Úřad pro ochranu osobních údajů udělil první pokuty za porušení GDPR
V souvislosti s přijetím GDPR (obecného nařízení o ochraně osobních údajů) panovala mezi správci a zpracovateli osobních údajů značná nejistota ohledně výše pokut udělovaných Úřadem pro ochranu osobních údajů (ÚOOÚ). Od nabytí účinnosti GDPR nyní uplynul již více než rok. Jaká je tedy skutečná praxe při udělování pokut ze strany ÚOOÚ?
Nejčastěji ÚOOÚ uděloval pokuty v případech, kdy správce osobních údajů subjekty údajů řádně neinformoval o zpracování jejich osobních údajů. Trestal však i úniky osobních údajů, například v podobě krabice spotřebitelských smluv odložené u kontejneru.
Za neinformování o zpracování osobních údajů ÚOOÚ udělil pokutu například pronajímateli vozidel, v nichž byly nainstalované GPS lokátory, o kterých nebyli nájemci vozidel informováni. ÚOOÚ uvedl výčet informací, které měly být nájemcům náležitě poskytnuty, a uložil pronajímateli pokutu ve výši 30 000 Kč. V dalším posuzovaném případě byl subjekt osobních údajů telefonicky kontaktován ohledně nabídky obchodování na burze. Daná osoba požádala o informaci, kde byl získán jeho telefonický kontakt a jakým způsobem jsou zpracovávány jeho osobní údaje. Tato informace mu nebyla poskytnuta ani po opětovné žádosti o potvrzení o zpracování osobních údajů a ÚOOÚ správci uložil pokutu ve výši 20 000 Kč. Dále ÚOOÚ posuzoval situaci, kdy zaměstnanec žádal zaměstnavatele o potvrzení o zpracovávání svých osobních údajů společně s žádostí o opravu těchto údajů. Zatímco žádost o opravu neshledal ÚOOÚ jako opodstatněnou, jelikož dotčené osobní údaje byly správné, za neposkytnutí potvrzení uložil zaměstnavateli pokutu ve výši 5 000 Kč.
Únik osobních údajů v důsledku jejich nedostatečného zabezpečení posuzoval ÚOOÚ v případě internetové online hry. Kromě hráčských jmen, ID herních účtů a hesel k nim unikly i e-mailové a IP adresy. K úniku došlo zneužitím pravomoci programátora hry, se kterým správce navíc neměl uzavřenou smlouvu o zpracování osobních údajů. Za toto porušení uložil ÚOOÚ správci pokutu ve výši 15 000 Kč. Společnosti, která nezajistila osobní údaje zhruba 300 klientů obsažené ve smlouvách o spotřebitelském úvěru, byla uložena pokuta ve výši 30 000 Kč. Smlouvy těchto klientů byly nejprve volně uloženy po dobu minimálně 14 dnů v papírové krabici v prostorách společných garáží bytového domu jednatelky společnosti a následně nalezeny u kontejneru.
Zpracováním osobních údajů bez zákonného titulu se ÚOOÚ zabýval v případě, kdy bývalá zaměstnankyně požádala ředitelku školy o odstranění veškerých jejích fotografií z internetu, neboť již skončil její pracovní poměr. Po určité době si však všimla, že ředitelka neodstranila fotografie ze sociální sítě Facebook a opětovně ji tedy k jejich odstranění vyzvala. K nápravě protiprávního vztahu vyzval ředitelku rovněž ÚOOÚ. Poté, co ředitelka ani na jeho výzvu nijak nereagovala, přistoupil ÚOOU k uložení pokuty ve výši 10 000 Kč.
Zatím nejvyšší pokutu ÚOOÚ uložil správci osobních údajů, který za účelem zjednodušení procesu uzavírání a uchování smluvní dokumentace zpracovával biometrický podpis klientů. Úřad takový postup vyhodnotil jako porušení zásady zpracovávat osobní údaje pouze v přiměřeném, relevantním a omezeném rozsahu ve vztahu k danému účelu (tzv. princip minimalizace údajů) a uložil pokutu ve výši 250 000 Kč.
Z výše uvedeného přehledu rozhodnutí je zřejmé, že primárním cílem ÚOOÚ je odstranit protiprávní stav, nikoliv ukládat drakonické pokuty. Při stanovení výše pokut přitom úřad přihlíží k mnoha faktorům, mimo jiné k povaze, závažnosti a délce trvání porušení, počtu dotčených subjektů údajů a míře škody, která byla způsobena. S výjimkou posledního případu se zatím jednalo o pokuty poměrně nízké. Nutno dodat, že český ÚOOÚ zatím neposuzoval žádný skutečně rozsáhlý únik osobních údajů nebo jejich zneužití ve velkém rozsahu. Výši uložených pokut tedy nelze porovnávat se sankcemi, které ukládá například francouzský nebo britský dozorový úřad, kde byly závažnost i rozsah porušení mnohem vyšší.