To nejzajímavější z výroční zprávy Úřadu pro ochranu osobních údajů za rok 2022

I letos shrnul Úřad pro ochranu osobních údajů (ÚOOÚ) svou dozorovou a rozhodovací činnost za uplynulý rok do výroční zprávy. Vybrali jsme to nejzásadnější z oblastí, které jsou pro nás relevantní.

V roce 2022 obdržel Úřad pro ochranu osobních údajů (ÚOOÚ) celkem 2 192 podnětů a stížností, z toho 1/4 se týkala obchodních sdělení a telemarketingu. Řešil 313 porušení zabezpečení osobních údajů (data breach), přičemž nejčastější uváděnou příčinou byl kybernetický útok. Ve zmíněných oblastech zahájil 37 kontrol. Kvůli nedodržení pravidel pro obchodní sdělení uložil pravomocně 30 pokut v celkové částce 828 000 Kč. Nejvyšší pokuta (za rozesílání obchodních sdělení bez právního titulu) činila 250 000 Kč. Nejčastějším pochybením byl chybějící právní titul při rozesílání obchodních sdělení a nedodržení jejich náležitostí (zejména chybějící možnost zasílání odmítnout).

Častá témata podnětů a stížností

Spotřebitelé se rychle učí, že ochranu svých osobních údajů by neměli podceňovat, a začínají se bránit. Nejčastěji si stěžovali na následující problémy.

  • Kopírování občanských průkazů

Kopii dokladu totožnosti vyžadovaly především půjčovny různých věcí. Nepoužívaly však šablony pro zakrytí některých údajů, takže zpracovávaly i ty údaje, které pro identifikaci fyzické osoby nejsou potřebné. Správce navíc obvykle nedisponoval právním důvodem ani dostatečně neplnil informační povinnost dle čl. 13 GDPR.

  • Stížnosti na zaměstnavatele

Velmi častým pochybením bylo nevyřízení žádosti zaměstnance/bývalého zaměstnance související s výkonem jeho práv podle GDPR, typicky žádosti o výmaz. Úřad opakovaně řešil stížnosti na nezrušení pracovní e-mailové schránky v návaznosti na ukončení pracovního poměru, a tedy další zpracování e-mailové adresy, která obsahovala jméno a příjmení zaměstnance, čili osobní údaje. V některých případech se jednalo o nedbalost, jindy byl však e-mail cíleně přesměrován na jiného pracovníka a dále monitorován. Docházelo tak i k porušení listovního tajemství.

  • Cookies

Nejčastější prohřešky, které úřad řešil, se týkaly možnosti odmítnout cookies, opakovaného zobrazování cookies lišty, doby platnosti souhlasu, klasifikace cookies souborů a cizího jazyka cookies lišty.

  • Obchodní sdělení

Úřad za rok 2022 evidoval celkem 906 stížností podaných kvůli šíření nevyžádaných obchodních sdělení. Číslo je podobné jako v předešlých letech.

Zajímavosti z kontrol

Ze všech provedených kontrol, o nichž úřad ve své zprávě podrobněji informuje, jsme vybrali ty konkrétní případy, které jsou nejzajímavější pro oblasti, jimž se dlouhodobě věnujeme.

  • Telemarketing a svobodný souhlas

Kontrolovaný subjekt zastával názor, že vygenerované telefonní číslo není osobním údajem. ÚOOÚ upozorňuje, že to je v rozporu s GDPR. Nařízení GDPR porušil subjekt také při získávání souhlasu – nebyl udělen svobodně. Spojoval totiž více účelů (zasílání obchodních sdělení; zjištění relevantních potřeb; nabídka a poskytování investičních příležitostí; péče o klienta; nabízení dalších produktů a služeb), pro něž měl být udělován vždy samostatný souhlas.

  • Odcizené notebooky

Na základě podnětu zahájil ÚOOÚ kontrolu u subjektu, kterému byly v nočních hodinách z prostor odcizeny notebooky. Porušení GDPR shledal v nedostatečném zabezpečení jak prostor (chybějící kamerový monitoring a detekce pohybu), tak samotných zařízení (žádné šifrování ani ověřování uživatelů). Nadto nebyl incident ze strany společnosti vůbec nahlášen ÚOOÚ ani samotným subjektům údajů.

  • Identifikace subjektu, jehož jménem jsou rozesílána obchodní sdělení

Úřad rozhodoval také ve věci rozesílání obchodních sdělení bez souhlasu adresátů a bez uvedení subjektu, v jehož prospěch se komunikace uskutečňuje. Zdůraznil, že odesílatel a subjekt, v jehož prospěch se odesílání uskutečňuje, mohou být rozdílné osoby, a i proto je vždy nezbytné v rámci komunikace jednoznačně identifikovat osobu, jejíž zboží, služba či image se propagují (a nikoli pouze osobu, která uskutečňuje rozesílku).

Mohlo by vás také zajímat:

Výroční zpráva Úřadu pro ochranu osobních údajů za rok 2021 – výběr zajímavostí

Za rozesílání obchodních sdělení je zodpovědný šiřitel i zadavatel

Úřad pro kyberbezpečnost varuje před novými podvody – správci jsou povinni reagovat

Evropská komise podala žalobu na Českou republiku kvůli směrnici o whistleblowingu

Evropská komise podala 13. března žalobu na Českou republiku kvůli tomu, že nezavedla do svého práva směrnici o ochraně oznamovatelů protiprávního jednání, tzv. whistleblowerů. Pokuta dosahuje více než 50 milionů korun a stále narůstá.

Česká republika předložila návrh zákona na ochranu oznamovatelů odpovídající požadavkům směrnice EU 2019/1937 už v minulém volebním období, a dokonce byla prvním členským státem EU, který tak učinil. Nicméně návrh se nepodařilo prosadit. Současný návrh předložila vláda Poslanecké sněmovně v listopadu 2022. V dubnu by se mohlo uskutečnit druhé čtení. Po něm bude následovat třetí čtení, projednání v Senátu, podpis prezidenta republiky a vyhlášení ve Sbírce zákonů. To vše zabere ještě několik dalších měsíců.

Lhůta pro implementaci směrnice z roku 2019 uplynula 17. prosince 2021. Komise požádala Soudní dvůr Evropské unie (SDEU) o vyměření pokuty, která se bude navyšovat, dokud Česká republika nezačne respektovat unijní pravidla. Kromě momentálních zhruba 54 milionů korun zaplatí Česko za každý další den prodlení 4 900 eur (zhruba 115 000 korun).

Směrnici o ochraně oznamovatelů protiprávního jednání včas nezavedlo celkem osm zemí, pokutě čelí šest z nich. Pro Českou republiku je to poprvé, kdy musí zaplatit pokutu za pozdní přijetí legislativy.

Evropská směrnice o whistleblowingu má pomoct především v případech, kdy hrozí poškození veřejných zájmů. To se týká oblastí, jako jsou ochrana životního prostředí, zadávání veřejných zakázek nebo jaderná bezpečnost. Již ke dni uplynutí transpoziční lhůty se přistoupilo k aplikaci tzv. přímého vertikálního účinku směrnice. Díky tomu se whistlebloweři mohou dovolávat svých práv přímo vůči státu.

Mohlo by vás také zajímat:

Novela zákona o evidenci skutečných majitelů dopadne i na pojišťovny

Vodafone musí zaplatit pokutu přes 1,3 milionu korun za zpracovávání dat bez právního základu

Úřad pro kyberbezpečnost varuje před novými podvody – správci jsou povinni reagovat

Za rozesílání obchodních sdělení je zodpovědný šiřitel i zadavatel

Nejvyšší správní soud svým rozsudkem definitivně potvrdil rozhodnutí, kterým Úřad pro ochranu osobních údajů (ÚOOÚ) udělil sankci ve výši 1,4 mil. Kč za šíření obchodních sdělení.

Podle ÚOOÚ „odpovědnost za šíření obchodních sdělení nese kromě samotného rozesílatele i ten, kdo takovou rozesílku ve svůj prospěch inicioval“.  Iniciováním se v tomto případě rozumí jakákoli forma pokynu od objednávky přes příkaz až po využívání digitálních nástrojů jako affiliate nebo lead marketing.

Bez ohledu na to, zda firma šíření obchodních sdělení provádí, nebo zadává, musí si ověřit, jestli adresáti udělili pro zasílání obchodních sdělení platný souhlas. Jedině pak je rozesílka v souladu se zákonem.

Zdroj

Mohlo by vás také zajímat:

Úřad pro kyberbezpečnost varuje před novými podvody – správci jsou povinni reagovat

Telemarketing v kontextu novely zákona o elektronických komunikacích

Výroční zpráva Úřadu pro ochranu osobních údajů za rok 2021 – výběr zajímavostí

 

KATEŘINA STIBOROVÁ

Kateřina Stiborová
I am a paralegal with experience in commercial and civil law, as well as public procurement and its administration. I currently specialise mainly in insurance and financial products. I am fluent in English.

ALENA ŠEDOVÁ

I am a lawyer and I can advise you in particular on real estate transfers, lease law, corporate law, matrimonial regimes and probate proceedings. I am fluent in English.

KATEŘINA GRÉZLOVÁ

I am a lawyer with experience in criminal, administrative and constitutional law. Currently, I specialize mainly in the regulation of personal data under GDPR and ePrivacy. I am fluent in English.

JAKUB HRUŠKA

I am a lawyer and I focus on the regulation of personal data and information technology under GDPR, ePrivacy and other regulations in the EU and worldwide. I am fluent in English.

LENKA SÝKOROVÁ

Lenka Sýkorová
I am a lawyer specialising in insurance law and insurance distribution, commercial law and civil law with a focus on personal injury compensation and litigation. I am fluent in English and German.

MONIKA HEREŠOVÁ MRÁKOVÁ

Monika Herešová

I am a lawyer with 20 years of experience specializing in insurance, financial and pension products. I also advise on areas of commercial law including project finance. I am fluent in English.

FRANTIŠEK STIBOR

Jsem právník junior a specializuji se na obchodní právo a právo obchodních korporací. Mluvím plynně anglicky.

KATEŘINA GRÉZLOVÁ

Jsem advokátkou se zkušenostmi v oblasti trestního, správního a ústavního práva. V současné době se specializuji zejména na regulaci osobních údajů podle GDPR a ePrivacy. Mluvím plynně anglicky.

ALENA ŠEDOVÁ

Jsem advokátka a poradím Vám zejména s převody nemovitostí, nájemním právem, v oblasti zákona o obchodních korporacích, ve věcech manželského majetkového práva a v řízení o pozůstalosti. Mluvím plynně anglicky. 

KATEŘINA STIBOROVÁ

Kateřina Stiborová

Jsem paralegal se zkušenostmi v oblasti obchodního a občanského práva a dále v oblasti zadávání veřejných zakázek a jejich administraci. V současné době se specializuji zejména na pojistné a finanční produkty. Mluvím plynně anglicky.

JAKUB HRUŠKA

Jsem advokátem a zabývám se zejména regulací osobních údajů a informačních technologií podle GDPR, ePrivacy a dalších předpisů v EU a ve světě. Mluvím plynně anglicky.

LENKA SÝKOROVÁ

Lenka Sýkorová

Jsem advokátkou se specializací na pojistné právo a distribuci pojištění, na obchodní právo a občanské právo se zaměřením na náhradu újmy a řešení soudních sporů.  Mluvím plynně anglicky a německy.

MONIKA HEREŠOVÁ MRÁKOVÁ

Monika Herešová

Jsem advokátkou s 20letou zkušeností se specializací na pojistné, finanční a penzijní produkty. Poskytuji též poradenství v oblastech obchodního práva včetně financování projektů.  Mluvím plynně anglicky.