Na základě žádosti o poskytnutí informace zveřejnil Úřad pro ochranu osobních údajů („ÚOOÚ“) celkem 9 rozhodnutí/příkazů o pokutě za porušení GDPR. Jako obvykle byl ve většině případů podkladem pro zahájení řízení podnět stěžovatele. Nejčastějším prohřeškem při zpracování osobních údajů bylo porušení zásady minimalizace údajů (tj. zpracování pouze těch údajů, které jsou pro stanovený účel nezbytné), transparentnosti zpracování (neposkytnutí informace o prováděném zpracování, v daných případech dokonce ani po výzvě ÚOOÚ) či nedostatečná technická a organizační opatření.  Pokuty uložené ÚOOÚ se pohybovaly v nízkých hodnotách (viz níže), nejvyšší pokuta byla uložena v částce 250 000 Kč.

Níže uvádíme přehled uložených pokut včetně podkladu pro zahájení řízení. ÚOOÚ neuvedl, komu konkrétně byly pokuty uloženy, nicméně z textu jednotlivých příkazů/rozhodnutí lze dovodit obecnou charakteristiku jednotlivých společností. Nejzajímavější rozhodnutí se vztahuje k biometrickému podpisu, kde byla uložena nejvyšší pokuta 250 000 Kč (viz podrobnosti pod tabulkou níže).

Doposud nejvyšší, byť nepravomocnou, pokutu podle GDPR udělil Úřad nespecifikované bance. Není vyloučené, že kontrolovanou bankou byla BNP Paribas. Rozhodnutí totiž odkazuje na předchozí kontrolu provedenou konkrétní inspektorkou a Úřad již dříve na svých stánkách informoval o kontrole v BNP Paribas, přičemž okolnosti případu i identita inspektorky jsou v zásadě stejné.

Pokuta byla udělena za porušení zásady minimalizace, když banka uzavírala úvěrové smlouvy s klienty za využití tzv. dynamického biometrického podpisu (úřad tento podpis vyhodnotil za sběr citlivých údajů) a rovněž za příliš dlouhou archivaci záznamů telefonických hovorů s klienty, kdy banka nerozlišovala, zda se jednalo o transakční hovory nebo o méně významný (např. pouze informativní) rozhovor.

Dynamický biometrický podpis je způsobem elektronického podepisování, kdy místo tradičního podpisu na papír dochází k podpisu na speciálním snímacím zařízení (tzv. signpad). Úřad zde vyhodnotil, že snímání biometrie podpisu není pro podepisování smluv žádoucí, neboť existuje alternativa v podobě uzavření smlouvy v listinné podobě, kde ke sběru biometrie nedochází. U elektronického podepisování by Úřadu postačovalo zaznamenání prostého vyobrazení podpisu klienta.

Zahraniční dozorové úřady a souhrn jejich dosavadní praxe ve vztahu k ukládaným pokutám

Rok od účinnosti GDPR je nejvyšší pokutou uloženou podle tohoto nařízení sankce 50 milionů euro, kterou potrestal francouzský dozorový úřad CNIL v lednu 2019 společnost Google LLC za nedostatečnou transparentnost zpracování osobních údajů, nedostatečné informování subjektů údajů a za neplatné souhlasy vztahující se k personalizaci reklamy.

Vysoké pokuty byly uloženy také v Portugalsku (400 tisíc euro vůči nemocnici za zpřístupnění pacientských dat neoprávněným osobám), v Polsku (220 tisíc euro společnosti Bisnode za neplnění informační povinnosti spojené se sběrem veřejně dostupných dat pro komerční účely), v Norsku (170 tisíc euro městu Bergen za nedostatečné zabezpečení osobních údajů) a v Dánsku (160 tisíc euro vůči taxislužbě za nedostatečnou anonymizaci dat).

Naopak žádné pokuty na základě GDPR zatím nepadly např. ve Finsku, Nizozemsku, Lucembursku, Rumunsku, Chorvatsku či Řecku.

K nejnověji oznámeným pokutám patří sankce od úřadů ve Francii (400 tisíc euro vůči realitní společnosti za nedostatečná technická a organizační opatření a nedostatečnou úpravu doby uchování dat), ve Španělsku (250 tisíc euro fotbalové lize La Liga za nedostatečné informování o záznamových funkcích její oficiální mobilní aplikace) a v Dánsku (cca 200 tisíc euro vůči nábytkářské společnosti za uchovávání dat o klientech po delší dobu než je nezbytné).

Pokud se chcete dozvědět podrobnější informace o dopadech GDPR v praxi, přečtěte si výroční zprávu Deloitte Living one year with GDPR s postřehy specialistů na ochranu osobních údajů z regionu centrální Evropy.

Osvědčení o ochraně údajů – nový nástroj k prokázání compliance?

V květnu 2019 se konala schůze Evropského sboru pro ochranu osobních údajů („EDPB“), která byla věnována mimo jiné finalizaci vodítek týkajících se akreditace subjektů, které by byly oprávněny k vydávání osvědčení o ochraně údajů, a dále procedurám pro vydávání těchto osvědčení jako takových. Finální text těchto vodítek zveřejnil EDPB začátkem června 2019.

Účelem těchto vodítek je primárně blíže vysvětlit poměrně složitou konstrukci procedury získávání akreditace a následného vydávání osvědčení akreditovanými subjekty. V návaznosti na přijetí tzv. adaptačního zákona k GDPR bude v České republice proces nastaven tak, že rozhodnutí o udělení akreditace bude svěřeno Českému institutu pro akreditaci („ČIA“). Akreditovaný subjekt (tzv. certifikační orgán) pak může vydat žadatelům osvědčení o ochraně osobních údajů.

Primárním účelem vydávání osvědčení, které bude fungovat na čistě dobrovolné bázi, je demonstrace souladu s GDPR navenek. Získání osvědčení tak může být zvláště užitečné v rámci vztahů mezi podnikateli, např. zpracovatelé disponující tímto osvědčením mohou mít jistou komparativní výhodu oproti zpracovatelům bez tohoto osvědčení při výběru nejvhodnějšího a nejdůvěryhodnějšího zpracovatele správcem. Osvědčení může sloužit i jako jedna z vhodných záruk ve smyslu čl. 46 GDPR, na jehož základě může dojít k předávání osobních údajů mimo EU. O akreditaci či udělení osvědčení zatím není pro absenci akreditačních a certifikačních kritérií možné žádat. O dalším vývoji Vás budeme informovat.

Nález ústavního soudu k uchovávání telekomunikačních dat

Ústavní soud ČR ve svém nálezu ze dne 14. května 2019, sp. zn. Pl ÚS 45/17, zamítl návrh skupiny poslanců, kterým se domáhali zrušení vybraných ustanovení týkajících se uchování telekomunikačních dat. Nález blíže komentujeme v naší části TechLaw Newsletteru, zabývající se novinkami z oblasti telekomunikací.

Nenechte si ujít ani další aktuality z oblastí ochrany osobních údajů, telekomunikací a médií, e-commerce a dalších technologií, sledujte všechny novinky pod tagem TechLaw zpravodaj.