Kolik bylo loni uděleno pokut za porušení ochrany osobních údajů? Na co si subjekty údajů nejčastěji stěžovaly? A na jaké oblasti se ÚOOÚ v roce 2021 nejvíce zaměřil? Načerpejte důležitá data z výroční zprávy ÚOOÚ za loňský rok.
V těchto dnech jsme oslavili čtvrté výročí GDPR, a proto je vhodné se krátce ohlédnout za uplynulým rokem. Nedávno totiž vzal Senát České republiky na vědomí výroční zprávu ÚOOÚ za rok 2021. ÚOOÚ v této zprávě informuje o svých činnostech v oblasti zákona č. 106 a hlavně v oblasti ochrany osobních údajů.
Studovat obsah výroční zprávy jakéhokoliv správního orgánu je důležité, pokud se chcete udržet v obraze ohledně toho, co daný úřad nejčastěji kontroluje či jaké pokuty za poslední rok rozdal. Jde však o poměrně časově náročnou činnost, jelikož člověk musí danou zprávu číst v kontextu ukončených kontrol a taktéž předchozích výročních zpráv. Abychom vám ušetřili čas, nabídneme vám přehled toho nejdůležitějšího. V tomto článku se tak dočtete, jak si ÚOOÚ v minulém roce vedl. V následujících číslech se pak podrobněji podíváme na závěry z kontrol za druhé pololetí roku 2021, které ÚOOÚ nedávno zveřejnil.
Kybernetická bezpečnost
Předseda ÚOOÚ ve svém úvodním slovu krátce shrnul výzvy, před nimiž Úřad stál v roce 2020 a 2021 v souvislosti s pandemií covidu-19. Letošní rok však přinesl nová rizika. V návaznosti na agresi Ruska vůči Ukrajině došlo k vyostření hybridní války, jež dle slov předsedy ukazuje, že „ochrana osobních údajů a soukromí jednotlivců musí být chápána jako nedílná součást ochrany společnosti před vnějším ohrožením jakož i ochrany demokratických hodnot obecně“.
V následujících měsících se připravme na změnu zákona o kybernetické bezpečnosti
Slova předsedy o tom, že naši společnost čekají nové úkoly v oblasti kybernetické bezpečnosti (kvůli ochraně před kybernetickými útoky), nepřímo podtrhuje i fakt, že v první polovině května se Evropský parlament a Rada shodly na znění nové směrnice o kybernetické bezpečnosti (NIS 2), která novelizuje stávající směrnici NIS. Český zákon o kybernetické bezpečnosti tak v průběhu příštího roku pravděpodobně dozná změny. Předmětná směrnice rozšíří záběr aktuální úpravy i na další sektor a dojde také k navýšení kapacit jednotlivých organizací. Tomuto tématu se budeme blíže věnovat v následujících číslech Zpravodaje.
Statistiky
Nejzajímavější část zprávy se týká podnětů a stížností v oblasti ochrany osobních údajů. Otázkou je, na co si vlastně lidé nejčastěji stěžují. Situace týkající se covidu-19 zamíchala s obecným rozložením oblastí, na které subjekty údajů obvykle směřovaly své podněty. Dle ÚOOÚ tak významně posílily podněty na oblast testování zaměstnanců a žáků.
I letos však hraje prim oblast zpracování údajů pro obchodní sdělení a marketingové hovory, která tvořila 26 % veškerých přijatých podnětů (v minulém roce to bylo 29 %). Druhou, třetí a čtvrtou příčku pak shodně se 13% zastoupením z celkového počtu stížností a podnětů obsadila oblast zveřejnění/zpřístupnění osobních údajů, oblast výkonu práv subjektů údajů a oblast monitorování fyzických osob prostřednictvím kamer.
Oproti předchozímu roku tak zejména v oblasti zveřejnění a zpřístupnění osobních údajů ubylo stížností, neboť v předchozím období byla tato oblast na druhém místě s 22 %. Zatímco v případě kamerových systémů se procento stížností a podnětů nijak nezměnilo, právě oblast výkonu práv subjektu údajů, která v roce 2020 tvořila pouze 10 % veškerých stížností a podnětů, relativně narostla.
Celkem 8 % stížností směřovalo na oblast porušení informační povinnosti správce (tedy čl. 13 a 14 GDPR). Zde je třeba upozornit, že když už se ÚOOÚ do kontrol v této oblasti pustí a zjistí nějaké porušení, padají většinou minimálně statisícové pokuty.
V roce 2020 se ještě o novele cookies téměř nevědělo a stížnosti na tento typ zpracování tak tvořily pouze 2 % z celkového množství. Nicméně v roce 2021 to již byly 3 % a lze předpokládat, že toto číslo v následující výroční zprávě ještě poroste. Ve vztahu ke cookies předseda ÚOOÚ ve svém úvodním slovu ještě jednou zopakoval, že uživatel stránek by měl mít možnost svobodné volby, do které patří i možnost odmítnout souhlas stejně jednoduše jako ho udělit. To si určitě zaslouží zdůraznit už jen proto, že tato skutečnost bývá velmi často zlehčována a možnost odmítnout souhlas (či zrušit lištu) nalézáme na mnoha stránkách až po rozkliknutí políčka „Nastavení“ (někde však ani tehdy).
Konkrétní čísla
Procentuální zastoupení jednotlivých oblastí je sice poměrně zajímavý indikátor, nicméně bez celkových čísel nám moc nenapoví. ÚOOÚ obdržel v roce 2021 celkem 1720 stížností (podání), v nichž si subjekt údajů stěžuje na zpracování svých osobních údajů, a celkem 710 podnětů ostatních osob. Z celkového počtu 2430 podání uzavřel ÚOOÚ 491 upozorněním, že správce porušuje GDPR, nicméně bez toho, aby zahájil kontrolu, či dokonce uložil sankce. Naopak 165 případů bylo předáno ke kontrole či jinému řízení. U celkem 52 z nich pak ÚOOÚ zahájil kontrolu. V témže roce se Úřadu podařilo ukončit celkem 43 kontrol, z nichž 17 bylo zahájeno v předchozích letech.
Pokuty a sankce
V roce 2021 ÚOOÚ uložil celkem 40 pravomocných pokut, které se týkaly porušení GDPR, potažmo oblasti ochrany osobních údajů (bez oblasti zasílání obchodních sdělení). Nejvyšší pokutu pak udělil ÚOOÚ ve výši 2 miliony korun (jednalo se o opakované nesplnění povinnosti správce).
ÚOOÚ loni udělil v oblasti GDPR pokuty za více než 3 a půl milionu korun
Dle vlastních výpočtů tak ÚOOÚ od účinnosti GDPR udělil pokuty celkem ve výši 10 684 000 korun. Sankce za minulý rok se pak na této částce měly podílet téměř třetinově, neboť v roce 2021 uložil ÚOOÚ pokuty ve výši celkem 3 526 000 korun.
Dle ÚOOÚ stálo za udělením pokut nejčastěji pochybení při zpracování osobních údajů na základě nesprávného právního titulu, užívání údajů k jinému účelu, než ke kterému byly získány, dále absence některých náležitostí v rámci zpracovatelské smlouvy a konečně – nedostatečné či chybějící informování subjektů údajů.
Obchodní sdělení
V minulém roce jsme byli v úvodním slovu předsedy seznámeni se záměrem ÚOOÚ se mimo jiné více zaměřit na oblast nevyžádaných obchodních sdělení. Ve stejném roce ÚOOÚ udělil rekordní pokutu v této oblasti ve výši 6 milionů korun.
Letos v oblasti zasílání obchodních sdělení ÚOOÚ udělil celkem 29 pravomocných pokut v souhrnné výši 2 900 100 korun. Nejvyšší pokuta ve výši 600 tisíc korun byla udělena společnosti, která zasílala osobní údaje bez právního titulu. Nejčastěji šlo tedy o porušení ze strany obchodních společností, na něž pak navazovalo nesprávné označení obchodních sdělení či neuvedení totožnosti odesílatele a dále absence platné adresy pro odvolání souhlasu. V této oblasti ÚOOÚ obdržel celkem 997 podnětů, zahájil celkem 11 kontrol a ukončil 13 (z toho 7 z předchozích let). Celkem 466 společností se pak vyhnulo sankci i návaznému řízení díky vyřízení případu bez zahájení kontroly a upozorněním subjektu na možné porušení povinností.
Celkové ohlédnutí
V roce 2021 narostl počet stížností ze strany subjektů údajů v oblasti ochrany osobních údajů. Z celkového počtu kontrol a pokut vyplývá, že ÚOOÚ v rámci své činnosti přitvrzuje a uchyluje se k čím dál vyšším pokutám. Co se týče kontrolovaných oblastí a zjištěných porušení, jsme svědky pokračujícího trendu z předchozích let. Správci často nedisponují právním titulem (či jej nevhodně zvolí) a opomínají informování subjektů údajů. Kromě toho, že zpracovatelské smlouvy v některých případech úplně chybí, ÚOOÚ také upozorňuje, že mnoho zpracovatelských smluv nemá předepsané náležitosti. V příštích dílech se můžete těšit na zhodnocení kontrol za rok 2021 v jednotlivých oblastech.
Článek byl publikován v Elektronickém zpravodaji pro pověřence