• Josef Bátrla

Závěry z kontrol ÚOOÚ a pokuta půl milionu korun

Půlmilionová pokuta za nezákonné zpracování dat z veřejných rejstříků, odstranění kamerového systému a pokuty za neposkytnutí součinnosti – to přinesly další kontroly ÚOOÚ. Co si z nich máte odnést vy?

V posledním díle seriálu o kontrolách ÚOOÚ se podíváme na kategorii, do níž Úřad zařadil kontroly, které nepasovaly do jiných oblastí. To však neznamená, že bychom jim neměli věnovat pozornost. Právě naopak – se seriálem se rozloučíme ve velkém stylu, a to půlmilionovou pokutou. Zpracování dat z veřejných rejstříků Pokutu ve výši 600 tisíc korun si od ÚOOÚ vykoledoval správce, který překlápěl data z veřej­ných rejstříků (ARES, obchodní rejstřík, živnostenský rejstřík…) na svou webovou stránku. ÚOOÚ totiž obdržel celkem šest stížností, které vedly k zahájení kontroly. Závěr ÚOOÚ je v tomto poměrně zajímavý, neboť konstatuje celkem pět porušení. Jako první (a potažmo i druhé) jmenuje porušení zákonnos­ti s ohledem na právní titul, jímž měl být oprávněný zájem. ÚOOÚ vyhodnotil, že pro něj nebyly splněny podmínky, a sdělil, že „v případě prostého překlápění živnostenského rejstříku a obchodního rejstříku kontrolovanou společností je takové zpracování nezákonné, neboť pouhé ‚překlápění‘ veřejného rejstříku nesplňovalo podmínku nezbytnosti ve vztahu k účelu zpracování osobních údajů deklarovaného společností“. Za druhý přešlap ÚOOÚ považuje to, že zpracování probíhalo bez zákonného právního titulu. Třetí, čtvrté a potažmo i páté porušení se mělo týkat porušení zásady transparentnosti. Kontrolovaná osoba nejen že nevyrozuměla stěžovatele o způsobu vyřízení jejich žádostí o výmaz, ale zároveň neusnadňovala výkon práv tak, jak požaduje čl. 12 odst. 3 GDPR. A právě pátý prohřešek je pro nás nejvýznamnější, neboť ÚOOÚ konstatoval, že pouhé uveřejnění informací o zpracování osobních údajů na webových stránkách pro splnění informační povinnosti nestačí. Společnost proti protokolu o kontrole nepodala námitky a pravděpodobně s ÚOOÚ komunikovala velmi nedostatečně, neboť jí Úřad uložil smluvní pokutu za nesoučinnost ve výši 100 tisíc korun a v samotné věci uložil opatření k nápravě a pokutu 500 tisíc korun. Porušení zabezpečení ÚOOÚ v minulém roce kontroloval provozovatele rozhlasového vysílání, protože proti němu obdržel stížnost i vlastní oznámení kontrolované osoby, které se týkalo porušení zabezpečení. V zásadě se tak mělo jednat o dva incidenty, ale ani jeden z nich ÚOOÚ nevyhodnotil jako porušení povinností dle GDPR. První se týkal vlastního oznámení porušení zabezpečení ve věci zaměstnance ve výpovědní lhůtě, který tvrdil, že nadřízený měl přístup k jeho osobním údajům tím, že se mu přihlásil do počítače a vy­užíval jeho identity (nespecifikováno jak). Incident měl být prošetřen interně, přičemž dle slov ÚOOÚ nebylo shledáno porušení zabezpečení. To vše bylo oznámeno samotnou kontrolovanou osobou. Naopak blíže neurčený stěžovatel zaslal před koncem roku 2019 ÚOOÚ stížnost, podle níž mělo dojít k porušení důvěr­nosti dat, a to externím útokem u 45 subjektů údajů v rámci služby Office 365. ÚOOÚ se v tomto případě spokojil s odpovědí kontrolované osoby, že přijala řadu technicko-organizačních opatření, a ÚOOÚ je označil za dostačující. Registr dlužníků Třetí z kontrol se týkala zpracování osobních údajů z registru dlužníků. O této problematice jsme psali už v článku Registr dlužníků vs. GDPR. Vzhledem k tomu, že ÚOOÚ v rámci kontroly nereferuje o žádných dalších skutečnostech, nebudeme se k tomu nyní vracet. Kamery na veřejném prostranství Poměrně smutnou zprávu máme pro fanoušky fenoménu takzvané slow TV. Souvisí to totiž s kontrolou provozovatele televizního/internetového vysílání, a to na základě několika podnětů, které si stěžovaly na kamery zabírají­cí prostor železničního přejezdu v městské části Praha-Řeporyje, jejichž „záznam je zveřejňován v reálném čase na webových stránkách mall.tv“, přičemž části záznamu jsou taktéž zveřejňovány v rámci pořadu Extrémní starosta a jsou dále přejímány jinými zpravodajskými médii. ÚOOÚ toto počínání kvalifikoval jako porušení GDPR, neboť mělo docházet ke zpracování osobních údajů bez právního titulu, což vedlo k odstranění kamer. Další katalogový podvod Jako katalogový podvod bychom mohli označit počínání osoby, která z veřejného rejstříku Úřadu průmyslového vlastnictví stáhla blíže neurčený seznam držitelů patentů, jimž pak předkládala faktury „za zveřejnění jejich patentů na blíže nestanoveném seznamu patentů“. Alespoň takovému případu se ÚOOÚ věnoval na základě podnětu Úřadu průmyslového vlastnictví, což následně vedlo k vydání příkazu a uložení sankce ve výši 80 tisíc korun za neposkytnutí součinnosti. Oproti jiným případům však kontrolující osoby uvedly, že „vzhledem k nesoučinnosti kontrolované osoby bylo hodnocení dodržování dalších povinností stanovených kontrolované osobě obecným nařízením bezpředmětné“. Těžko říct, co si z toho závěru odnést, dlužno dodat, že ÚOOÚ na svých internetových stránkách informuje poměrně v krátkém rozsahu, a proto doporučujeme nechápat výše uvedené tak, že neposkytnutím součinnosti se vyhneme kontrole (protože by ji ÚOOÚ měl považovat za bezpředmětnou).

Závěr

Tímto se loučíme se s naším seriálem o kontrolní činnosti ÚOOÚ za rok 2020, ve kterém jsme se vám snažili přiblížit nejdůležitější závěry z provedených kontrol. Díky těmto informacím byste měli mít přehled o tom, na co se ÚOOÚ při kontrolách zaměřuje, a na případnou kontrolu ve vaší společnosti být zase o něco více připraveni. Zatím můžeme vyhlížet konec pololetí a s ním zveřejnění závěrů z kontrolní činnosti za první pololetí roku 2021.


Článek vyšel v Elektronickém zpravodaji pro pověřence