To nejzajímavější z výroční zprávy Úřadu pro ochranu osobních údajů za rok 2022

I letos shrnul Úřad pro ochranu osobních údajů (ÚOOÚ) svou dozorovou a rozhodovací činnost za uplynulý rok do výroční zprávy. Vybrali jsme to nejzásadnější z oblastí, které jsou pro nás relevantní.

V roce 2022 obdržel Úřad pro ochranu osobních údajů (ÚOOÚ) celkem 2 192 podnětů a stížností, z toho 1/4 se týkala obchodních sdělení a telemarketingu. Řešil 313 porušení zabezpečení osobních údajů (data breach), přičemž nejčastější uváděnou příčinou byl kybernetický útok. Ve zmíněných oblastech zahájil 37 kontrol. Kvůli nedodržení pravidel pro obchodní sdělení uložil pravomocně 30 pokut v celkové částce 828 000 Kč. Nejvyšší pokuta (za rozesílání obchodních sdělení bez právního titulu) činila 250 000 Kč. Nejčastějším pochybením byl chybějící právní titul při rozesílání obchodních sdělení a nedodržení jejich náležitostí (zejména chybějící možnost zasílání odmítnout).

Častá témata podnětů a stížností

Spotřebitelé se rychle učí, že ochranu svých osobních údajů by neměli podceňovat, a začínají se bránit. Nejčastěji si stěžovali na následující problémy.

  • Kopírování občanských průkazů

Kopii dokladu totožnosti vyžadovaly především půjčovny různých věcí. Nepoužívaly však šablony pro zakrytí některých údajů, takže zpracovávaly i ty údaje, které pro identifikaci fyzické osoby nejsou potřebné. Správce navíc obvykle nedisponoval právním důvodem ani dostatečně neplnil informační povinnost dle čl. 13 GDPR.

  • Stížnosti na zaměstnavatele

Velmi častým pochybením bylo nevyřízení žádosti zaměstnance/bývalého zaměstnance související s výkonem jeho práv podle GDPR, typicky žádosti o výmaz. Úřad opakovaně řešil stížnosti na nezrušení pracovní e-mailové schránky v návaznosti na ukončení pracovního poměru, a tedy další zpracování e-mailové adresy, která obsahovala jméno a příjmení zaměstnance, čili osobní údaje. V některých případech se jednalo o nedbalost, jindy byl však e-mail cíleně přesměrován na jiného pracovníka a dále monitorován. Docházelo tak i k porušení listovního tajemství.

  • Cookies

Nejčastější prohřešky, které úřad řešil, se týkaly možnosti odmítnout cookies, opakovaného zobrazování cookies lišty, doby platnosti souhlasu, klasifikace cookies souborů a cizího jazyka cookies lišty.

  • Obchodní sdělení

Úřad za rok 2022 evidoval celkem 906 stížností podaných kvůli šíření nevyžádaných obchodních sdělení. Číslo je podobné jako v předešlých letech.

Zajímavosti z kontrol

Ze všech provedených kontrol, o nichž úřad ve své zprávě podrobněji informuje, jsme vybrali ty konkrétní případy, které jsou nejzajímavější pro oblasti, jimž se dlouhodobě věnujeme.

  • Telemarketing a svobodný souhlas

Kontrolovaný subjekt zastával názor, že vygenerované telefonní číslo není osobním údajem. ÚOOÚ upozorňuje, že to je v rozporu s GDPR. Nařízení GDPR porušil subjekt také při získávání souhlasu – nebyl udělen svobodně. Spojoval totiž více účelů (zasílání obchodních sdělení; zjištění relevantních potřeb; nabídka a poskytování investičních příležitostí; péče o klienta; nabízení dalších produktů a služeb), pro něž měl být udělován vždy samostatný souhlas.

  • Odcizené notebooky

Na základě podnětu zahájil ÚOOÚ kontrolu u subjektu, kterému byly v nočních hodinách z prostor odcizeny notebooky. Porušení GDPR shledal v nedostatečném zabezpečení jak prostor (chybějící kamerový monitoring a detekce pohybu), tak samotných zařízení (žádné šifrování ani ověřování uživatelů). Nadto nebyl incident ze strany společnosti vůbec nahlášen ÚOOÚ ani samotným subjektům údajů.

  • Identifikace subjektu, jehož jménem jsou rozesílána obchodní sdělení

Úřad rozhodoval také ve věci rozesílání obchodních sdělení bez souhlasu adresátů a bez uvedení subjektu, v jehož prospěch se komunikace uskutečňuje. Zdůraznil, že odesílatel a subjekt, v jehož prospěch se odesílání uskutečňuje, mohou být rozdílné osoby, a i proto je vždy nezbytné v rámci komunikace jednoznačně identifikovat osobu, jejíž zboží, služba či image se propagují (a nikoli pouze osobu, která uskutečňuje rozesílku).

Mohlo by vás také zajímat:

Výroční zpráva Úřadu pro ochranu osobních údajů za rok 2021 – výběr zajímavostí

Za rozesílání obchodních sdělení je zodpovědný šiřitel i zadavatel

Úřad pro kyberbezpečnost varuje před novými podvody – správci jsou povinni reagovat

BLANKA KOMENDOVÁ

I would be happy to assist you in the areas of insurance, civil, corporate law, and GDPR issues. I can also offer my experience in providing legal support for foundations or charitable funds.

BLANKA KOMENDOVÁ

Ráda Vám pomohu v oblasti pojistného, občanského, korporátního práva i problematiky GDPR. Rovněž mohu nabídnout své zkušenosti v oblasti právní podpory nadace či nadačních fondů.

KATEŘINA STIBOROVÁ

Kateřina Stiborová
I am a paralegal with experience in commercial and civil law, as well as public procurement and its administration. I currently specialise mainly in insurance and financial products. I am fluent in English.

ALENA ŠEDOVÁ

I am a lawyer and I can advise you in particular on real estate transfers, lease law, corporate law, matrimonial regimes and probate proceedings. I am fluent in English.

KATEŘINA GRÉZLOVÁ

I am a lawyer with experience in criminal, administrative and constitutional law. Currently, I specialize mainly in the regulation of personal data under GDPR and ePrivacy. I am fluent in English.

JAKUB HRUŠKA

I am a lawyer and I focus on the regulation of personal data and information technology under GDPR, ePrivacy and other regulations in the EU and worldwide. I am fluent in English.

LENKA SÝKOROVÁ

Lenka Sýkorová
I am a lawyer specialising in insurance law and insurance distribution, commercial law and civil law with a focus on personal injury compensation and litigation. I am fluent in English and German.

MONIKA HEREŠOVÁ MRÁKOVÁ

Monika Herešová

I am a lawyer with 20 years of experience specializing in insurance, financial and pension products. I also advise on areas of commercial law including project finance. I am fluent in English.

FRANTIŠEK STIBOR

Jsem právník junior a specializuji se na obchodní právo a právo obchodních korporací. Mluvím plynně anglicky.

KATEŘINA GRÉZLOVÁ

Jsem advokátkou se zkušenostmi v oblasti trestního, správního a ústavního práva. V současné době se specializuji zejména na regulaci osobních údajů podle GDPR a ePrivacy. Mluvím plynně anglicky.

ALENA ŠEDOVÁ

Jsem advokátka a poradím Vám zejména s převody nemovitostí, nájemním právem, v oblasti zákona o obchodních korporacích, ve věcech manželského majetkového práva a v řízení o pozůstalosti. Mluvím plynně anglicky. 

KATEŘINA STIBOROVÁ

Kateřina Stiborová

Jsem paralegal se zkušenostmi v oblasti obchodního a občanského práva a dále v oblasti zadávání veřejných zakázek a jejich administraci. V současné době se specializuji zejména na pojistné a finanční produkty. Mluvím plynně anglicky.

JAKUB HRUŠKA

Jsem advokátem a zabývám se zejména regulací osobních údajů a informačních technologií podle GDPR, ePrivacy a dalších předpisů v EU a ve světě. Mluvím plynně anglicky.

LENKA SÝKOROVÁ

Lenka Sýkorová

Jsem advokátkou se specializací na pojistné právo a distribuci pojištění, na obchodní právo a občanské právo se zaměřením na náhradu újmy a řešení soudních sporů.  Mluvím plynně anglicky a německy.

MONIKA HEREŠOVÁ MRÁKOVÁ

Monika Herešová

Jsem advokátkou s 20letou zkušeností se specializací na pojistné, finanční a penzijní produkty. Poskytuji též poradenství v oblastech obchodního práva včetně financování projektů.  Mluvím plynně anglicky.