top of page
Vyhledat

Prudký nárůst sankcí za porušení GDPR ve Francii

  • Obrázek autora: Josef Bátrla
    Josef Bátrla
  • 13. 3.
  • Minut čtení: 4

Francouzský dozorový úřad v loňském roce udělil rekordní počet sankcí za porušení GDPR i nápravných opatření. Jaké prohřešky nejčastěji trestal? A lze čekat podobný trend u českého Úřadu pro ochranu osobních údajů?

Zatímco netrpělivě očekáváme výroční zprávu našeho Úřadu pro ochranu osobních údajů za předchozí rok, pojďme si toto čekání trochu zkrátit a podívat se do zahra­ničí. Rok 2024 se totiž v oblasti ochra­ny osobních údajů nesl ve znamení prudkého nárůstu celkového počtu nápravných opatření přijatých fran­couzským dozorovým úřadem (CNIL). Ve srovnání s předchozími lety došlo ke zdvojnásobení počtu sankcí, zatímco počty příkazů k nápravě a napomenutí dosáhly rekordní výše. Tento trend může poukazovat jak na to, že porušo­vání osobních údajů je stále častějším problémem, tak i na to, že ochrana osobních údajů je ze strany CNIL kon­trolována každým rokem intenzivněji.


Statistiky CNIL

V roce 2024 vydal CNIL celkem 331 rozhodnutí. Z toho udělil 87 sankcí, uložil 180 opatření k nápravě a vydal 64 na­pomenutí. Celková výše udělených po­kut se vyšplhala až na 55 212 400 eur (přibližně 1,3 miliardy korun). Na­vzdory tomu, že počet sankcí prudce vzrostl, celková výše uložených pokut byla téměř o 34 milionů eur nižší než v roce 2023, kdy celková výše pokut činila 89 179 500 eur (přibližně 2,2 mi­liardy korun). Počty sankcí přitom mají rok co rok stoupající tendenci, což potvrzuje fakt, že počet sankcí udělených CNIL vzrostl z 21 v roce 2022 na 42 v roce 2023 a následně na 87 v roce 2024. V roce 2024 však dosáhl i počet příka­zů k nápravě a napomenutí bezprece­dentní výše.


Různorodost a výše sankcí

Z celkového počtu sankcí uložených CNIL bylo 18 sankcí uloženo v rámci řádného sankčního řízení a 69 v rámci zjednodušeného sankčního řízení, jež bylo zavedeno v roce 2022. Cílem zjednodušeného sankčního řízení je při­tom především rychlejší a efektivnější uplatňování pokut za menší přestupky. Nejčastější formou sankcí byly peněžité pokuty, a to až v 75 případech, 14 z nich bylo spojeno s dodatečným příkazem k nápravě pod hrozbou další pokuty. Dále bylo vydáno osm rozhod­nutí o vymáhání příkazů k nápravě (tedy zaplacení pokuty z důvodu ne­dodržení příkazu k nápravě vydaného CNIL v jejím sankčním rozhodnutí) a čtyři opatření ve formě připomenutí k dodržování zákona. Celkem 12 těch­to rozhodnutí bylo zveřejněno, což může naznačovat snahu CNIL o zvýšení transparentnosti vlastních postupů.

Většina uložených pokut se pohy­bovala v rozmezí do 20 tisíc eur (při­bližně půl milionu korun). Největší pokuta, jež dosáhla výše 50 milionů eur, byla udělená společnosti Orange. Tato společnost, která je velkým mobilním operátorem, se dopustila porušování ochrany osobních údajů tím, že zobrazovala reklamy v e-mailech bez sou­hlasu subjektů údajů.

CNIL loni udělil dvakrát více sankcí než v roce 2023, celkem dosáhly výše 55 milionů eur

Hlavní oblasti porušení

Jedním z hlavních témat řešených v roz­hodnutích CNIL bylo nevyžádané zasílání obchodních sdělení. CNIL při­tom upozornil na to, že organizace, jež používají osobní údaje získané prostřednictvím svých partnerů, kteří je původně shromáždili, musejí zajis­tit, že tyto údaje byly shromážděny v souladu s GDPR a že byl v případě potřeby získán souhlas subjektů údajů pro zasílání obchodních sdělení. CNIL v této souvislosti též připomněl, že oso­ba vkládající reklamy do e­-mailů musí také nejprve získat souhlas subjektů údajů s tímto postupem.


Další opakující se oblastí v rozhod­nutích CNIL se stalo shromažďování a anonymizace zdravotnických údajů. CNIL připomněl, že i když jsou údaje shromažďovány ve velkém měřítku orga­nizací, která nezná totožnost dotčených osob, zůstávají tyto údaje pseudonymi­zované, a ne anonymizované, pokud jsou propojeny prostřednictvím iden­tifikátoru, což představuje riziko opětovné identifikace. Na takto získané údaje se tak dále vztahují přísná pravi­dla ochrany osobních údajů. V rámci této oblasti udělil CNIL tři napomenutí vládním organizacím za to, že nezajis­tily přesnost údajů obsažených v jejich databázích v souvislosti s několika samostatnými operacemi zpracování.


CNIL dále upozornil na to, že v pří­padě zpracování záznamů v rejstříku trestů nebylo mnoho spisů vypracova­ných policejními orgány aktualizová­no tak, aby reflektovaly osvobozující rozhodnutí vztahující se k subjektům údajů.

Dozorový úřad se nejčastěji zabýval nevyžádanými obchodními sděleními

Evropská spolupráce a zjednodušené sankční řízení

V roce 2024 bylo sedm rozhodnutí CNIL vydáno ve spolupráci s evropskými dozorovými úřady v rámci mecha­nismu jednotného kontaktního místa GDPR. CNIL rovněž posoudil 12 rozhodnutí svých evropských partnerů tý­kajících se zpracování osobních údajů osob žijících ve Francii.


V rámci zjednodušeného sankční­ho řízení bylo vydáno 69 sankcí, což je takřka trojnásobek oproti předchozímu roku. Nejčastějšími případy řeše­nými v rámci zjednodušeného řízení bylo nereagování na požadavky CNIL ze strany společností či živnostníků a nedodržení práv subjektů údajů, především v oblasti žádostí o výmaz, námitku nebo přístup k údajům.


Další porušení byla spatřována na­ příklad v nedostatečné minimalizaci údajů, ať už formou systematického za­znamenávání celých telefonních hovo­rů, nebo permanentního dohledu nad zaměstnanci na pracovištích prostřed­nictvím kamer. U několika organizací bylo zjištěno i porušení zabezpečení osobních údajů, kdy nebyla zavedena všechna nezbytná opatření k zajištění důvěrnosti a integrity údajů. Poruše­ní ochrany osobních údajů bylo často spatřováno i v tom, že subjektům úda­jů nebylo umožněno odmítnout soubory cookies tak snadno, jako je při­jmout, zejména proto, že mechanismus odmítnutí souborů cookies byl komplikovaný.


Zvýšení počtu příkazů k nápravě

Výraznou změnou oproti předchozím létům bylo i rapidní zvýšení počtu příkazů k nápravě udělených CNIL. V roce 2024 jich bylo vydáno až 180, přičemž se týkaly zejména:


  • ochrany digitálních zdravotnických záznamů, kde CNIL zaslal formální výzvu několika zdravotnic­kým zařízením, aby přijala opatření k zajištění bezpečnosti digitální doku­mentace pacienta, a připomněl jim, že údaje o pacientech by měly být přístup­né pouze oprávněným osobám;

  • nereagování na žádosti o uplatnění práv subjektů údajů jako napří­klad práva na přístup k údajům, práva vznést námitku nebo práva na výmaz údajů, což vedlo k desítkám příkazů k umožnění výkonu práv subjektů úda­jů vydaným v rámci zjednodušeného sankčního řízení;

  • dalších porušení, včetně nedo­statečných bezpečnostních opatření na ochranu údajů či již zmiňovaného ne­přiměřeného kamerového dohledu nad zaměstnanci na pracovišti.


Zpřísňování kontrol

Rok 2024 jasně ukázal, že CNIL nadále zpřísňuje své kontroly a důsledněji pro­sazuje ochranu osobních údajů. Ros­toucí počet nápravných opatření svědčí o stále přísnějším dohledu nad dodržo­váním GDPR ve Francii. Lze očekávat, že CNIL bude i nadále aktivní ve své kontrolní činnosti a bude se zaměřovat i na opakovaná porušení. Otázkou zů­stává, jak si v tomto kontextu bude stát náš ÚOOÚ – snad se to dozvíme brzy.


 
 
 

Comentários

Sdělení pro spotřebitele: Případné spory z poskytování právních služeb můžete řešit mimosoudně prostřednictvím České advokátní komory v souladu se zákonem č. 634/1992 Sb., o ochraně spotřebitele. Další informace včetně postupu naleznete zde  

© 2020 - 2022 by Josef Bátrla.

bottom of page