V letošním květnu to byl už rok, co nabylo účinnosti obecné nařízení o ochraně osobních údajů (GDPR) a začala platit jednotná evropská pravidla ochrany osobních údajů fyzických osob. A došlo už také na udělení prvních pokut ze strany Úřadu pro ochranu osobních údajů (ÚOOÚ).
Při této příležitosti zveřejnil ÚOOÚ, který na dodržování evropských pravidel v Česku dohlíží, dokument, v němž hodnotí výsledky své dozorové činnosti. V rámci 38 již ukončených kontrol bylo zjištěno 16 případů porušení předpisů, přičemž ÚOOÚ uložil pokutu v osmi z těchto případů, a to v celkové výši 370 000 Kč.
Nejnižší pokuta byla udělena neziskové organizaci za zpracování nepřesných údajů a neposkytnutí přístupu ke zpracovávaným údajům a činila pouhých 5 000 Kč. Naopak nejvyšší pokuta pak dosáhla výše 250 000 Kč a byla udělena jedné bance za to, že uchovávala osobní údaje, které již měla smazat, i po uplynutí lhůty pro jejich likvidaci. Další pokuty byly uděleny např. za nezabezpečení smluv s osobními údaji klientů, zveřejňování seznamu s osobními údaji na internetu, či únik databáze hráčů on-line hry.
Zatím jen pedagogický postih
Lze konstatovat, že v českých podmínkách se zatím jedná o relativně nízký počet pokut, jejichž výše má oproti výši těch, které udělili úřady jiných členských států EU (např. francouzský úřad udělil společnosti Google za porušení GDPR pokutu ve výši 50 mil. eur!), spíše výchovný než sankční charakter.
V této souvislosti je však nutné zmínit, že počet a výše pokut udělených v České republice mohla výrazně ovlivnit i skutečnost, že až do konce dubna 2019 nebyl schválen adaptační zákon k GDPR a ÚOOÚ tak po většinu času pracoval v jistém „provizoriu“. Nelze tedy vyloučit, že nyní, kdy má ÚOOÚ konečně k dispozici regule pro svoji činnost podle GDPR, budou sankce častější a jejich výše více odrazující. Pokuty se však do budoucna určitě nedotknou orgánů veřejné moci a veřejných subjektů, které adaptační zákon z udílení správních pokut vyloučil.
Kontroly online prostředí
Z plánu kontrol pro rok 2019 vyplývá, že ÚOOÚ se plánuje zaměřit např. na zpracování osobních údajů v aplikacích nebo informačních systémech využívaných zdravotnickými zařízeními (zejména zpracování osobních údajů při odebírání různých vzorků), nebo na zpracování osobních údajů politickými subjekty. V rámci kategorie online prostředí má ÚOOÚ v úmyslu zaměřovat se na zpracování osobních údajů žadatelů o uzavření smlouvy o úvěru při jejím online sjednávání nebo zpracování osobních údajů v rámci činnosti společností, které vyvíjejí a provozují mobilní aplikace. Plnění povinností podle GDPR a nového českého zákona o zpracování osobních údajů tedy určitě nelze podceňovat.
Autorka působí jako advokátka v AK bnt attorneys-at-law.
Anna Suchá
