouze na základě souhlasu subjektu údajů – klienta. Kontrolou nebylo na straně kontrolované osoby zjištěno porušení zákona.

5.  Kontrola zpracování osobních údajů bývalých zaměstnanců (ait-česko, s.r.o.)

Kontrola na základě podnětu. Předmětem kontroly bylo nakládání s kontaktními údaji bývalých zaměstnanců (e-mail, telefon), zpracovávanými prostřednictvím poštovního serveru a zveřejňovanými na webových stránkách kontrolované osoby, tedy zejména plnění základních zásad při zpracování osobních údajů (tj. doložení právního titulu, účelovost zpracování, minimální rozsah údajů, přiměřená doba uchování) a dále povinností v oblasti zajištění bezpečnosti zpracovávaných údajů.  Kontrolou nebylo zjištěno porušení zákona.

6.  Kontrola zpracování osobních údajů v souvislosti s kontrolou placení parkovného (ELTODO, a.s.)

Kontrola dle kontrolního plánu Úřadu pro rok 2018. Kontrolovaná osoba provádí monitorování veřejně přístupných prostor prostřednictvím kamer umístěných na střeše automobilů, a to za účelem kontroly placení parkovného v zónách placeného stání na území Hlavního města Prahy. Kontrolovaná osoba shromažďuje a zpracovává osobní údaje za podmínek a v rozsahu definovaném Hlavním městem Prahou, jakožto správcem těchto osobních údajů, které takto postupuje na základě své právní povinnosti. Kontrolou nebylo zjištěno porušení zákona.

7.  Kontrola zpracování osobních údajů v systému elektronické zdravotnické dokumentace (Nemocnice Tábor, a.s.)

Kontrola na základě podnětu Krajského úřadu Jihočeského kraje. Předmětem kontroly bylo zpracování osobních a citlivých údajů pacientů vedených ve formě elektronické zdravotnické dokumentace, včetně opatření přijatých k zajištění bezpečnosti těchto osobních údajů. Kontrolou byly shledány nedostatky u pořizovaných auditních záznamů (tzv. logů) vypovídajících o přístupu k elektronické zdravotnické dokumentaci, neboť z pořizovaných logů nebylo možné zjistit veškeré zákonem požadované informace. Kontrolovaná osoba v důsledku tohoto pochybení nebyla schopna provádět důslednou kontrolu přístupu zaměstnanců k elektronické zdravotnické dokumentaci. Kontrolou tak bylo zjištěno porušení § 13 odst. 1 zákona č. 101/2000 Sb.

8.  Kontrola zpracování osobních údajů v souvislosti s poskytováním služeb nabízených na www.cerd.cz a www.centralniregistrdluzniku.cz (CSR&Protikorupčnílinka.cz s.r.o)

Kontrola na základě podnětu. Kontrolovaná osoba vytvořila složitou strukturu právnických osob, které se podílí na zpracování osobních údajů v souvislosti s poskytováním služeb nabízených na www.cerd.cz a www.centralniregistrdluzniku.cz (systém CERD), a které ovládala či ovládá jedna fyzická osoba. Kontrolou bylo zjištěno, že v systému CERD byly zpracovávány nepřesné údaje konkrétních subjektů údajů, a dále, že u některých subjektů údajů jsou v systému CERD zpracovávány osobních údaje nadbytečné ve vztahu ke sledovanému účelu zpracování (rodné číslo a telefonní číslo). Současně bylo zjištěno, že kontrolovaná osoba nedisponuje právním titulem pro zpracování osobních údajů jak v případě registrace do systému CERD, tak v případě překlápění insolvenčního rejstříku do systému CERD a také v případě zadávání údajných dlužníků do systému CERD. Pochybení byla zjištěna dále v oblasti spolupráce kontrolované osoby se zpracovatelem osobních údajů, kde nebyla shledána zákonem požadovaná smlouva o zpracování osobních údajů. Kontrolou byly zjištěny i nedostatky v oblasti informování subjektů údajů (o tom, kdo je správcem osobních údajů a jak mohou uplatňovat svá práva). Ve vztahu ke konkrétním osobám pak bylo zjištěno i pochybení při vyřizování žádostí těchto subjektů údajů. Předmětem kontroly bylo dále i plnění povinností v oblasti využívání podrobnosti elektronického kontaktu za účelem šíření obchodních sdělení elektronickými prostředky, přičemž bylo zjištěno, že kontrolovaná osoba zasílá obchodní sdělení také uživatelům, kteří k tomu nedali předchozí souhlas, a dále, že šířená obchodní sdělení nebyla zřetelně a jasně jako obchodní sdělení označena. Kontrolou tak bylo zjištěno porušení § 5 odst. 1 písm. c) a d), § 5 odst. 2, § 6, § 11, § 12 a § 21 zákona č. 101/2000 Sb. a dále § 7 odst. 2 a § 7 odst. 4 písm. a), b) a c) zákona č. 480/2004.

9.  Kontrola zpracování osobních údajů zájmovým sdružením právnických osob (SOLUS, zájmové sdružení právnických osob)

Kontrola na základě podnětu. Předmětem kontroly bylo dodržování povinností správce osobních údajů v souvislosti se zpracováním osobních údajů stěžovatelů, ke kterému mělo dojít bez jejich souhlasu. Kontrolou bylo zjištěno, že kontrolovaná osoba neakceptovala vyjádření nesouhlasu stěžovatelů se zpracováním jejich osobních údajů, a tedy zpracovávala tyto osobní údaje bez zákonem požadovaného právního titulu. Současně kontrolovaná osoba svým jednáním zasáhla do práv subjektů údajů (práva na ochranu před neoprávněným zasahováním do soukromého a osobního života). Kontrolou tak bylo zjištěno porušení § 5 odst. 2, § 10 a § 20 odst. 1 zákona č. 101/2000 Sb.

10.  Kontrola v oblasti šíření obchodních sdělení (fyzická osoba podnikající)

Kontrola na základě podnětu. Kontrolou bylo zjištěno, že kontrolovaná osoba předmětná obchodní sdělení sama aktivně nerozeslala, neboť ve skutečnosti není vlastníkem webových stránek, v jejichž prospěch obchodní sdělení směřovala, ani je neprovozuje. Vytvořením a provozováním těchto webových stránek se zabývá Policie ČR, která zahájila trestní stíhání pro přečin poškození cizích práv dle § 181 odst. 1 písm. a) zákona č. 40/2009 Sb. Kontrolou nebylo zjištěno porušení zákona.

11.  Kontrola v oblasti šíření obchodních sdělení (Honzovy obchody s.r.o.)

Kontrola na základě podnětu. Kontrolou bylo zjištěno, že kontrolovaná osoba postupovala při zasílání obchodních sdělení v rozporu se zákonnými požadavky, konkrétně využívala podrobnosti elektronického kontaktu za účelem šíření obchodních sdělení elektronickými prostředky i ve vztahu k uživatelům, kteří k tomu nedali předchozí souhlas. Kontrolou tak bylo zjištěno poručení § 7 odst. 2 a § 7 odst. 4 písm. a) a b) zákona č. 480/2004 Sb.

12.  Kontrola v oblasti šíření obchodních sdělení (fyzická osoba podnikající)

Kontrola na základě podnětu. Kontrolou bylo zjištěno, že kontrolovaná osoba postupovala při zasílání obchodních sdělení v rozporu se zákonnými požadavky, konkrétně využívala podrobnosti elektronického kontaktu za účelem šíření obchodních sdělení elektronickými prostředky i ve vztahu k uživatelům, kteří k tomu nedali předchozí souhlas. Kontrolou tak bylo zjištěno poručení § 7 odst. 2 a § 7 odst. 4 písm. a), b) a c) zákona č. 480/2004 Sb.

13.  Kontrola v oblasti šíření obchodních sdělení (Ogroup s.r.o.)

Kontrola na základě podnětu. Kontrolou bylo zjištěno, že kontrolovaná osoba postupovala při zasílání obchodních sdělení v rozporu se zákonnými požadavky, konkrétně využívala podrobnosti elektronického kontaktu za účelem šíření obchodních sdělení elektronickými prostředky i ve vztahu k uživatelům, kteří k tomu nedali předchozí souhlas. Kontrolou tak bylo zjištěno poručení § 7 odst. 2 a § 7 odst. 4 písm. b) zákona č. 480/2004 Sb.

14.  Kontrola v oblasti šíření obchodních sdělení (fyzická osoba podnikající)

Kontrola na základě podnětu. Kontrolou bylo zjištěno, že kontrolovaná osoba postupovala při zasílání obchodních sdělení v rozporu se zákonnými požadavky, konkrétně využívala podrobnosti elektronického kontaktu za účelem šíření obchodních sdělení elektronickými prostředky i ve vztahu k uživatelům, kteří k tomu nedali předchozí souhlas. Kontrolou tak bylo zjištěno poručení § 7 odst. 2 zákona č. 480/2004 Sb.