Vnitro neuhlídalo osobní údaje desetitisíců lidí. Pokutu platit nemusí, pomohla mu změna zákona

Úřad pro ochranu osobních údajů odhalil během kontroly na ministerstvu vnitra neoprávněné přístupy k osobním údajům lidí ve víc než 90 tisících případů. Kontroloři ministerstvu za neuhlídání registru obyvatel uložili pokutu přes milion korun. Resort ale proti rozhodnutí úřadu podal rozklad a mezitím nabyla účinnosti nová pravidla o ochraně soukromí, pokutu tak ministerstvo ve výsledku platit nemusí.

Praha Sdílet na Facebooku Sdílet na Twitteru Sdílet na LinkedIn Tisknout Kopírovat url adresu Zkrácená adresa Zavřít

Zaměstnanci ministerstva vnitra museli loni absolvovat test kybernetické bezpečnosti (ilustrační foto). | Zdroj: Fotobanka Profimedia

Mezi srpnem 2017 a únorem 2018 proběhla na ministerstvu vnitra kontrola nakládání s osobními údaji, resort totiž odpovídá za registr obyvatel, ve kterém jsou evidovaní všichni obyvatelé Česka. Inspektorka úřadu Božena Čajková konstatovala opakované porušení zákona a ministerstvo následně od ochránců soukromí dostalo pokutu 1,1 milionu korun.

„Ministerstvo vnitra umožnilo celkem 7 064 neoprávněných přístupů do registru obyvatel v souvislosti s agendou [...] dle zákona o ověřování [...] výsledků dalšího vzdělávání,“ napsal letos v srpnu úřad.

Ochránce osobních údajů po zavedení GDPR zavalily stížnosti, za půl roku jich jsou dva tisíce

Číst článek

„Dále umožnilo celkem 88 491 přístupů k údajům v registru obyvatel ve větším rozsahu, než stanoví zákon o základních registrech a v rámci systémového nastavení registru obyvatel umožnilo v exekučním řízení exekutorům přístup k osobním údajům všech tzv. vázaných osob,“ píše se dále v tiskové zprávě.

Největší balík osobních údajů, tedy necelých 90 tisíc případů, se týkal živnostníků a osob ve vedení firem či úřadů. Podle Hany Malé z tiskového odboru ministerstva problémy způsobil Český statistický úřad, „který nastavením služby umožnil čtení více osobních údajů než stanovil zákon.“

Resort také v 7064 případech umožnil neoprávněné prověřování osob, které dorazily na odbornou zkoušku, přičemž informace proudily skrze ministerstvo školství.

„Po zjištění podezření z neoprávněného přístupu k údajům ministerstvo vnitra vyzvalo k okamžitému zamezení přístupů,“ napsala serveru iROZHLAS.cz mluvčí vnitra Hana Malá.

Technický nedostatek

Kontrola úřadu také zjistila, že exekutoři v rámci prověřování dlužníků měli vždy přístup i k informacím o rodinných příslušnících, na což mají nárok jen v určitých případech. Podle ministerstva „nebyl nijak vyčíslen počet údajně neoprávněných přístupů,“ nicméně doložit se údajně podařilo jen jediný případ.

Důvodem byl podle ministerstva technický nedostatek systému. „Nastavení služeb neumožňovalo užší výběr požadovaných osobních údajů,“ vysvětluje ministerstvo, proč se exekutoři dostávali i k informacím, na které neměli nárok. Podle resortu to ale neznamená, že by s poskytnutými informacemi opravdu pracovali, navíc ministerstvo už systém upravilo. „Exekutor nyní bude muset aktivně zaškrtnout položky, které pro svou konkrétní činnost potřebuje. Pokud tak neučiní, osobní údaje mu poskytnuty nebudou,“ upřesnila Malá.

Mall dostal pokutu 1,5 milionu korun. Nezabezpečil osobní údaje více než 700 tisíc zákazníků

Číst článek

I exekutorská komora přístup exekutorů k informacím hájí. „Údaj o manželovi povinného (dlužník, pozn. red.) je následně důležitý pro vedení exekuce. Ta se totiž za určitých podmínek může dotýkat majetku ve společném jmění manželů. Údaje o zákonném zástupci povinného jsou pak zásadní pro určení osob, se kterými exekutor jedná v případě, že povinný nemůže v rámci exekučního řízení jednat samostatně - typicky, když má omezenou svéprávnost,“ vysvětluje mluvčí komory Lenka Desatová. Exekutor má podle ní zákonem stanovenou mlčenlivost, která se vztahuje i na informace, které se dozví nad rámec toho, na co má ze zákona nárok.

Profesionál v oboru

Úřad pro ochranu osobních údajů při stanovení milionové pokuty „přihlédl zejména k povaze  a závažnosti  přestupku,  kterou  zvyšuje  především  skutečnost,  že  je obviněný (ministerstvo vnitra, pozn. red.) profesionálem v oboru a má tedy být garantem řádného výkonu povinností.“

Problémem byl i značný počet neoprávněných přístupů k osobním údajům a dlouhé období, kdy k tomu docházelo. Samo vnitro přiznává, že u osobních údajů zástupců firem šlo o období od ledna 2015 do prosince 2016.

Rok s GDPR: přetrvávající nejistota, víc stížností na porušování pravidel a osm pokut

Číst článek

Zaplacení pokuty se ale ministerstvo nakonec i tak vyhne. „Úřad právní úpravou přišel o možnost ukládat pokuty orgánům veřejné moci a veřejným subjektům, tedy například ministerstvům, různým správním úřadům, městům či obcím za přestupky související s ochranou osobních údajů,“ uvádí ochránci soukromí. A jelikož ministerstvo vnitra všechny problémy zjištěné při kontrole napravilo, postih mu nehrozí.

To kritizuje právník Jan Vobořil z organizace Iuridicum remedium, která se zabývá ochranou soukromí. „Ve chvíli, kdy tam žádná sankce není, tak klesá snaha úředníků vyhnout se problémům,“ vysvětluje s tím, že uložená pokuta 1,1 milionu korun ukazuje na „flagrantní porušení zákona.“

Jak Vobořil, tak i Úřad pro ochranu osobních údajů mluví o dvojím postavení správců osobních údajů, těm z řad orgánů veřejné moci pokuty nehrozí, soukromé firmy či jednotlivci se naopak v případě přešlapu musí obávat citelných postihů.

Podle Vobořila jde o princip přejatý z Rakouska, kde ale vidí „vyšší kulturu nakládání s osobními údaji.“ Podle něj je na aktuálním případu smutné, že takovou chybu udělalo zrovna ministerstvo vnitra, které má ochranu osobních údajů v gesci.

Celé rozhodnutí Úřadu pro ochranu usobních údajů si můžete přečíst zde:

Jan Cibulka Sdílet na Facebooku Sdílet na Twitteru Sdílet na LinkedIn Tisknout Kopírovat url adresu Zkrácená adresa Zavřít

Nejčtenější

Nejnovější články

Aktuální témata

Doporučujeme