top of page
Vyhledat

Rok 2024 očima ÚOOÚ: Rekordní pokuta i dopady nových technologií

  • Obrázek autora: Josef Bátrla
    Josef Bátrla
  • 10. 4.
  • Minut čtení: 6

Přišel čas ohlédnout se za činností Úřadu pro ochranu osobních údajů v roce 2024! Na co se Úřad v loňském roce zaměřil? Rekordní pokuta 351 milionů korun, stížnosti na obchodní sdělení i kamery – o tom byl rok 2024.

Dlouho očekávaná výroční zpráva Úřadu pro ochranu osobních údajů za rok 2024 byla konečně zveřejněna, a my vám tak můžeme nabídnout její podrobnou analýzu. Už více než šest let vám na stránkách Zpravodaje přinášíme aktuální informace ze světa GDPR, abychom vám pomohli zajistit soulad s legislativou v oblasti ochrany osobních údajů v rámci vašich organizací, a potažmo se tak vyhnout nejen pokutám, ale i kontrolám ÚOOÚ (mnohdy spojeným s nebezpečím negativní publicity). A právě proto nás vždy zajímá, čemu se ÚOOÚ v průběhu celého roku věnoval, kolik stížností obdržel, kolik řízení zahájil a jaké informace z toho můžete využít, abyste se vyhnuli nepříjemné návštěvě Úřadu.


Výroční zpráva ÚOOÚ za rok 2024 přináší nejen souhrn uplynulých událostí, ale i důležité náznaky, kam se může činnost Úřadu ubírat v dalších letech. Pojďme se tedy podívat, co ÚOOÚ během roku řešil a kam se posouvá jeho dozorová praxe. Můžeme si tak zkrátit čekání na další dlouho vyhlížený okamžik, a sice zveřejnění konkrétnějších kontrolních závěrů ze strany Úřadu, které nám umožní identifikovat, čemu bychom měli věnovat zvláštní pozornost.

Loni obdržel ÚOOÚ celkem 2 288 stížností a podnětů, podobně jako v roce 2023

Úvodní slovo

Úvodního slova se opět chopil předseda ÚOOÚ, Mgr. Jiří Kaucký. Tento úvod neslouží k „politické“ sebepropagaci, jak tomu často bývá v jiných případech, ale najdeme v něm i informace o klíčových oblastech. Předseda ÚOOÚ se na několika stránkách obecnými slovy rozepsal o výzvách ochrany soukromí v digitálním věku s důrazem na stále větší význam umělé inteligence, o procesních stránkách ochrany osobních údajů, významu prevence a kontrol, vzdělávání a osvěty a též o prosazování práva na informace. Věnuje se také tendencím v oblasti ochrany osobních údajů do budoucna – což je oblast, která je pro nás důležitá.


Důraz klade i na to, že česká pravidla pro řízení před ÚOOÚ budou muset projít podstatnou novelizací týkající se nejen přeshraničních, ale i vnitrostátních řízení, a to z důvodu připravovaného legislativního návrhu evropského nařízení o procesních pravidlech při prosazování GDPR. Ve výhledu do budoucna počítá v souvislosti se stoupajícím vývojem technologií s implementací celé řady nových evropských aktů (například o datech, digitálních službách, umělé inteligenci), které si vyžádají úzkou spolupráci mezi státem, průmyslem a veřejností.


Jednou z hlavních oblastí činnosti ÚOOÚ v roce 2024 byla dle slov předsedy prevence porušování právních předpisů o ochraně osobních údajů a posílení kontrolních mechanismů. ÚOOÚ se přitom věnoval kontrolám jak veřejného, tak soukromého sektoru a monitoroval i nové technologické trendy, které mohou mít dopad na ochranu osobních údajů.


Předseda dále vyzdvihl problematiku společností, které lidem rozesílají vystavené faktury vyzývající k zaplacení údajně objednaných služeb prostřednictvím e-mailových zpráv. Proti těmto společnostem ÚOOÚ důrazně zakročil a uložil pokuty za více než pět milionů korun.


Statistiky podnětů a stížností

Statistiky podnětů a stížností dokládají stabilní vysoký zájem o zásah ÚOOÚ. Ani v roce 2024 totiž celkový počet stížností a podnětů neklesal – stejně jako v předcházejících letech jich byly zaznamenány více než dva tisíce. Celkově bylo v loňském roce podáno 2 288 stížností a podnětů.

Zdroj: ÚOOÚ
Zdroj: ÚOOÚ

Zajímavý je však rozdíl v počtu podaných stížností a v počtu podnětů. Tyto pojmy bývají velmi často zaměňovány a vykládány různě, a to i v právních předpisech. Obecně však lze shrnout, že stížností se rozumí podání osoby, která je v rámci zpracování přímo dotčena (například zaměstnanec, jehož osobní údaje zaměstnavatel neoprávněně zveřejnil, či zákazník, který obdržel nevyžádané obchodní sdělení). Podnětem by se pak mělo rozumět jakékoliv jiné podání, jež zpravidla nesleduje nutně osobní zájmy. Ze statistiky ÚOOÚ přitom vyplývá, že počet stížností byl v roce 2024 výrazně nižší než v předchozích čtyřech letech, a to pouze 680.


Oblasti stížností a podnětů

Co nás však zajímá nejvíce, jsou oblasti, kterých se stížnosti a podněty týkaly. Zpracování osobních údajů v pracovněprávních vztazích tvoří 3 % celkových oznámení vůči ÚOOÚ. Na zpracování prostřednictvím cookies a výkon práv subjektů údajů si stěžovalo 8 % osob. Stížnosti na porušení povinností správce osobních údajů dle čl. 13, 14 a 32 GDPR, tedy zejména právo na informace, pak tvoří celkem 10 % podání vůči ÚOOÚ. Na oblast monitorování fyzických osob prostřednictvím kamer směřovalo až 12 % podání. Více podání připadalo pouze na zveřejnění či zpřístupnění osobních údajů s 13 % a nejvyšší počet podání (15 %) směřoval jako obvykle na zpracování údajů pro marketingové účely. V poslední době se do popředí dostávají také otázky využívání údajů ze státních registrů soukromými subjekty, především bankami a pojišťovnami.


V oblasti obchodních sdělení obdržel ÚOOÚ za rok 2024 celkem 1 425 stížností, což je ještě více než za rok 2023 (statistiky za obchodní sdělení jsou oddělené od ostatních statistik). Z toho se 36 % stížností týkalo nevyžádaných obchodních sdělení zasílaných na e-mailové adresy, které obsahovaly zálohové faktury na služby, jež si příjemci neobjednali.

Zdroj: ÚOOÚ
Zdroj: ÚOOÚ

V rámci analýzy stížností a podnětů, která přibližuje aktuální trendy v oblasti ochrany osobních údajů, zdůraznil ÚOOÚ i problematiku modelů „consent or pay“ provozovaných některými online platformami. Jde o praxi, kdy je uživatel nucen buď souhlasit se zpracováním osobních údajů pro reklamní účely, nebo si za přístup k obsahu zaplatit. ÚOOÚ v této souvislosti upozorňuje, že takový souhlas nemusí být ve smyslu GDPR považován za svobodný, přičemž negativní postoj k tomuto modelu je možné spatřovat i ve stanovisku Evropského sboru pro ochranu osobních údajů (EDPB). Na model „consent or pay“ bylo v roce 2024 zaznamenáno doposud nejvíce stížností. ÚOOÚ v poměrně krátkém čase obdržel zhruba 80 stížností, z čehož se zhruba 70 týkalo konkrétního správce osobních údajů.

Lidé si nejčastěji stěžují na zpracování údajů pro marketingové účely a na kamery

Dozorová činnost a pokuty

V závěru výroční zprávy ÚOOÚ zveřejnil bližší informace o pokutách a zahájených kontrolách. Z těchto údajů lze vyčíst, že ÚOOÚ za rok 2024 zahájil v rámci dozorové činnosti v oblasti ochrany osobních údajů celkem 14 kontrol a 12 jich ukončil. Pravomocně ukončených správních řízení o přestupku bylo v této oblasti celkem 20 a na jejich základě udělil ÚOOÚ pokuty v celkové výši 351 234 000 korun.


V rámci dozorové činnosti v oblasti obchodních sdělení (eviduje se jako samostatná kategorie) pak ÚOOÚ v roce 2024 zahájil celkem 13 kontrol a 9 jich ukončil. Pravomocně ukončených správních řízení bylo 31 a souhrnná výše pravomocně uložených pokut z těchto řízení činila 7 124 000 korun.


V roce 2024 udělil ÚOOÚ dosud nejvyšší pokutu, a to ve výši 351 milionů korun. Tato pokuta byla uložena společnosti poskytující antivirový software za neoprávněné zpracování osobních údajů uživatelů svého antivirového programu a rozšíření internetových prohlížečů. V rámci poskytování služeb antivirového softwaru zpracovávala tato společnost osobní údaje uživatelů a předávala část těchto údajů, týkajících se přibližně 100 milionů uživatelů, své sesterské společnosti. Deklarovaným účelem byla tvorba statistické analýzy trendů, přičemž ÚOOÚ vyhodnotil, že společnost neměla k takovému zpracování právní titul ve smyslu čl. 6 odst. 1 GDPR. Porušení ochrany osobních údajů shledal ÚOOÚ i v tom, že společnost jakožto správce osobních údajů nedostatečně informovala subjekty údajů o účelech zpracování a o právním základu pro zpracování.


Stejně jako v předchozích obdobích věnoval ÚOOÚ pozornost i problematice souborů cookies. V roce 2024 vedl v této oblasti 5 řízení, a to se středně velkými a velkými správci osobních údajů, u nichž v případě shledání porušení GDPR hrozí pokuty ve výši milionů korun. Těžiště problematiky se však v roce 2024 z důvodu rekordního počtu stížností přesunulo od nastavení cookies lišt k již zmíněnému využívání modelu „consent or pay“.

V roce 2024 udělil ÚOOÚ rekordní pokutu ve výši 351 milionů korun

Co si z výroční zprávy odnést?

Rok 2024 byl pro ÚOOÚ obdobím, kdy kromě již běžné agendy řešil i témata spojená s nástupem nových technologií, zejména umělé inteligence a digitální ekonomiky – v této oblasti tak můžeme očekávat větší pozornost dozorových orgánů. Zpráva rovněž poukazuje na stále se zvyšující tlak na ÚOOÚ z důvodu plánovaných evropských změn, a to i v procesní oblasti.


Počet podnětů a stížností se z hlediska jejich celkové výše oproti předchozím obdobím výrazně nezměnil – ÚOOÚ letos evidoval více než dva tisíce stížností a podnětů, což potvrzuje trvalý zájem o ochranu osobních údajů. Jedním z důležitých momentů roku 2024 bylo udělení rekordní pokuty ze strany ÚOOÚ, která výrazně překročila dosavadní sankce. Více informací o proběhlých kontrolách ÚOOÚ vám přineseme, jakmile budou zveřejněny kontrolní závěry, a můžete se také těšit na další podrobnosti o činnostech ÚOOÚ v minulém roce.


 
 
 

Comentários

Sdělení pro spotřebitele: Případné spory z poskytování právních služeb můžete řešit mimosoudně prostřednictvím České advokátní komory v souladu se zákonem č. 634/1992 Sb., o ochraně spotřebitele. Další informace včetně postupu naleznete zde  

© 2020 - 2022 by Josef Bátrla.

bottom of page