Často kladené dotazy ve spojitosti s GDPR

Využívám služeb České pošty, jež se řídí poštovními či obchodními podmínkami. Musím, v důsledku přijetí nařízení GDPR, s Českou poštou uzavírat speciální smlouvy?

Jsme-li vůči Vám zavázáni poskytováním služeb, spočívajících v dodání zásilky, jsme vždy v postavení správce Vašich osobních údajů. Je to z toho důvodu, že okamžikem podání Vaší zásilky tato plně přechází do naší sféry vlivu, a tedy zodpovídáme za její doručení dle zákona o poštovních službách č. 29/2000 Sb. Ohledně jiných zvláštních služeb je pak úprava odlišná a můžeme být v postavení zpracovatele. To je např. případ služby Hybridní pošta, u které při zpracování osobních údajů chráníme Vámi předané údaje, včetně údajů osobních, v postavení zpracovatele. Náš výklad přitom odpovídá kvalifikovanému výkladu Úřadu pro ochranu osobních údajů, dostupnému zde: https://www.uoou.cz/zpracovatel/d-29316/p1=4753.

Z jakého důvodu je na mnou přijaté zásilce uvedeno mé datum narození či telefonní číslo? Z jakého důvodu tyto údaje vyžadujete na formuláři Zákaznické karty? Neodporuje to platné legislativě, konkrétně nově přijatému nařízení GDPR?

GDPR nařízení nemění legitimitu uvádění data narození či telefonního čísla na zásilkách tehdy, kdy jsou nám tato poskytnuta odesílatelem zásilky za účelem jednoznačné identifikace jejího adresáta. Zaměstnanci České pošty, kteří mají k těmto údajům přístup, z důvodu plnění pracovních úkolů a odpovědnosti za dodání zásilky,  jsou vázáni poštovním tajemstvím (dle ust. § 16 zákona č. 29/2000 Sb., o poštovních službách). Požadavek na předmětnou kombinaci Vašich osobních údajů je na formuláři Zákaznické karty také proto, abychom Vás mohli skutečně jednoznačně identifikovat – v souladu s podmínkami služby.

Pracovnice na přepážce pobočky České Pošty při vyzvedávání zásilky žádá můj doklad totožnosti a poznamenává si z něj mé osobní údaje. Je toto v souladu s GDPR?

Česká pošta při doručování zásilek postupuje především na základě zákona č. 29/2000 Sb., o poštovních službách, jeho prováděcí vyhlášky č. 464/2012 Sb., o stanovení specifikace jednotlivých základních služeb a základních kvalitativních požadavků na jejich poskytování a svých poštovních podmínek vydávaných na základě těchto předpisů za dohledu Českého telekomunikačního úřadu. Povinnost ověření totožnosti adresáta tzv. zapsaných zásilek plyne ze smyslu této úpravy, kdy je Česká pošta povinna případně prokázat, komu byla zapsaná zásilka doručena. Příslušné podmínky ověřování totožnosti na pobočkách Českých pošt v rámci vyzvedávání zásilek naleznete v článku 23 „Poštovních podmínek - Základní poštovní služby“ České pošty, dostupných jak na každé pobočce České pošty, tak i na internetových stránkách České pošty, v sekci Ke stažení, Poštovní a obchodní podmínky.

Podle svých obchodních podmínek Česká pošta nabízí také služby, u kterých se prokazovat dokladem totožnosti nemusíte, příkladem je služba „vyzvednutí balíku na kód“, více se k této službě dozvíte na www.ceskaposta.cz.

Je součástí zodpovědnosti České pošty za ztrátu či zneužití zásilky i zodpovědnost za únik osobních údajů? Jaká je vhodná výše pojištění zásilky s mnoha osobními údaji?

Za ochranu osobních údajů odpovídá jejich správce. Avšak ve vztahu k údajům, které jsou v zásilce obsaženy, nevystupuje Česká pošta ani jako správce, ani jako zpracovatel. Službu pojištění zásilky Česká pošta nenabízí. Odpovědnost České pošty za škodu vzniklou při poskytování poštovních služeb je upravena zákonem č. 29/2000 Sb., o poštovních službách, a poštovními podmínkami, které jsou ke stažení na www.ceskaposta.cz, v sekci Ke stažení, Poštovní a obchodní podmínky. Každý odesílatel tedy při výběru poštovní služby musí pečlivě zvážit, co je předmětem, resp. obsahem, poštovní zásilky, a jaké jsou podmínky odpovědnosti za škodu u dané poštovní služby.  Tedy, poštovní službu zvolte dle Vašeho vlastního uvážení – dle povahy možné újmy ze ztráty zásilek vyplývající pro práva a svobody fyzických osob. Dovolujeme si odkázat také na související sdělení Úřadu pro ochranu osobních údajů: https://www.uoou.cz/vykon-postovnich-sluzeb-a-zpracovani-osobnich-udaju-pri-zasilani-listin/d-1732

V rámci vztahu s Českou poštou, jsou mé osobní údaje poskytovány třetím stranám pro účely marketingu apod.?

Vaše osobní údaje neposkytujeme třetím stranám, ovšem mají k nim v některých případech přístup naši obchodní partneři, jejichž kompletní výčet uvádíme na našich webových stránkách zde: https://www.ceskaposta.cz/o-ceske-poste/obchodni-partneri/zasilkove-obchody-eshopy/zasilkove-obchody-a-eshopy. Uvedeným obchodním partnerům jsou osobní údaje předávány z důvodu zpracování osobních údajů, výhradně za účelem plnění podmínek dle příslušné smlouvy, s Vámi uzavřené (např. pro účely poskytování služeb).  Česká pošta je oprávněna oslovit své vlastní zákazníky nabídkou služeb, které zákazník na poště může získat. Česká pošta může zpracováním marketingové nabídky pověřit druhou smluvní stranu, tzv. zpracovatele osobních údajů, kterému pak může výhradně za tímto účelem nezbytné osobní údaje předat.

Předává Česká pošta mé osobní údaje nějakým třetím stranám?

Česká pošta předává osobní údaje svých klientů pouze těm příjemcům, kteří jsou uvedeni ve smlouvě uzavřené mezi Českou poštou a daným klientem (příp. na smlouvou odkazovaném webu), kdy je předání těchto údajů potřebné pro účely plnění smlouvy. Seznam zpracovatelů České pošty je dostupný rovněž na stránkách www.ceskaposta.cz. Z pohledu platné legislativy pak má Česká pošta povinnost předat osobní údaje na vyžádání státních orgánů, nebo orgánů nadaných k tomu speciální pravomocí vyplývající ze zvláštních právních předpisů, jako jsou např. Policie ČR, kontrolní úřady (Nejvyšší kontrolní úřad, Úřad pro ochranu hospodářské soutěže, Český telekomunikační úřad, a další) a soudy.

Kde ukládáme certifikáty vygenerované na PostSignum?

Vydané certifikáty, stejně jako všechny osobní údaje našich zákazníků, jsou uložené na serverech České pošty, které se nachází v České republice.

Existují nějaké alternativní možnosti k šifrování certifikátu v programu Microsoft Outlook?

Šifrování je také možné zajistit například nastavením šifrování prostřednictvím nástrojů zabezpečení zasílaného dokumentu. U řady nástrojů Microsoft Office existuje tato možnost pro zasílání dokumentů ve formátu Word/PDF/Excel. Variant je celá řada, doporučujeme konzultovat je s Vaším správcem informační techniky, s ohledem na konkrétní věcný požadavek (přílohu), kterou si přejete zabezpečit.

Jak dlouho uchováváme údaje o klientech našeho partnera, které jsme získali z elektronického podání?

Ze systému ČP jsou údaje klientů vztahující se k zásilkám odstraněny po uplynutí celkové lhůty 36 měsíců od ukončení služby. Tato lhůta je nastavena z důvodu kontrolních účelů (orgány státní správy – ČTÚ) a v souladu se zákonem č. 499/2004 Sb. o archivnictví a spisové službě. V rámci této lhůty pak běží standardní reklamační lhůta jednoho roku, ve které lze uplatnit práva z poštovní smlouvy, ve smyslu ustanovení § 7 zákona č. 29/2000, o poštovních službách.

Klient je nespokojen, že jeho hovor na naši infolinku je automaticky nahráván a tvrdí, že se tím dopouštíme porušení GDPR. Skutečně tím porušujeme nějaký předpis?

Infolinka call centra České pošty je nastavena v souladu s platnými předpisy o ochraně osobních údajů. Pro účely zkvalitňování služeb jsme oprávněni hovor nahrávat, o čemž zákazníka předem informujeme, a žádáme jej, aby zavěsil, pokud s tímto nesouhlasí. Více informací naleznete mimo jiné zde: https://www.ceskaposta.cz/o-ceske-poste/kontakty/call-centrum.

Klient je nespokojen, že na přepážkách našich poboček je často nutné hlasitě sdělit své osobní údaje našim zaměstnancům, což je, dle něj, v rozporu s GDPR.

Při poskytování poštovních služeb je uvedení adresních a případně dalších identifikačních údajů příjemce zásilky pro uskutečnění poštovního dodání nezbytné. Při realizaci této činnosti v případě komunikace zákazníka u přepážky provozovny, se snažíme zajistit soukromí našich zákazníků prostřednictvím zmíněných diskrétních zón. Odstup, označený diskrétní zónou, by měli dodržovat především samotní zákazníci.

Jak dlouho uchováváme kamerové záznamy z našich poboček?

Česká pošta uchovává kamerové záznamy pro bezpečnostní účely a po dobu, která je nastavena v souladu s platnými právními předpisy a doporučeními Úřadu pro ochranu osobních údajů. Doba uchování záznamů je odstupňována s ohledem na umístění kamerových systémů dle kategorií provozu. Obvyklá doba uchování záznamů činí 7 dní. 

Klient si po telefonu žádal informaci o tom, zda je pro něj na pobočce uložena doporučená zásilka. Pracovnice dané pobočky mu, s ohledem na GDPR, dotaz odmítla odpovědět – postupovala správně?

Podle ustanovení § 16 zákona č. 29/2000 Sb. o poštovních službách: „Provozovatel, osoba podílející se na poskytování poštovních služeb a osoba vykonávající činnost podle § 37 (dále jen "nositel poštovního tajemství") mají povinnost zachovávat mlčenlivost o skutečnostech týkajících se poskytované nebo poskytnuté poštovní služby, které se při své činnosti dozvěděli. Znalosti těchto skutečností smějí využívat jen pro potřeby poskytování poštovní služby nebo činnosti podle § 37; nesmějí umožnit, aby se s nimi neoprávněně seznámila jiná osoba. Nositel poštovního tajemství může sdělit informace o poskytované nebo poskytnuté poštovní službě odesílateli, adresátovi, právnímu nástupci odesílatele nebo adresáta, zástupci odesílatele nebo adresáta, popřípadě jiným osobám, které s vědomím odesílatele nebo adresáta jednají v jejich prospěch.“

Tedy, s ohledem na nejednoznačnou možnost identifikace tazatele prostřednictvím telefonického dotazu, nepředává Česká pošta informace k zásilce po telefonu. Chrání tím poštovní tajemství a také osobní údaje, které by se bez dostatečného ověření, které lze realizovat osobně na přepážce provozovny, mohly dostat do moci třetí, k tomu neoprávněné, osoby.

Pokud se jedná o poskytování telefonických informací k tazatelem sdělenému podacímu číslu zásilky, lze poskytnout tazateli pouze takové informace, ze kterých nevyplývá, kdo byl odesílatelem ani kdo byl adresátem, tedy je možné například sdělit, zda se taková zásilka v poštovní přepravě nachází a na jakém místě. Pro tyto účely slouží klientům také specializovaná aplikace České pošty s názvem Sledování zásilek.

Z jakého důvodu můj zaměstnavatel, Česká pošta, vyžaduje, abych nosil jmenovku se svým jménem? Není tento požadavek v rozporu s GDPR?

Zájem na transparentním a solidním přístupu vůči zákazníkům České pošty si žádá, aby zaměstnanci jednající jménem České pošty a na její zodpovědnost, touto formou zákazníka informovali o tak základní skutečnosti, jako s kým z našeho podniku jmenovitě jedná. Požadavek na nošení jmenovek zaměstnanci, je tedy oprávněným zájmem České pošty, v souladu s GDPR. Interní předpisy upřesňují postupy, jak má jmenovka vypadat a jak ji nosit, což se zejména týká zaměstnanců obsluhujících za přepážkami provozoven České pošty.

Pracuji pro Českou poštu jako její poštovní doručovatel(ka) a nalezl(a) jsem v této souvislosti své jméno a příjmení na sdělení umístěném na úřední desce (elektronické nebo fyzické) soudního či případně správního orgánu. Mám právo na to, aby byly mé jméno a příjmení z daného veřejně přístupného sdělení odstraněny?

Ano, máte. Předmětná a nesprávná praxe zveřejňování jmen doručovatelů na sděleních soudů, případně správních orgánů, probíhala v dřívějších letech. Díky posílení ochrany osobních údajů mimo jiné Nařízením GDPR, máte právo u příslušného soudního či správního orgánu žádat o výmaz, resp. odstranění svých osobních údajů (zpravidla jména a příjmení doručujícího zaměstnance) z veřejně přístupného dokumentu. Tyto Vaše osobní údaje přesahují rozsah údajů, jež je nezbytné zveřejnit v případě zákonem upraveného doručování veřejnou vyhláškou, která je umisťována podle správního či soudního řádu na úřední desce soudního či správního orgánu a přístupná také elektronicky.