Nahodilé úniky o očkovaných osobách

30.01.2021

Vyjádření Úřadu k nahodilým únikům informací o očkovaných osobách

28. 1. 2021 - Úřad pro ochranu osobních údajů není oprávněn řešit nahodilé a jednorázové úniky informací o očkovaných osobách a jejich zdravotním stavu do médií, jelikož nejde o součást systematického zpracování osobních údajů.

"Nicméně by naším úkolem mělo být zjišťovat v případě úniku osobních údajů, odkud k tomuto úniku došlo," uvedl předseda Úřadu Jiří Kaucký. Dle § 50 odst. 1 zákona č. 110/2019 Sb., o zpracování osobních údajů, je Úřad ústředním správním úřadem pro oblast ochrany osobních údajů v rozsahu stanoveném tímto zákonem, jinými právními předpisy, mezinárodními smlouvami, které jsou součástí právního řádu, a přímo použitelnými předpisy Evropské unie.


V případě zveřejněných informací o očkování konkrétní osoby ve zdravotnickém zařízení, kdy zjevně nejde o systémové pochybení, ale o nahodilou situaci, nejde ani o porušení čl. 5 obecného nařízení (GDPR), popisujícího zásady zpracování osobních údajů, konkrétně odst. 1 písm. b) obecného nařízení, kdy osobní údaje musí být shromažďovány pro určité, výslovně vyjádřené a legitimní účely a nesmějí být dále zpracovávány způsobem, který je s těmito účely neslučitelný. Přičemž správce osobních údajů, v tomto případě zdravotnické zařízení, podle čl. 5 odst. 2 obecného nařízení odpovídá za dodržení těchto zásad zpracování osobních údajů.


"Jestliže nejde o nahodilou situaci, je podle čl. 33 obecného nařízení platnou povinností ohlásit porušení zabezpečení osobních údajů Úřadu (do 72 hodin od zjištění takového incidentu). Pouze pokud je nepravděpodobné, že by toto porušení mělo za následek riziko pro práva a svobody fyzických osob, není nahlášení nutné,"
upřesnil předseda Úřadu Jiří Kaucký.


Dále upozorňujeme, že dle čl. 9 odst. 2 písm. e) obecného nařízení se rovněž nezakazuje zpracování zvláštních kategorií osobních údajů, pokud se zpracování týká osobních údajů zjevně zveřejněných subjektem údajů.


Je však také třeba mít na paměti, že může dojít k porušení zabezpečení osobních údajů i zvenčí. Typickým příkladem jednání, které může mít za následek riziko pro práva a svobody fyzických osob, je kybernetický incident, kdy je veden útok na počítač, ve kterém jsou osobní údaje zpracovávány, jehož důsledkem je únik osobních údajů, jejich pozměnění nebo jiné zneužití. Dalším takovým útokem zvenčí může být např. ztráta listinných dokumentů obsahujících osobní údaje, které byly součástí manuálně vedené evidence (kartotéky) fyzických osob nebo byly vytištěny z počítače, ve kterém je taková evidence vedena a obsah těchto dokumentů zakládá riziko pro dotčené osoby (např. ztráta zdravotnické dokumentace). I zde je však nutné rozlišovat rozsah porušení zabezpečení. Úřad nicméně řeší samotné nastavení ochrany osobních údajů správcem, včetně opatření, která byla nastavena poté, co k porušení zabezpečení osobních údajů došlo, s cílem jej vyřešit a neopakovat, nikoli útok jako takový.