PŘEHLED KONTROL ÚŘADU PRO OCHRANU OSOBNÍCH ÚDAJŮ ZA DRUHÉ POLOLETÍ ROKU 2017

S přícházejícím nařízením GDPR a hrozbou sankcí a postihy od Úřadu pro ochranu osobních údajů (dále jen „ÚOOÚ“) je pro představu vhodné upozornit na současný stav a počet kontrol, které proběhly za rok 2017. Obrázek nechť si každý udělá sám.

ÚOOÚ uveřejnil na svých webových stránkách přehled uzavřených kontrol za druhé pololetí roku 2017¹. Inspektoři ÚOOÚ se zaměřili především na kontrolu zpracování osobních údajů z kamerových systémů (bytová družstva a společenství vlastníků jednotek), předávání osobních údajů do třetích zemí (cestovní kanceláře), nebo nevyžádané obchodní sdělení (marketingové společnosti).

Celkem ve druhém pololetí roku 2017 proběhlo 69 kontrol, z toho 59 na základě podnětu a 11 na základě kontrolního plánu ÚOOÚ. U většiny kontrolovaných subjektů ÚOOÚ neshledal porušení zákona č. 101/2000 Sb., zákona o ochraně osobních údajů. ÚOOÚ uložil kontrolovaným subjektům pokutu celkem ve 20 případech.

Nevyžádaná obchodní sdělení

Nejčastěji se jednalo o pokuty za nevyžádaná obchodní sdělení zasílaná emailem. ÚOOÚ zjistil porušení zákona celkem u 11 kontrolovaných subjektů. Jednalo o případy, kdy byla obchodní sdělení zasílána bez předchozího souhlasu adresátů. Dále také případy, kdy adresáti nebyli zákazníky kontrolované osoby, nebo případy, kdy zprávy nebyly dostatečně zřetelně a jasně označeny jako obchodní sdělení. ÚOOÚ uděloval pokuty za nevyžádaná obchodní sdělení od 2.000 Kč až do 197.400 Kč. Celkem udělil pokuty 11 subjektům ve výši 490.000 Kč.

Zveřejnění videozáznamů během úkonů strážníků

ÚOOÚ dále udělil pokutu ve výši 30.000 Kč za zveřejnění záznamů pořízených během úkonů strážníků městské policie. Jednalo se o dva video záznamy, které v důsledku nedostatečné anonymizace a poskytnutí informací o okolnostech daného zákroku obsahovaly osobní údaje. Městská policie tyto videozáznamy zpřístupnila občanům prostřednictvím internetových medií.

Kamerový systém v bytovém domě

Pokuta ve výši 5.000 Kč byla udělena bytovému družstvu, které provozovalo v bytovém domě kamerový systém skládající se ze sedmi kamer. ÚOOÚ konstatoval, že družstvo porušilo zákon tím, že jedna z kamer byla umístěna u hlavního vchodu a současně monitorovala i veřejné prostranství před domem (parkoviště). ÚOOÚ neshledal pro užití této kamery zákonem předvídaný právní titul a konstatoval porušení zákona.

Zpřístupnění informace o odměňování členů

ÚOOÚ udělil pokutu ve výši 3.000 Kč zdravotnickému zařízení, které zpřístupnilo informaci o výši odměn členů vedení nemocnice dalším zaměstnancům nemocnice a v dokumentech z jednání valné hromady v obchodním rejstříku.

Zveřejňování neaktuálních veřejných informací

ÚOOÚ dále posuzoval společnost, která poskytuje prostřednictvím webových stránek přehledné a kompletní údaje o podnikatelích, které jsou veřejně dostupné zejména z veřejných rejstříků. Zpracování veřejně dostupných informací není samo o sobě v rozporu se zákonem. Nicméně ÚOOÚ konstatoval, že je potřeba zajistit aktualizaci a výmaz těch informací, které již nejsou veřejně dostupné. Kontrolovaný subjekt nevymazal osobní údaje stěžovatelky na základě její žádosti, ačkoli v době žádosti již nebyly osobní údaje veřejně přístupné. Kontrolované společnosti tak byla uložena pokuta ve výši 30.000 Kč.

Zřízení emailové schránky žákům základní školy

ÚOOÚ udělil pokutu základní škole za to, že zřídila e-mailové schránky pomocí Google Suite ve formátu „jmeno.prijmeni@doménaškoly.cz.“ žákům 4. třídy bez souhlasu či informování zákonných zástupců. Při založení těchto emailů byly předány osobní údaje žáka v rozsahu jméno, příjmení a škola, kterou žák navštěvuje. Protože škola projevila mimořádnou snahu napravit závadný stav, byla uložena sankce pouze ve výši 3.000 Kč.

Neoprávněný přístup do informačního systému s citlivými údaji

Pokutu ve výši 8.000 Kč udělil ÚOOÚ společnosti, která nezjistila, že do jejího systému s osobními a citlivými údaji přistupuje její bývalý zaměstnanec, který již ukončil pracovní poměr. Jednalo se o společnost, která zajišťuje převoz pacientů v souvislosti s poskytováním ambulantní zdravotní péče a jednalo se tak o velmi citlivé údaje.

Zasílání zpráv o pohybu a bankovním účtu

Společnosti Air Bank a.s. byla uložena pokuta ve výši 20.000 Kč za to, že odesílala informace o pohybu na bankovním účtu a na účtu kreditní karty nesprávné osobě. Při uzavírání smlouvy o úvěrové kartě totiž klient zadal chybnou emailovou adresu, která patřila shodou okolností jeho jmenovci. Banka zasílala zprávy o pohybu na účtu a obchodní sdělení i poté, co na to byla upozorněna neoprávněným příjemcem.

Ztráta ambulantní knihy

V tomto případě došlo omylem ke ztrátě tašky, ve které byla uložena ambulantní kniha a harddisk, obsahující osobní a citlivé údaje pacientů zdravotnického zařízení. Tašku ztratil jednatel zdravotnického zařízení tak, že mu vypadla při tankování automobilu, kdy v důsledku neznalosti používání nového vozidla zmáčkl na klíčích tlačítko otevírání kufru namísto tlačítka uzamykání vozidla, a po rozjezdu došlo k vypadnutí tašky. Zdravotnické zařízení dostalo pokutu ve výši65.000 Kč za porušení povinnosti zabezpečení osobních údajů.

Telefonická nabídka služeb

Společnost obchodující s cennými papíry telefonicky kontaktovala osobu s nabídkou služeb v oblasti financí. Kontrolou bylo zjištěno, že číslo klienta bylo získáno ze zakoupené databáze. ÚOOÚ uložil společnosti pokutu ve výši 8.000 Kč.

Monitorování veřejného prostranství

Pokutu 50.000 Kč udělil ÚOOÚ Městské části Praha 5 za využití kamer v budově jejího sídla a pracoviště ve větším množství, než je nezbytné, a dále za používání informačních cedulek o monitorování prostoru, které byly nevhodné z hlediska jejich velikosti a v několika případech obsahovaly zavádějící text.

Závěrem

Přes to, že ÚOOÚ má možnost podle současné úpravy uložit pokutu až do výše 10 milionů Kč, nebyly ukládané pokuty příliš vysoké. V případě, že kontrolovaná osoba spolupracovala a odstranila závadný stav v průběhu kontroly, byly pokuty minimální. Od 25. května 2018 bude mít ÚOOÚ podle nové úpravy GDPR možnost uložit značně vyšší pokuty, a to až do výše 20 milionů EUR nebo do výše 4 % z celkového ročního obratu. Teprve praxe ukáže, co nám nová úprava v podobě GDPR v budoucnu přinese.

#ÚOOÚ