Inspektoři Úřadu pro ochranu osobních údajů (ÚOOÚ) provedou ročně několik desítek kontrol. Jejich průběh, výsledky, ale i získané poznatky jsou shrnuty ve Výroční zprávě ÚOOÚ, což přispívá také k osvětě. Na webových stránkách úřadu jsou rovněž zveřejněny zprávy z kontrol, které byly v poslední době ukončeny.

Tři měsíce trvala kontrola v České pojišťovně, která byla provedena na základě anonymního podnětu a zaměřila se především na zasílání dokumentů klientům. Stěžovatelka ve svém podnětu uvedla, že pojišťovna jí zaslala spolu s dokumentem o vyřízení její záležitosti dokumenty s „vyrozuměními pro lidi z celé ČR, které obsahovaly jména, adresy, rodná čísla, čísla smluv.“

Šlo o 238 dopisů týkajících se životního pojištění, které obsahovaly jméno a příjmení pojištěného, rodné číslo, číslo pojistné smlouvy, číslo pojistné události a datum úrazu, jméno a příjmení adresáta a jeho adresu. Na zásilkách „Informace o výplatě pojistného plnění“ bylo uvedeno číslo účtu pro vyplacení pojistné částky a dále v části „Výpočet pojistného plnění“ kód lékařem stanovené diagnózy a popis utrpěného úrazu.

Jak kontrola ukázala, podobných balíků dopisů odeslala pojišťovna celkem devět. Dohromady šlo o zhruba tisíc dopisů, které byly vloženy do zmíněných devíti obálek a odeslány konkrétním klientům. Osm z nich vrátilo zásilky pojišťovně na vyžádání zpět, devátý balík dopisů putoval zřejmě na ÚOOÚ a vyvolal kontrolu.

K chybnému zaslání dopisů došlo na základě softwarové chyby, která se projevila poté, co pracovníci oddělení IT pojišťovny stávající software rozšířili o novou funkci. Pojišťovna následně oznámila, že připravuje celkovou změnu softwaru, zaměřenou především na kontrolu výstupů korespondence.

Kontrola Úřadu pro ochranu osobních údajů tedy konstatovala, že chybně rozeslané dopisy obsahovaly osobní údaje klientů a jejich citlivé údaje. Souhrou nejméně dvou chyb při zavádění nové verze počítačového programu došlo k odeslání cca 1000 dopisů, původně určených klientům pojišťovny, devíti neoprávněným adresátům. Tím byly zpřístupněny osobní a z části i citlivé údaje klientů neoprávněným příjemcům.

Pojišťovna tedy porušila ustanovení § 13 odst. 1 zákona o ochraně osobních údajů, dle kterého: „Správce a zpracovatel jsou povinni přijmout taková opatření, aby nemohlo dojít k neoprávněnému nebo nahodilému přístupu k osobním údajům, k jejich změně, zničení či ztrátě, neoprávněným přenosům, k jejich jinému neoprávněnému zpracování, jakož i k jinému zneužití osobních údajů. Tato povinnost platí i po ukončení zpracování osobních údajů.“

Za porušení této povinnosti, čímž spáchala pojišťovna správní delikt podle § 45 odst. 1 písm. h) zákona o ochraně osobních údajů, byla pojišťovně uložena pokuta ve výši 250 000 Kč. Rozhodnutí již nabylo právní moci.

Od dubna do června byla provedena kontrola obchodní společnost APEX gaming EUROPE a.s. Kontrola byla zahájena na základě stížnosti postoupené policií, jejíž obsah upozorňoval na protiprávní monitoring zaměstnanců kasina prostřednictvím kamerového systému se záznamovým zařízením v Imperial Casinu Strážný a Ski hotelu Strážný, kde jsou někteří zaměstnanci kasina ubytováni.

V kasinu je non-stop provoz a celý objekt je zabezpečen elektronickou zabezpečovací a požární signalizací. Zpracování osobních údajů kamerovým systémem se záznamem je splnění povinností vůči Ministerstvu financí ČR vyplývající ze zákona o loteriích a jiných podobných hrách.

Podle tohoto zákona musí být kasino vybaveno zabezpečovacím zařízením a monitorovacím zařízením. Monitorovacím zařízením musí být obrazově a zvukově zaznamenán celý průběh všech provozovaných her, dále pak práce přípravné (výdej žetonů) a závěrečné (uzavírání stolů, počítání žetonů a hotovosti). Provozovatel je povinen uchovávat záznamy po dobu 90 kalendářních dnů a pracovníkům státního dozoru umožnit přístup k těmto záznamům. Monitorování musí být prováděno v nezpomaleném a nepřerušovaném záznamu.

Kontrola ÚOOÚ zjistila, že kamerový systém má celkem 65 kamer, z nichž některé pořizují i záznam zvuku (mikrofony jsou umístěny zpravidla u jednotlivých hracích stolků). Ze všech kamer umožňujících i audiozáznam a z kamer pořizujících celkový záběr na hry, pokladny, trezory a počítací místnost s žetony je dle zákona č. 202/1990 Sb. záznam uchováván 90 dní.

U ostatních kamer monitorujících např. celkový prostor kasina, parkoviště, hlavní vchod, prostory vyhrazené jen pověřeným osobám či některé nouzové východy z objektu je záznam uchováván po dobu sedmi dní. Účelem provozování těchto kamer je monitoring vstupu nežádoucích osob, které mají vstup do kasina zakázaný. Jde o osoby, které o to samy požádaly (patologičtí hráči) nebo osoby usvědčené z podvodné hry apod.

Přístup do místnosti, kde jsou záznamy archivovány, a k datům má pouze vymezený okruh prověřených a proškolených osob. Do záznamů kamer se nahlíží jen v případě, pokud dojde ke sporu ve hře (např. spor o vsazený žeton apod.). K takovému incidentu dochází zhruba dvakrát měsíčně.

Kamery nebyly umístěny v prostorách, kde zaměstnanci kasina odpočívají nebo kde se převlékají. Kontrolní zjištění nepotvrdila obsah anonymního podání signalizujícího protiprávní monitoring zaměstnanců kasina na pracovišti, ve společných prostorách zaměstnavatele nebo v místech odpočinku. Výsledkem kontroly byl tedy závěr, že nedošlo k porušení povinností vyplývajících ze zákona o ochraně osobních údajů kontrolovanou společností..