I letos shrnul Úřad pro ochranu osobních údajů (ÚOOÚ) svou dozorovou a rozhodovací činnost za uplynulý rok do výroční zprávy. Vybrali jsme to nejzásadnější z oblastí, které jsou pro nás relevantní.
V roce 2022 obdržel Úřad pro ochranu osobních údajů (ÚOOÚ) celkem 2 192 podnětů a stížností, z toho 1/4 se týkala obchodních sdělení a telemarketingu. Řešil 313 porušení zabezpečení osobních údajů (data breach), přičemž nejčastější uváděnou příčinou byl kybernetický útok. Ve zmíněných oblastech zahájil 37 kontrol. Kvůli nedodržení pravidel pro obchodní sdělení uložil pravomocně 30 pokut v celkové částce 828 000 Kč. Nejvyšší pokuta (za rozesílání obchodních sdělení bez právního titulu) činila 250 000 Kč. Nejčastějším pochybením byl chybějící právní titul při rozesílání obchodních sdělení a nedodržení jejich náležitostí (zejména chybějící možnost zasílání odmítnout).
Častá témata podnětů a stížností
Spotřebitelé se rychle učí, že ochranu svých osobních údajů by neměli podceňovat, a začínají se bránit. Nejčastěji si stěžovali na následující problémy.
- Kopírování občanských průkazů
Kopii dokladu totožnosti vyžadovaly především půjčovny různých věcí. Nepoužívaly však šablony pro zakrytí některých údajů, takže zpracovávaly i ty údaje, které pro identifikaci fyzické osoby nejsou potřebné. Správce navíc obvykle nedisponoval právním důvodem ani dostatečně neplnil informační povinnost dle čl. 13 GDPR.
- Stížnosti na zaměstnavatele
Velmi častým pochybením bylo nevyřízení žádosti zaměstnance/bývalého zaměstnance související s výkonem jeho práv podle GDPR, typicky žádosti o výmaz. Úřad opakovaně řešil stížnosti na nezrušení pracovní e-mailové schránky v návaznosti na ukončení pracovního poměru, a tedy další zpracování e-mailové adresy, která obsahovala jméno a příjmení zaměstnance, čili osobní údaje. V některých případech se jednalo o nedbalost, jindy byl však e-mail cíleně přesměrován na jiného pracovníka a dále monitorován. Docházelo tak i k porušení listovního tajemství.
- Cookies
Nejčastější prohřešky, které úřad řešil, se týkaly možnosti odmítnout cookies, opakovaného zobrazování cookies lišty, doby platnosti souhlasu, klasifikace cookies souborů a cizího jazyka cookies lišty.
- Obchodní sdělení
Úřad za rok 2022 evidoval celkem 906 stížností podaných kvůli šíření nevyžádaných obchodních sdělení. Číslo je podobné jako v předešlých letech.
Zajímavosti z kontrol
Ze všech provedených kontrol, o nichž úřad ve své zprávě podrobněji informuje, jsme vybrali ty konkrétní případy, které jsou nejzajímavější pro oblasti, jimž se dlouhodobě věnujeme.
- Telemarketing a svobodný souhlas
Kontrolovaný subjekt zastával názor, že vygenerované telefonní číslo není osobním údajem. ÚOOÚ upozorňuje, že to je v rozporu s GDPR. Nařízení GDPR porušil subjekt také při získávání souhlasu – nebyl udělen svobodně. Spojoval totiž více účelů (zasílání obchodních sdělení; zjištění relevantních potřeb; nabídka a poskytování investičních příležitostí; péče o klienta; nabízení dalších produktů a služeb), pro něž měl být udělován vždy samostatný souhlas.
- Odcizené notebooky
Na základě podnětu zahájil ÚOOÚ kontrolu u subjektu, kterému byly v nočních hodinách z prostor odcizeny notebooky. Porušení GDPR shledal v nedostatečném zabezpečení jak prostor (chybějící kamerový monitoring a detekce pohybu), tak samotných zařízení (žádné šifrování ani ověřování uživatelů). Nadto nebyl incident ze strany společnosti vůbec nahlášen ÚOOÚ ani samotným subjektům údajů.
- Identifikace subjektu, jehož jménem jsou rozesílána obchodní sdělení
Úřad rozhodoval také ve věci rozesílání obchodních sdělení bez souhlasu adresátů a bez uvedení subjektu, v jehož prospěch se komunikace uskutečňuje. Zdůraznil, že odesílatel a subjekt, v jehož prospěch se odesílání uskutečňuje, mohou být rozdílné osoby, a i proto je vždy nezbytné v rámci komunikace jednoznačně identifikovat osobu, jejíž zboží, služba či image se propagují (a nikoli pouze osobu, která uskutečňuje rozesílku).
Mohlo by vás také zajímat:
Výroční zpráva Úřadu pro ochranu osobních údajů za rok 2021 – výběr zajímavostí
Za rozesílání obchodních sdělení je zodpovědný šiřitel i zadavatel
Úřad pro kyberbezpečnost varuje před novými podvody – správci jsou povinni reagovat