ÚOOÚ, zákon o ochraně osobních údajů a DPP


, neboli zákon č. 101/2000 Sb. ve svém § 13 definuje zajímavou povinnost pro správce a zpracovatele osobních údajů (což je mimo jiné právě DPP).
Doslova se v něm píše:
(1) Správce a zpracovatel jsou povinni přijmout taková opatření, aby nemohlo dojít k neoprávněnému nebo nahodilému přístupu k osobním údajům, k jejich změně, zničení či ztrátě, neoprávněným přenosům, k jejich jinému neoprávněnému zpracování, jakož i k jinému zneužití osobních údajů. Tato povinnost platí i po ukončení zpracování osobních údajů.
(2) Správce nebo zpracovatel je povinen zpracovat a dokumentovat přijatá a provedená technicko-organizační opatření k zajištění ochrany osobních údajů v souladu se zákonem a jinými právními předpisy.
(3) V rámci opatření podle odstavce 1 správce nebo zpracovatel posuzuje rizika týkající se
a) plnění pokynů pro zpracování osobních údajů osobami, které mají bezprostřední přístup k osobním údajům,
b) zabránění neoprávněným osobám přistupovat k osobním údajům a k prostředkům pro jejich zpracování,
c) zabránění neoprávněnému čtení, vytváření, kopírování, přenosu, úpravě či vymazání záznamů obsahujících osobní údaje a
d) opatření, která umožní určit a ověřit, komu byly osobní údaje předány.

Tedy přeloženo do jazyka běžných smrtelníjů jde o to, že DPP musí učinit taková opatření, aby revizoři nemohli zneužít vaše osobní údaje. Což samozřejmě dělají, ale zde vidíte, že je to v prvé řadě chyba (a odpovědnost) DPP.

Sankce za nedodržení jsou pak definované níže v § 45:
(1) Právnická osoba nebo fyzická osoba podnikající podle zvláštních předpisů se jako správce nebo zpracovatel dopustí správního deliktu tím, že při zpracování osobních údajů
a) nestanoví účel, prostředky nebo způsob zpracování [§ 5 odst. 1 písm. a) a b)], nebo stanoveným účelem zpracování poruší povinnost nebo překročí oprávnění vyplývající ze zvláštního zákona,
b) zpracovává nepřesné osobní údaje [§ 5 odst. 1 písm. c)],
c) shromažďuje nebo zpracovává osobní údaje v rozsahu nebo způsobem, který neodpovídá stanovenému účelu [§ 5 odst. 1 písm. d), f) až h)],
d) uchovává osobní údaje po dobu delší než nezbytnou k účelu zpracování [§ 5 odst. 1 písm. e)],
e) zpracovává osobní údaje bez souhlasu subjektu údajů mimo případy uvedené v zákoně (§ 5 odst. 2 a § 9),
f) neposkytne subjektu údajů informace v rozsahu nebo zákonem stanoveným způsobem (§ 11),
g) odmítne subjektu údajů poskytnout požadované informace (§ 12 a § 21),
h) nepřijme nebo neprovede opatření pro zajištění bezpečnosti zpracování osobních údajů (§ 13),
i) nesplní oznamovací povinnost podle tohoto zákona (§ 16 a § 27),
j) nevede přehled případů porušení ochrany osobních údajů podle § 88 odst. 7 zákona o elektronických komunikacích.
(2) 
a) ohrozí větší počet osob svým neoprávněným zasahováním do soukromého a osobního života, nebo
b) poruší povinnosti pro zpracování citlivých údajů (§ 9).
(3) Za správní delikt podle odstavce 1 se uloží pokuta do výše 5 000 000 Kč.
(4) Za správní delikt podle odstavce 2 se uloží pokuta do výše 10 000 000 Kč.

...jen je škoda, že vybrané peníze budou rozkradeny v rámci rozpočtu, ale i tak mám dojem, že zásah je to více než citelný a rozhodně mediálně zajímavý, navrch si DPP napříště VELMI ohlídá, aby se revizoři chovali korektně. Což je samozřejmě první krok k celkové kultivaci divokého východu v pražské hromadné dopravě.