Jaké trendy v ochraně osobních údajů odhalila výroční zpráva ÚOOÚ za rok 2020? Počet stížností klesá, ale zpřísňují se pokuty za neposkytnutí součinnosti. Na co si lidé nejčastěji stěžují? A na jaké oblasti se Úřad zaměří v roce 2021?
Úřad pro ochranu osobních údajů zveřejnil výroční zprávu za rok 2020. Pro nás se tím otevírá příležitost zjistit, jaké jsou trendy v ochraně osobních údajů, kolik lidí si stěžuje, co je předmětem stížností a mnoho dalšího. Tyto informace nám pomůžou lépe plánovat interní audity či se specificky zaměřovat na oblasti, u nichž víme, že na ně padá nejvíce stížností. Kromě pohledu do minulosti se podíváme také na oblasti, na které se ÚOOÚ zaměří v tomto roce. Dotazy a konzultace V rámci konzultační činnosti se v roce 2020 ÚOOÚ věnoval celkem 1 751 písemným dotazům a prostřednictvím GDPR linky jich vyřídil celkem 1 351. Počet písemných dotazů zůstává meziročně v podobném rozsahu (v roce 2019 bylo dotazů 1 836) a ÚOOÚ si pravděpodobně může oddychnout, že období roku 2018, kdy vešlo v účinnost GDPR a Úřad se musel vypořádat s celkem 4 161 dotazy, je definitivně pryč. Tento trend se pravděpodobně promítl i do počtu volají cích na GDPR linku, neboť za rok 2020 je takřka poloviční oproti roku minulému (kdy telefon v ÚOOÚ zazvonil celkem 2 667x) a 3,5krát menší než počet hovorů za rok 2018 (tehdy to bylo 2 800 hovorů a dalších 1 900 na telefonní lince pro kamerový systém). Otázkou je, zda z tohoto můžeme vyvodit, že podnikatelé jsou rok od roku zkušenější a ochrana osobních údajů je brána již jako samozřejmost, anebo naopak opadl jakýkoliv zájem podnikatelů tuto otázku vůbec řešit – to pravděpodobně zjistíme z informací týkajících se stížností a kontrol níže. Co však vzbuzuje údiv, je celkový počet konzultací, které ÚOOÚ provedl v souvislosti s povinnostmi správců ve vztahu k předchozím konzultacím s ÚOOÚ dle čl. 36 GDPR. Pokud totiž správce při posuzování vlivu narazí na zpracování, jež by měla za následek vysoké riziko v případě, že by správce nepřijal opatření ke zmírnění tohoto rizika, je povinen takové zpracování před jeho zahájením konzultovat s ÚOOÚ. Stejně jako v minulém roce se i letos toto stalo přesně nulakrát, přičemž minimálně ve vztahu k „novým“ technologiím, jež stát využívá pro boj se současnou pandemií (nikoliv ze zákonné povinnosti), ale i s ohledem na modernizaci některých procesů je to poměrně zajímavé zjištění. Podněty a stížnosti Co nás ale zajímá nejvíce, je pochopitelně to, jak si minulý rok stál, co se týče přijatých podnětů. Zatímco v roce 2018 přijal ÚOOÚ celkem 3 616 podnětů, o rok později to bylo již jen 2 482. Tento sestupný trend se projevil i v roce 2020, neboť počet podnětů klesl poprvé od roku 2017 pod hranici dvou tisíc na celkem 1 855 podnětů. Ve stejné tendenci, ale nikoliv stejným poměrem, také klesl počet případů, kdy byl podnět předán ke kontrolnímu či jinému řízení, neboť zatímco v roce 2018 bylo takových podnětů předáno 193, v roce 2019 už to bylo 145 a za rok 2020 celkem 125. Ačkoliv tedy klesl celkový počet podnětů, na činnosti ÚOOÚ to prakticky nebylo poznat (k tomu viz níže). Ohlášení porušení zabezpečení Jak víme z předchozích článků Zpravodaje týkajících se kontrol ÚOOÚ, některé z nich byly zahájeny na základě předchozího ohlášení o porušení zabezpečení osobních údajů ve smyslu čl. 33 GDPR. Zatímco v roce 2018, kdy tato povinnost vstoupila v účinnost až téměř v polovině roku, obdržel ÚOOÚ těchto oznámení celkem 260, předminulý rok, kdy Úřad obdržel 416 ohlášení, byl rekordní. V minulém roce však nastal opět propad takových ohlášení na celkový počet 292. Otázkou zůstává, nakolik to lze považovat za důkaz, že dochází k méně případům porušování zabezpečení (o čemž lze s ohledem na obrovský meziroční nárust kybernetických útoků v některých sektorech až o 40 % velmi pochybovat), nebo že správci neplní tuto svoji povinnost důsledně. Kontrolní činnost Nejzásadnějším údajem pro nás jsou data o kontrolní činnosti, a proto vás nebudeme napínat – za rok 2020 bylo zahájeno celkem 54 kontrol, což je o 9 méně než předchozí rok a o 22 méně než za rok 2018. Stejně tak se letos podařilo ÚOOÚ ukončit celkem 48 kontrol (z toho 16 bylo z předchozích let). V roce 2019 se mu dařilo lépe, neboť bylo ukončeno celkem 75 kontrol (z toho 32 z předchozích let), a pochopitelně je to méně než za rok 2018 (ukončeno 89, z toho 36 bylo z předchozích let). Ačkoliv počet provedených kontrol mírně klesá, zvyšuje se nekompromisní přístup ÚOOÚ v případě, že kontrolovaný subjekt neposkytuje součinnost – v tomto roce totiž padlo již pět pokut za neposkytnutí součinnosti (v minulých letech se k tomu ÚOOÚ uchýlil pokaždé celkem čtyřikrát). Obchodní sdělení S příchodem pandemie a různých forem lockdownů se spousta firem s nadějí uchýlila k internetovému marketingu, a to zejména formou zasílání obchodních sdělení. Je proto zajímavé, jak se tento trend přesunu do digitálního marketingu projevil v počtu stížností. V roce 2018 obdržel ÚOOÚ celkem 2 901 stížností na obchodní sdělení (z čehož zahájil 22 kontrol), což navzdory silné medializaci s příchodem GDPR bylo jen o cca 200 stížností více než rok předcházející, a nadto o 900 méně než v roce 2016. Bylo to dokonce o 2 500 stížností méně než za rok 2015. Ostatně v roce 2014 a letech předcházejících ÚOOÚ obdržel standardně okolo 8 000 stížností – celkově se tedy projevil trend, že těchto stížností skutečně ubývá. Potvrzují to i čísla za rok 2019, kdy ÚOOÚ obdržel celkem 2 007 podnětů (z nichž zahájil pět kontrol). Samozřejmě nám výše uvedená čísla bez kontextu spíše nepomohou, neboť neznáme statistiky, kolik bylo posláno obchodních sdělení, kolik z nich bylo v souladu se zákonem a kolik z nich trpělo jinými vadami. Jediné, co víme, je to, že za rok 2020 obdržel ÚOOÚ celkem 3 031 podnětů, z nichž zahájil celkem 15 kontrol, tedy trojnásobně více než za předchozí rok. Ostatně právě minulý rok ÚOOÚ udělil rekordní pokutu ve výši šesti milionů korun a předseda Úřadu k tomu v úvodu závěrečné zprávy dodal: „Naším cílem je individuální, a především generální prevence. Nejen výše hrozící sankce, ale především její neodvratnost by měly pomoci kultivovat prostředí v této oblasti. Nevyžádaná obchodní sdělení přestanou být problémem v okamžiku, kdy se podstatné části těch, kteří je rozesílají, přestanou vyplácet.“ Z výše uvedeného nelze než vyčíst, že bychom si měli dát na zasílání obchodních sdělení pozor. Jak pandemie zasahuje do činnosti ÚOOÚ Klíčovou otázkou je, jak bude ÚOOÚ v rámci současné pandemie postupovat v této oblasti nadále. Co se týče prozatím nezveřejněného kontrolního plánu, Úřad se plánuje zaměřit na věrnostní programy, zpracování v rámci doručovatelských služeb, ale také zpracování ve vztahu k nabídce a prodeji zprostředkování energií, a to i co se týče telemarketingu, což je téma, které rezonovalo i ve výroční zprávě za rok 2020. Ostatně plánovaným kontrolám neunikne ani šíření obchodních sdělení prostřednictvím telefonních operátorů. Přestože v rámci veřejného sektoru je vynucovaní pravomoci ÚOOÚ značně osekané, měli bychom si dát pozor na zveřejňování údajů na elektronických úředních deskách či u městských kamerových systémů – i sem zamíří pozornost ÚOOÚ. Obecně vzato lze ale předpokládat i další sérii kontrol v oblastech týkajících se zpracování osobních údajů v souvislosti s aktuální pandemií, a to nejen ve vztahu k rezervačnímu systému na očkování, ale i CovidPassu a podobně. Alespoň takto můžeme usuzovat z tiskových zpráv ÚOOÚ. MINULÝ ROK ÚOOÚ: – obdržel 1 751 písemných a 1 351 telefonických dotazů – neposkytl žádnou konzultaci v souvislosti s povinností správce dle čl. 36 GDPR – přijal 1 855 stížností, z nichž 125 předal k dalšímu kontrolnímu či jinému řízení – obdržel 292 ohlášení o porušení zabezpečení osobních údajů – zahájil 54 kontrol a 48 z nich ukončil – udělil 5 pokut za neposkytnutí součinnosti kontrolovaným subjektem – obdržel 3 031 stížností na obchodní sdělení, z čehož zahájil 15 kontrol – udělil rekordní pokutu 6 milionů korun za nevyžádané obchodní sdělení Závěr Počet stížností a kontrol klesá, v oblasti marketingu (zejména obchodních sdělení) je však trend spíše opačný. Do jisté míry to má svoji logiku – čím dál více jsme uzavřeni ve svých domovech a nakupujeme na internetu. Z daných čísel sice nelze přesně vyčíst, jak se tyto trendy budou vyvíjet do budoucna, nicméně i tak nám zmíněná data umožňují odhadnout, na co si dát v rámci našich organizací pozor a jakým oblastem se věnovat především. Článek vyšel v Elektronickém zpravodaji pro pověřence
Comments