29.10.2020
Doručování veřejnou vyhláškou na úřední desce
Úřad pro ochranu osobních údajů se ve své kontrolní činnosti setkal s nesprávnou praxí při doručování písemností veřejnou vyhláškou na úřední desce, kdy nebyly zohledněny zákonné požadavky na ochranu osobních údajů.
Doručování veřejnou vyhláškou ve smyslu § 25 zákona č. 500/2004 Sb., správní řád, lze provést dvěma způsoby, a to vyvěšením písemnosti, nebo vyvěšením pouhého oznámení o možnosti převzít písemnost, na úřední desce správního orgánu, který písemnost doručuje. Při volbě mezi těmito dvěma možnostmi je nezbytné zohlednit účel zveřejnění písemnosti a skutečnost, zda písemnost obsahuje osobní údaje.
Jelikož správní řád nestanoví konkrétní kritéria pro volbu daného způsobu, správní orgán musí při plnění povinnosti vyvěsit písemnost nebo oznámení zvážit okolnosti konkrétního případu a obsah doručované písemnosti. Zveřejnění oznámení o možnosti převzít písemnost tak např. není možné realizovat v případě, kdy je doručováno neznámým adresátům, jejichž totožnost není známa a jsou určeni jinou vlastností (např. majitelé určitých věcí), avšak v případě, kdy je doručováno konkrétní známé fyzické osobě, lze tuto osobu jasně identifikovat a využít variantu zveřejnění oznámení o možnosti převzít písemnost. V rámci tohoto oznámení pak lze zveřejnit pouze osobní údaje nezbytné pro identifikaci adresáta, nadto je šetřeno adresátovo právo na ochranu soukromí, kdy nejsou zveřejňovány podrobnosti v dané písemnosti obsažené. Samotné posouzení, zda na úřední desce bude vyvěšena předmětná písemnost v úplném znění, či jen oznámení o možnosti tuto písemnost převzít, je plněním povinnosti správce osobních údajů (zde úřadu/orgánu vyvěšujícího listinu/informaci) podle základních zásad zpracování osobních údajů dle čl. 5 odst. 1 GDPR.
Správce osobních údajů je též povinen přijmout adekvátní kroky, aby zabránil případnému nedůvodnému šíření osobních údajů, a to s ohledem na znění čl. 32 odst. 1 GDPR. V důvodných případech, zejména je-li při doručování veřejnou vyhláškou zpřístupňována listina v úplném znění, je nezbytné, aby správce osobních údajů provedl příslušné kroky k zajištění zamezení indexování elektronické úřední desky. Listiny zveřejněné prostřednictvím elektronické úřední desky obsahují osobní údaje, které bez zamezení indexování příslušných webových stránek, respektive jejich ukládání do cache internetového vyhledávače, zůstávají při použití internetových vyhledávačů a webových archivů přístupné i určitou dobu poté, co byly z elektronické desky odstraněny. Jsou-li osobní údaje po uplynutí doby, po kterou měly být listiny způsobem umožňujícím dálkový přístup zveřejněny, dále přístupné v podstatě neomezenému okruhu osob, jde o nežádoucí stav, kterému je správce osobních údajů povinen pokusit se předejít. Postup obecného zákazu indexování lze tak v tomto a obdobných případech považovat za standardní opatření na straně správce osobních údajů.
Vytvořeno / změněno: 27.10.2020 / 27.10.2020
Zdroj: ÚOOÚ