Věděli jste, že Úřad pro ochranu osobních údajů obdrží v průměru 7,5 stížností každý den? Počet stížností i výše pokut přitom roste v celé Evropě. Jak si ve vymáhání GDPR stojíme v porovnání s ostatními členskými státy? A za co byly uděleny tři nejvyšší pokuty v minulém roce?
Dne 28. 1. jsme oslavili Den ochrany osobních údajů. Svátek byl na tento den stanoven z důvodu přijetí Úmluvy o ochraně osob se zřetelem na automatizované zpracování osobních dat, což se stalo roku 1981. Za oněch 40 let ušla ochrana osobních údajů poměrně zásadní cestu, která změnila a stále mění fungování trhu – velcí technologičtí giganti jsou nuceni fakticky upravovat parametry svých služeb (ačkoliv je to pro ně nevýhodné), stěhují svá datacentra do jiných zemí (ve snaze vyhnout se odpovědnosti) či vyhrožují, že své služby pro celou Evropu jednoduše vypnou (viz například prohlášení Facebooku).
Velkou zásluhu na tom má samozřejmě i přijetí GDPR, které minimálně v rámci naší české kotliny zvýšilo o této problematice povědomí. Dopady GDPR na podnikání jsou tak všudypřítomné, a to hlavně z důvodu vysokých sankcí. Využijme proto tohoto jubilea a pojďme si krátce zrekapitulovat, jak jsme na tom v rámci vymáhání sankcí a jak GDPR zasahuje do fungování ekosystémů společností fungujících na území EU.
Základní statistiky
Právě v lednu tohoto roku vydala společnost DLA Piper, respektive její tým, který se zabývá kybernetickou bezpečností a ochranou osobních údajů, zprávu týkající se uložených pokut podle GDPR. V rámci této zprávy se zaměřili na statistiky ukládání pokut, počtu stížností a dalších zajímavých informací, a to zejména za období od 28. 1. 2020 do 27. 1. 2021. Co se týče statistiky stížností a podnětů, oproti předchozímu období, kdy takových oznámení bylo v průměru 278 denně, došlo v období minulého roku k 19% nárůstu (na 331 denně). To skutečně není málo. S ohledem na čím dál častější přechod procesů a podnikatelů do online prostředí, mimo jiné z důvodu současné pandemické situace, lze předpokládat, že bude přibývat i počet oznámení.
Ohromný je také objem sankcí, které za uplynulý rok dozorové orgány udělily. V součtu totiž celková suma udělených (nikoliv však vždy pravomocných a konečných) pokut činila celkem 158,5 milionů eur, tedy něco okolo čtyř miliard korun. Přitom v předchozím období, tedy od účinnosti GDPR, dozorové orgány udělily něco okolo 114 milionů eur, v celkové výši tedy od účinnosti GDPR něco okolo 272 milionů eur (v přepočtu cca sedm miliard korun).
Český podíl
Určitě si kladete otázku, jak se na částce sedmi miliard korun podílel český Úřad pro ochranu osobních údajů. Bez velkého napínání můžeme rovnou uvést, že ÚOOÚ od účinnosti GDPR rozdal pokuty v celkové výši 2 889 000 korun. Ze sedmi miliard, připadajících na všechny členské státy, to skutečně netvoří významný poměr, neboť Česká republika se podílí na sankcích cca v 0,04 %.
Dle informací serveru o českém internetu Lupa.cz, který informace ze zprávy DLA Piper ověřoval, ÚOOÚ obdržel od účinnosti GDPR celkem 7 179 podnětů a stížností. Ze statistik tak vyplývá, že dostane okolo 7,5 stížností denně. Kolik z těchto podnětů skutečně vedlo k zahájení kontrol, se můžeme pouze domnívat, neboť z výše uvedeného článku nevyplývá, zda údaj o počtu kontrol zahrnuje i kontroly zahájené podle kontrolního plánu, či nikoliv. Tak či tak ÚOOÚ poskytl Lupě vyjádření, že za účinnosti GDPR zahájil celkem 144 kontrol, což i v případě, že by se jednalo o kontroly zahájené jako důsledek stížnosti, není mnoho.
Rekordmani
Jistě se pro zajímavost sluší zmínit tři rekordmany, co se uložených pokut týče, které DLA Piper v evropském kontextu vyzdvihla.
Porušování GDPR se určitě nevyplácí ve Francii: tamní dozorový orgán uložil v lednu roku 2019 společnosti Google pokutu ve výši 50 milionů eur, a to za porušení zásady transparentnosti ve vztahu k personalizované reklamě, stejně tak jako porušení ustanovení týkajícího se právního základu. O tomto případu jsme informovali v předchozích číslech Zpravodaje, více se dočtete například zde.
O něco menší pokuta byla udělena dozorovým orgánem v Hamburku, a to ve výši 35,26 milionů eur společnosti H&M. Německo se tak v celkovém žebříčku zařadilo na druhé místo.
Důvod měl spočívat v neoprávněném uchovávání a užívání osobních údajů zaměstnanců, respektive údajů o jejich soukromém životě. Například pokud se zaměstnanec vrátil z „nemocenské“ (respektive ze sick day), jeho nadřízený s ním vedl takzvaný „welcome back talk“ (česky „uvítací pohovor“), v rámci něhož s ním probral příznaky nemoci, diagnózu a podobně. Tyto informace spolu s dalšími údaji z jiných rozhovorů (včetně informace o soukromém a rodinném životě nebo o náboženském přesvědčení) byly následně sdíleny až s padesáti manažery celé společnosti. Data měla být sbírána už od roku 2014, přičemž nebýt technické chyby, jež v roce 2019 zapříčinila, že byla najednou zpřístupněna celé společnosti, by se na to možná ani nepřišlo. Bližší informace najdete v tiskové zprávě EDPB.
Třetí příčku obsadila Itálie. Tamní dozorový úřad udělil telekomunikačnímu operátorovi TIM SpA pokutu ve výši 27,8 milionů eur (viz tisková zpráva EDPB). Dozorový orgán obdržel v minulosti stovky stížností na nevyžádané marketingové hovory, což odstartovalo kontrolu ve spolupráci se specializovaným útvarem policie. Došlo tak k odhalování dalších a dalších porušení, z nichž výše uvedená sankce vyplynula. Dozorový orgán odhalil přehršel porušení od vynucování souhlasu (respektive nerespektování neposkytnutí souhlasu) v rámci marketingových aktivit přes chybné informování a zajištění zabezpečení po špatné vedení seznamu osob, které si nepřejí být kontaktovány. Italský dozorový úřad mimo výše uvedenou sankci uložil společnosti TIM celkem dvacet opravných opatření, což svědčí o závažnosti jednotlivých porušení nebo minimálně o jejich počtu.
Období bez pokut skončilo
Čísla nelžou a poukazují na to, že počet stížností, počet uložených pokut i jejich objem roste. S konečnou platností tak můžeme říct, že „zkušební období“, kdy se dozorové úřady snažily spíše pomáhat s implementací než ukládat tvrdé sankce, pravděpodobně skončilo.
Jak vyplývá z pokuty udělené v Hamburku (a také z předešlých článků ve Zpravodaji, kde jsme upozorňovali na kontroly ÚOOÚ v rámci zaměstnanecké agendy), již také spíše neplatí, že důležité je mít vyřešenou ochranu osobních údajů „navenek“, protože se jedná o nejrizikovější agendu, přičemž otázky zpracování osobních údajů našich zaměstnanců můžeme prozatím nechat na jindy. Ke čtyřicátinám Dne ochrany osobních údajů si tak můžeme se slzami rozbalit dárek ve formě utvrzení se, že „prázdninové období“ bez pokut skončilo a ochranu osobních údajů musíme brát skutečně vážně.
Článek vyšel v Elektronickém zpravodaji pro pověřence