Úřad pro ochranu osobních údajů („ÚOOÚ“) zveřejnil svůj kontrolní plán pro rok 2025. Jde o dokument, který každoročně signalizuje, na co se správci a zpracovatelé osobních údajů mají v daném období připravit. Tentokrát ÚOOÚ jednoznačně cílí na některé klíčové oblasti, kde se stýká nedostatek právní jistoty s technologickým pokrokem – a současně mají silný společenský přesah.
1. Data z registrů: soukromý sektor pod drobnohledem
Úřad se zaměří na využívání údajů z registrů a informačních systémů veřejné správy ze strany soukromých subjektů – jako příklad takových subjektů ÚOOÚ zmiňuje banky a pojišťovny. Půjde zejména o kontrolu nezbytnosti zpracování těchto dat a plnění informační povinnosti vůči subjektům údajů. Už delší dobu platí, že subjekty s rozsáhlými datovými sadami – tzv. big data správci – jsou pod zvýšeným dohledem. Pro ty, kteří již v minulosti investovali do privacy nastavení odpovídajících interních procesů, pravděpodobně nepůjde o zásadní překvapení. Ostatní by měli zbystřit.
2. Sleva za souhlas: věrnostní programy v hledáčku
Další oblastí, na kterou se Úřad zaměří, je podmiňování poskytnutí slev souhlasem se zpracováním osobních údajů – např. v rámci věrnostních programů obchodních řetězců. Zkoumat se bude zejména právní titul zpracování a otázka, zda je souhlas skutečně svobodný. Téma rezonuje médii i odbornou veřejností delší dobu. Kontrola ze strany ÚOOÚ by tak mohla přinést potřebné vyjasnění pravidel a možná i širší impulz k diskuzi o tzv. „digitálním vyloučení“, tedy např. o tom, zda je třeba umožnit spotřebitelům čerpat jisté výhody i bez digitálních nástrojů a registrace.
3. Kamery v dopravě: technologie vs. soukromí
Pokračující trend instalace kamerových systémů v dopravních prostředcích bude podroben kontrole s důrazem na jejich nezbytnost a délku uchování záznamů. S poklesem cen a rostoucí technickou vyspělostí zařízení se zvyšuje riziko nadměrného zásahu do soukromí cestujících. Úřad bude pravděpodobně klást důraz na posouzení oprávněnosti a rozsahu záznamu i na naplnění informační povinnosti. Ne všichni dopravci totiž tyto povinnosti plní v plném rozsahu.
4. Marketing ze srovnávačů: kdo je (ještě) zákazník?
ÚOOÚ si posvítí i na rozesílání obchodních sdělení ze strany provozovatelů internetových srovnávačů. Podle znění kontrolního plánu půjde zřejmě o rozsáhlejší akci, která by mohla otevřít i otázky výkladu pojmu „zákazník“ a souvisejících právních vztahů v rámci přímého marketingu. Správci by měli revidovat své databáze, udělené souhlasy nebo rozesílku postavenou na oprávněném zájmu, a i samotný proces rozesílky obchodních sdělení.
Co dalšího ÚOOÚ chystá?
Kromě výše uvedeného se Úřad zaměří také na anonymizační standardy u žádostí dle zákona o svobodném přístupu k informacím, bude pokračovat v kontrolách zastupitelských úřadů v oblasti víz a obcí ve vztahu k Schengenskému informačnímu systému. Zapojuje se také do evropské koordinované kontrolní akce zaměřené na právo na výmaz. Podrobnosti zatím nejsou známy.
V tomto období navíc očekáváme zveřejnění výroční zprávy za rok 2024, která nabídne souhrn činností ÚOOÚ za minulý kalendářní rok a výhled na další vývoj.
Na co se připravit?
Správcům doporučujeme:
- zrevidovat právní tituly zpracování ve věrnostních programech,
- prověřit rozsah informací získávaných z veřejných registrů a způsob jejich použití,
- zkontrolovat nasazení kamerových systémů a způsob informování subjektů údajů,
- zhodnotit strategii rozesílání obchodních sdělení z pohledu právní kvalifikace příjemců.
Rok 2025 zřejmě vyzdvihne zásadní otázky o rovnováze mezi technologickým pokrokem, obchodním modelem a ochranou soukromí, resp. osobních údajů. Náš specializovaný tým v HAVEL & PARTNERS pro ochranu dat a kyberbezpečnost vám bude k dispozici při nastavování transparentní komunikace vůči subjektům údajů, či revizi jakýchkoliv souvisejících procesů.
Potřebujete poradit? Ozvěte se nám!
Zdroje článku
- zákona o svobodném přístupu k informacím https://www.zakonyprolidi.cz/cs/1999-106