Rok se s rokem sešel a my máme konečně příležitost zhodnotit uplynulý rok 2023 i v oblasti ochrany osobních údajů. ÚOOÚ totiž vydal dlouho očekávanou výroční zprávu, v rámci níž shrnuje spoustu zajímavých informací, jež nám zpravidla pomohou odhadnout, kudy se vydá činnost ÚOOÚ i v letech následujících. Pojďme tedy udělat pomyslnou tečku za předchozím … Číst dál
Rok se s rokem sešel a my máme konečně příležitost zhodnotit uplynulý rok 2023 i v oblasti ochrany osobních údajů. ÚOOÚ totiž vydal dlouho očekávanou výroční zprávu, v rámci níž shrnuje spoustu zajímavých informací, jež nám zpravidla pomohou odhadnout, kudy se vydá činnost ÚOOÚ i v letech následujících. Pojďme tedy udělat pomyslnou tečku za předchozím rokem a podívejme se, co nám ÚOOÚ sděluje.
Úvodní slovo
Úvodní slovo si opět vzal předseda ÚOOÚ, Mgr. Jiří Kaucký. Ten se na několika stránkách zaobírá obecnými slovy o výzvách digitální doby, jednotlivými zákoutími ochrany osobních údajů a věnuje se také obecným tendencím ve světě. Z jeho řádků lze však vyčíst, které priority hrály důležitou roli v činnosti ÚOOÚ za minulý rok a co nás vlastně může čekat. Kromě obecného shrnutí, kterým oblastem se ÚOOÚ věnoval (například doznívající kontroly z doby covidové či dozor v rámci informačních systémů SIS, VIS, CIS, Eurodac, Europol a podobně), předseda vyzdvihuje téma cookies.
Kaucký v úvodu informuje, že v rámci dosavadních kontrol udělil ÚOOÚ pokuty za téměř pět milionů korun, což je údaj, který známe i z předchozího roku, a je tedy otázkou, zda se jedná o nový údaj, zastaralý údaj nebo skutečně ÚOOÚ v mezičase nenarazil na nového „hříšníka“, jenž by si udělení pokuty zasloužil. ÚOOÚ to odůvodňuje tím, že „skutečně pozoruje me viditelnou snahu uvádět vše do souladu s obecným nařízením a dalšími právními předpisy“. Předseda nás však ujišťuje, že ve své snaze dále postihovat nezákonné vytěžování osobních údajů prostřednictvím cookies ÚOOÚ pole vovat nebude.
U 70 % kontrolovaných osob se zjistilo ukládání cookies před udělením souhlasu
Poměrně dosti probírané celoevropské kontrole pověřenců pro ochranu osobních údajů předseda věnuje jeden odstavec s tím, že ÚOOÚ zavedl novou efektivní metodu pro kontrolu veřejného sektoru, která je založena na šetření prostřednictvím standardizovaných dotazníků. Tento přístup má být inspirován právě celoevropskou kontrolou, přičemž ÚOOÚ se údajně chystá k jeho široké aplikaci. S ohledem na to, že do celoevropské kontroly pověřenců ÚOOÚ přispěl velmi malým vzorkem (oslovil pouze ústřední orgány veřejné moci), vzbuzují v nás tato slova vysoká očekávání. Dost ale o obecných informacích, pojďme se podívat na výroční zprávu blíže.
Statistiky cookies
Co nás vždy zajímá, jsou pochopitelně statistiky. Poměrně zajímavá statistika je procentuální zastoupení zjištěných prohřešků v rámci kontrol cookies. Téměř 30 % z kontrolovaných osob totiž porušilo zákon tím, že možnost odmítnutí souhlasu s uložením cookies směřovalo do různých vrstev cookies lišty – tedy že odmítnout souhlas nebylo možné hned v první vrstvě. U každé druhé kontrolované osoby byly také zjištěny nedostatky v plnění informační povinnosti. Vítězem pak bylo ukládání cookies ještě před tím, než k tomu dal vůbec uživatel souhlas. Toho se dopustilo více než 70 % kontrolovaných osob, což skutečně není málo.
Statistiky podnětů a stížností
Co se týče statistiky podnětů a stížností, pokud někdo předpokládal trvalé snižování zájmu o zásah ÚOOÚ, které bylo jen částečně narušeno častým upozorňováním na možné nezákonné zpracování osobních údajů v souvislosti s covidem, bude pravděpodobně pře kvapen. Celkový počet stížností a podnětů totiž narostl na číslo 2322, které se velmi blíží roku 2021, kdy počet stížností a podnětů činil celkem 2430.
V čem však nemáme úplně jasno, je rozdíl mezi podnětem a stížností. Tyto pojmy totiž bývají velmi často zaměňovány a i leckterý právní předpis jim přisuzuje trochu jiný význam. Pokud vycházíme z premisy, že stížnost je podání osoby, která je v rámci zpracování přímo zainteresovaná (například zaměstnanec, jehož osobní údaje zveřejňuje neoprávněně zaměstnavatel, či zákazník, jehož údaje byly neoprávněně smazány), podnětem by se pak mělo rozumět jakékoliv jiné podání, jež zpravidla nesleduje nutně osobní zá jmy. Z tohoto pohledu statistika ukazuje poměrně zajímavé závěry: počet stížností je za poslední čtyři roky vůbec nejnižší, tedy 1373.
Zdroj: ÚOOÚ
Počet však není vždy to nejdůležitější – co nás zajímá více, jsou oblasti, na které stížnosti a podněty směřují. Zpracování osobních údajů v rámci HR agendy tvoří 2 % celkových oznámení vůči ÚOOÚ a pouze 3 % stížností a podnětů se týkají cookies. Stížnosti na výkon práv subjektů údajů pak tvoří celkem 6 % podání vůči ÚOOÚ, přičemž do této statistiky se nepočítá právo na informace dle čl. 13 a 14 GDPR, které mají ve statistice vlastní místo s 9% zastoupením. Nedávné vydání metodiky ÚOOÚ ke kamerovým systémům, jíž jsme se věnovali v předchozích číslech Zpravodaje, je velmi příhodné, neboť na tuto oblast si stěžovalo 11 % lidí a orgánů veřejné moci. Více už zabírá pouze zveřejnění či zpřístupnění osobních údajů s 16 % a vítězem je – ostatně jako vždy – zpracování údajů pro marketingové účely s 22 %.
Tento trend se propsal i do samostatné statistiky obchodních sdělení. Za poslední tři roky narostl počet stížností na obchodní sdělení na 1388, což je oproti rekordnímu (ve smyslu nejnižšího počtu) roku 2022, kdy počet stížností činil 906, opravdu rozdíl – byť v celkovém počtu e-mailové komunikace relativně zanedbatelný.
Zdroj: ÚOOÚ
Ostatní statistiky, například počet písemných dotazů či telefonátů na konzultační linky či mediální pokrytí agendy ÚOOÚ, pro nás nejsou zajímavé. Pokud jste si však pročetli metodiku, položili jste si nejspíš stejnou otázku jako my – a kde jsou pokuty?
Dozorová činnost a pokuty
Oproti předchozímu roku ÚOOÚ nezveřejnil na samostatných stránkách závěry dozorové a kontrolní činnosti. Zveřejnil nicméně alespoň bližší informace o pokutách a zahájených kontrolách. Kdo si pozorně přečetl celou zprávu, mohl se dozvědět, že ÚOOÚ za rok 2023 zahájil celkem 35 kontrol a 25 jich ukončil. Trestů, které nabyly právní moci, pak ÚOOÚ uložil celkem 23, a to v souhrnné výši 3 653 000 korun.
V oblasti obchodních sdělení ÚOOÚ zahájil celkem 13 kontrol a 15 jich ukončil (z toho 7 z předchozích let). Řízení o sankcích proběhlo 29 a celková výše pravomocně uložených pokut činí 8 623 000 korun. Zde však veškeré podrobnosti končí. Jediné, co tedy máme k dispozici, jsou jednotlivé střípky. Například nejvyšší pravomocné pokuty v oblasti cookies činily 898 tisíc korun a 602 ti síc korun, přičemž (již z výše uvedené statistiky) víme, že byly uděleny (mimo jiné) za ukládání cookies bez souhlasu. O pokutě, jež byla udělena Ministerstvu vnitra v souvislosti s policejním zpracováním údajů z karantény a která činila 975 tisíc korun, jsme již také psali.
Nejvyšší pokuta za ukládání cookies bez souhlasu činila 898 tisíc korun
Otázkou je, jak předmětná čísla sedí s ohledem na celkové příjmy ÚOOÚ, jež ÚOOÚ uvádí v samostatné kapitole. Zde totiž Úřad uvádí, že jeho rozpočet byl v roce 2023 naplněn částkou 10 457 390 korun. Dle ÚOOÚ se mělo jednat o příjmy ze sankcí (jak v oblasti obchodních sdělení, kde prokazatelně víme o pokutě 7,7 milionu korun, tak i v oblasti ochrany osobních údajů a cookies, kde dle slov ÚOOÚ měly být uděleny pokuty bezmála za pět milionů korun). Částka by však měla také zahrnovat náhradu nákladů řízení, a dokonce vrácené přeplatky za energie z minulého roku. Sečteno podtrženo – moc to nevychází.
Celkově tedy můžeme vyčíst, že v oblasti řízení o sankci v rámci obchodních sdělení ÚOOÚ rozdal pokuty za 8 623 000 korun, kdy nám po odečtení částky 7, 7 milionu korun zbývá část ka 923 tisíc korun pro ostatní pokuty. Zde už ÚOOÚ bližší informace o počtu pravomocně udělených pokut neuvádí. To však nevadí. Obsah závěrečné zprávy jsme totiž zdaleka nevyčerpali a příště se vrhneme na kontrolní závěry.
Celou výroční zprávu ÚOOÚ si můžete stáhnout zde. |
Comments