Aktuality & Oznámení

Odpovědnost správce OÚ při použití rodného čísla (RČ)

S ohledem na znění čl. 5 odst. 2 a čl. 24 GDPR je důležité připomenout, že za zpracování osobních údajů je vždy odpovědný správce osobních údajů. Ten má povinnost zajistit a být schopen doložit, že je zpracování prováděno v souladu s obecným nařízením.

 

Z hlediska ochrany osobních údajů je proto neakceptovatelné argumentovat skutečností, že správce využívá informační systém externího dodavatele, a že způsob či rozsah předmětného zpracování vyplývá z nastavení tohoto systému, který si koupil či mu byl dodán.

 

Při používání RČ a jiných OÚ musíme vždy rozlišit, tzn. za jakým účelem tyto OÚ používáme a zdali je nepoužíváme i k jiným účelům, u kterých již použití těchto OÚ není nutné (zásada minimalizace OÚ).

 

Účel zpracování musí být vždy legitimní, aby nebyla porušena zásada účelového omezení dle čl. 5 odst. 1 písm. b) GDPR. Tzn., že by se neměly překlápět OÚ (RČ) z jednoho módu použití OÚ do módu druhého (např. z módu uchazeč o studium do módu student).

 

Není-li dán souhlas nositele RČ, je jeho využití v několika informačních systémech za sebou nebo i mimo sebe v rozporu s ustanovením zákona č. 133/2000 Sb. o evidenci obyvatel.

 

Účel takového zpracování není legitimní, čímž je porušena zásada účelového omezení dle čl. 5 odst. 1 písm. b) GDPR. Z hlediska ochrany osobních údajů pak zadání rodného čísla za účelem přihlášení do informačního systému, např. pouze v kombinaci s iniciálami uchazeče o studium, též představuje možné riziko pro zabezpečení zpracování, upravené čl. 32 obecného nařízení.

 

Při výběru informačního systému je nezbytné posouzení možností jeho funkcionalit a nastavení, a to zejména s ohledem na znění čl. 25 GDPR v oblasti záměrné a standardní ochrany osobních údajů a na základní zásady v článku 5 odst. 1 obecného nařízení (např. minimalizace údajů). 

 

V případě složitějších informačních systémů by měl správce již od počátku, pokud možno, spolupracovat s jeho dodavatelem (vývojářem) tak, aby výsledný produkt odpovídal potřebám správce i s ohledem na jeho odpovědnost dle GDPR. Zároveň i dodavatelé softwarových řešení a systémů, byť nejsou přímo adresáty obecného nařízení, by měli mít na paměti povinnosti vyplývající z GDPR pro jejich zákazníky a tomu vývoj softwaru přizpůsobit.

 

Nelze automaticky předpokládat splnění všech povinností ochrany

osobních údajů pouze na základě skutečnosti, že je stejný informační systém využíván taktéž dalšími obdobnými správci.

 

Národní platforma pro GDPR z. s.

  • Revoluční 1082/8
    110 00, Praha 1
  • +420 775 479 082
  • info@gdpr-platforma.cz

IČ: 06223851

Společnost je zapsána v Obchodním rejstříku vedeném u MS Praha Sp. zn. L68710.

Tento web používá soubory cookie.

Dalším procházením tohoto webu vyjadřujete souhlas s používáním souborů cookies. Více informací

Souhlasím

Kde nás najdete ?

kancelář Praha

Revoluční 1082/8
110 00, Praha 1


kancelář Ústí nad Labem

Špitálské nám. 3
400 01, Ústí nad Labem