Výroční zpráva Úřadu pro ochranu osobních údajů za rok 2021 – výběr zajímavostí

„Pokud se ohlédneme za uplynulým rokem, lze v této souvislosti konstatovat, že důležitost ochrany osobních údajů si uvědomuje stále více lidí, bohužel však často až v okamžiku, kdy se sami stanou obětmi jejího porušení,“ píše v úvodu výroční zprávy za rok 2021 předseda Úřadu pro ochranu osobních (ÚOOÚ) údajů Jiří Kaucký.

V úvodu tedy uvádíme základní čísla, díky nimž si čtenář udělá lepší představu o celoroční práci dozorového orgánu a která zároveň potvrzují Kauckého slova. Mimo to jsme pro vás ze shrnutí dozorové a rozhodovací činnosti ÚOOÚ za loňský rok vybrali nejzajímavější případy z oblastí relevantních pro náš obor.

Výroční zpráva v číslech

  • 2 430 podnětů a stížností, z toho čtvrtina se týkala marketingu a desetina telemarketingu,
  • skoro 300 ohlášení porušení zabezpečení osobních údajů (data breach), z nichž většina byla způsobena hackerskými útoky,
  • zahájeno přes 50 kontrol,
  • uloženo 40 pokut za porušení GDPR v celkové výši 3 526 000 Kč, přičemž nejvyšší pokuta (uložena za nesplnění uložených nápravných opatření) činila 2 miliony Kč,
  • a 29 pokut v oblasti šíření obchodních sdělení, celkově v částce 2 901 000 Kč, nejvyšší z nich ve výši 600 000 Kč.

V případě obchodních sdělení šlo převážně o chybějící právní titul při rozesílání. Správní řízení se nejčastěji vedla ve věci nedostatečného plnění informační povinnosti a nedostatečného umožnění výkonu práv subjektů údajů.

Očkování proti covid-19

ÚOOÚ prověřoval situaci, kdy zaměstnavatel zjišťoval od zaměstnanců, zda jsou očkovaní proti covid-19, nemoc prodělali nebo mají negativní test (podmínil tím vstup na pracoviště), a vedl si o tom evidenci. Tuto činnost prováděl i v době, kdy mu nebyla taková povinnost stanovena předpisy. Údaje mazal po uplynutí 3 měsíců od skončení bezinfekčnosti. Zpracování opřel o § 102 odst. 1 zákona č. 262/2006 Sb., zákoník práce, a tam stanovenou povinnost vytvářet bezpečné a zdraví neohrožující pracovní prostředí a pracovní podmínky vhodnou organizací bezpečnosti a ochrany zdraví při práci a přijímání opatření k předcházení rizikům. Ministerstvo práce a sociálních věcí prezentovalo názor, že taková praxe je v souladu se zákonem stejně jako požadavek testování zaměstnanců i v době, kdy takovou povinnost nestanovilo mimořádné opatření (musí to však být upraveno v interních předpisech BOZP). ÚOOÚ to považuje za extenzivní výklad ustanovení a s MPSV dosud vede debaty na toto téma.

Věrnostní programy

ÚOOÚ v roce 2021 zaměřil část kontrol na prověřování věrnostních programů. Konstatoval pochybení u prodejců, kteří údaje o nákupu uchovávali po dobu 3 let. Tuto dobu shledal jako nepřiměřeně dlouhou (zejména i proto, že šlo o potravinářské nebo drogistické zboží). Navíc dodal, že osobní údaje týkající se nákupního chování jsou velmi cenné, protože teoreticky lze na jejich základě profilovat subjekty údajů za účelem zvýšení zisku. I z toho důvodu se na podobně rozsáhlá zpracování osobních údajů zaměřuje, a to předně z hlediska rozsahu zpracovávaných údajů, jejich užívání pouze k legitimním a jasně deklarovaným účelům, doby uchovávání a plnění informační povinnosti.

Zpracování osobních údajů na základě AML zákona

Na základě podnětů zahájil ÚOOÚ kontrolu u společnosti, která zpracovávala osobní údaje osob za účelem plnění povinností podle AML zákona, avšak v průběhu řízení konstatoval, že se nejedná o povinnou osobu ve smyslu AML zákona, a tedy nelze uplatnit právní titul dle čl. 6 odst. 1 písm. c) GDPR. Společnost namítala, že zpracování provádí na základě oprávněného zájmu třetích stran, které povinnými osobami ve smyslu AML zákona jsou. Námitky ÚOOÚ zamítl a kontrolované osobě uložil nápravná opatření, přičemž přestupkové řízení stále běží.

„Pokud zpracovatel v postavení vázaného zástupce ve své činnosti pochybí, konečnou odpovědnost za správné zpracování osobních údajů má správce, jímž je subjekt, v jehož prospěch vyvíjí činnost.“

(rozsudek NSS ze dne 7. října 2021, č. j. 7 As 146/2021-26, ve věci SMS finance, a.s.)

Společnost se proti právnímu názoru ÚOOÚ ohradila, že v rámci zpracování osobních údajů jejími vázanými zástupci vystupuje v pozici správce údajů. NSS konstatoval: „Vázaný zástupce oslovuje potenciálního klienta za účelem nabídnutí služeb zastoupeného, neboť právě v tom zprostředkování dle § 2 písm. e) zákona o distribuci pojištění tkví. Ani kasačnímu soudu není nadto zřejmé, z jakého důvodu by měly být zprostředkovatelské služby nabízeny ‚jen‘ jako takové (samy o sobě). Aby totiž mohl kdokoli nabízet své vlastní zprostředkovatelské služby, musí k tomu mít co zprostředkovávat.“

autorka: Mgr. Kateřina Grézlová

24. 6. 2022

Zdroj

Foto

Mohlo by vás také zajímat:

Výsledky kontrol Úřadu pro ochranu osobních údajů za první pololetí roku 2021

 

Novela AML zákona s dopadem na pojišťovnictví

 

Informační povinnost u neživotního pojištění na Slovensku se týká i českých poskytovatelů

FRANTIŠEK STIBOR

Jsem právník junior a specializuji se na obchodní právo a právo obchodních korporací. Mluvím plynně anglicky.

KATEŘINA GRÉZLOVÁ

Jsem advokátkou se zkušenostmi v oblasti trestního, správního a ústavního práva. V současné době se specializuji zejména na regulaci osobních údajů podle GDPR a ePrivacy. Mluvím plynně anglicky.

MARCELA JANDOROVÁ

Jsem advokátkou se zkušenostmi v oblasti trestního a občanského práva, včetně sporné agendy. Mluvím plynně anglicky.

KATEŘINA STIBOROVÁ

Kateřina Stiborová

Jsem paralegal se zkušenostmi v oblasti obchodního a občanského práva a dále v oblasti zadávání veřejných zakázek a jejich administraci. V současné době se specializuji zejména na pojistné a finanční produkty. Mluvím plynně anglicky.

JAKUB HRUŠKA

Jsem advokátem a zabývám se zejména regulací osobních údajů a informačních technologií podle GDPR, ePrivacy a dalších předpisů v EU a ve světě. Mluvím plynně anglicky.

LENKA SÝKOROVÁ

Lenka Sýkorová

Jsem advokátkou se specializací na pojistné právo a distribuci pojištění, na obchodní právo a občanské právo se zaměřením na náhradu újmy a řešení soudních sporů.  Mluvím plynně anglicky a německy.

MONIKA HEREŠOVÁ MRAKOVÁ

Monika Herešová

Jsem advokátkou s 20letou zkušeností se specializací na pojistné, finanční a penzijní produkty. Poskytuji též poradenství v oblastech obchodního práva včetně financování projektů.  Mluvím plynně anglicky.