Informace pro zajímavost (z oblasti GDPR)

  • Úřad pro ochranu osobních údajů udělil v průběhu prvního roku účinnosti Nařízení GDPR osm pokut v celkové částce 370.000,- Kč (nejvyšší pokuta byla udělena bance a to ve výši 250.000,- Kč). Mezi nejčastější prohřešky patří nedobrovolné získávání souhlasu se zpracováním osobních údajů, nedostatečné zabezpečení dokumentace obsahující osobní údaje subjektů údajů a zveřejňování seznamu s osobními údaji na internetu.
  • ÚOOÚ při určování výše pokut za porušení GDPR zohledňuje konkrétní okolnosti případu – zohledňuje zejména počet dotčených subjektů údajů; délku trvání porušení; zda a jak správce reaguje na výzvy subjektu údajů a ÚOOÚ a jak s ním spolupracuje během kontroly.
  • Předmětem kontrolního plánu ÚOOÚ pro rok 2019 jsou následující obory, resp. typy správců:
    • zpracování související s rozvojem digitalizace služeb, které občanům poskytují orgány veřejné správy;
    • zpracování osobních údajů při používání cookies;
    • zabezpečení osobních údajů u zpracovatele osobních údajů;
    • zpracování osobních údajů společností vyvíjející a provozující mobilní aplikace;
    • zpracování osobních údajů prováděného buď přímo politickými subjekty, nebo za ně, a to se zaměřením jak na vlastní členskou základnu daného subjektu, tak na osoby stojící mimo ni;
    • plnění povinností při zpracování osobních údajů, včetně zvláštních kategorií údajů – otisků prstů při provozování hazardních her.
  • ÚOOÚ navrhl MPSV změny v zákoníku práce, a to konkrétně promítnutí zásad GDPR do oblasti zpracování biometrických údajů zaměstnanců. Zaměstnavatelé často zakládají zpracování některých biometrických údajů zaměstnanců pro účely kontroly vstupu, přítomnosti a přístupů na souhlasu zaměstnanců. Takové používání souhlasu ve vztahu zaměstnavatel – zaměstnanec je však nepřijatelné, a to s ohledem na právní úpravu GDPR. Dle stanoviska ÚOOÚ je třeba, aby pracovněprávní úprava zohlednila rozšíření biometrických technologií ve společnosti a současně byla jasně formulována s ohledem na základní požadavky ochrany osobních údajů.
  • Centrální registr dlužníků České republiky (CEDR) ignoruje nařízení ÚOOÚ o přijetí nápravných opatření. CERD si zajistil nového poskytovatele služeb, kterým je indická společnost hostující pro systém CERD IP adresy na území Ruské federace. Z toho důvodu ÚOOÚ nyní nemá možnost ovlivnit stažení nebo znepřístupnění protiprávního obsahu. V současné době tak probíhá řízení o sankci za nepřijetí opatření k nápravě. Před činností systému CERD varoval ÚOOÚ už na začátku roku 2017. CERD totiž za úplatu poskytuje potvrzení o bezdlužnosti, aniž by byl zapojen do legálních dlužnických registrů. Vydaná potvrzení tak nejsou uznávána státními úřady ani finančními institucemi.
  • ÚOOÚ udělil pokutu 10.000,- Kč školskému zařízení za zveřejnění fotky bývalé zaměstnankyně na Facebooku. Škola navzdory opakovaným výzvám své bývalé zaměstnankyně neodstranila z facebookových stránek školy její fotografii, u které bylo uvedeno jméno, příjmení a titul.
  • Irská komise pro ochranu dat DPC zahájila první vyšetřování internetové společnosti Google. Podezřívá Google z neoprávněného nakládání s osobními údaji za účelem reklamy. Na činnost Googlu upozornil i provozovatel webového prohlížeče Brave – podle společnosti Brave některé firmy včetně Googlu poskytují osobní údaje o pohybu na webu svých uživatelů desítkám až stovkám firem za účelem cílené reklamy, aniž by o tom dotyční věděli.
  • Španělská fotbalová liga dostala pokutu 250 tis. eur za porušení Nařízení GDPR – trest se týká aplikace fotbalové soutěže La Liga, která měla pomáhat v boji s pirátským vysíláním zápasů, kvůli němuž La Liga ročně na vysílacích právech přijde o 400 milionů eur. Problém byl údajně v nedostatečném informováním uživatelů, že aplikace může sama zapnout mikrofon a vysílat informace o poloze zařízení.
  • Dánský úřad na ochranu osobních údajů Datatilsynet navrhnul pokutu ve výši 1,2 milionu dánských korun taxislužbě Taxa 4×35 za to, že nesmazala telefonní čísla, geolokační data a další informace týkající se bývalých zákazníků, na základě kterých bylo možné jednotlivé osoby identifikovat. Společnost mazala jen jména a příjmení svých bývalých zákazníků po dvou letech, ale zbytek informací uchovávala po dobu dalších tří let, a to s poukazem na to, že informační systém DDS Pathfinder neumožňuje smazat telefonní čísla zákazníků. Dánský dozorový úřad nemůže udělit pokutu přímo, ale může pouze uložení pokuty navrhnout policejním orgánům, které pak pokutu vymáhají prostřednictvím soudu.
  •  Italský úřad pro ochranu osobních údajů udělil americké internetové společnosti Facebooku pokutu ve výši jednoho milionu eur v důsledku aféry s britskou poradenskou firmou Cambridge Analytica. Tato společnost oficiálně vyvíjela program, který měl předpovídat preference voličů, ve skutečnosti však měla za cíl jejich rozhodnutí ovlivňovat. Pomocí aplikace získala privátní data z facebookových profilů desítek milionů uživatelů a na základě nich šířila cílenou politickou reklamu. Facebook tomuto masivnímu úniku dat nedokázal zabránit a navíc dostatečně neinformoval uživatele, jejichž data byla získána.
  • Úřad pro ochranu osobních údajů – na základě závěrů kontroly systému Centrálního registru dlužníků České republiky (CERD) provedené v polovině r. 2018 a následné reakce správce osobních údajů systému CEDR, který neprovedl uložená opatření – zahájil řízení o sankci za nepřijetí opatření k nápravě a v současné době připravuje vydání rozhodnutí ve věci (více viz https://www.uoou.cz/vismo/dokumenty2.asp?id_org=200144&id=34474).
  • ÚOOÚ udělil pokutu ve výši 180 tis. Kč zaměstnavateli, který nadbytečně uchovával kopie dokladů svých zaměstnanců. Kontrola v personálních spisech našla kopie průkazů zdravotního pojištění, výpisy z evidence Rejstříku trestů, karty s čísly bankovních účtů i skenované fotografie a rodné listy dětí zaměstnanců.
  • Na základě stížnosti, jejímž předmětem bylo upozornění na vyžadování kopie občanského a řidičského průkazu při sepisování smlouvy o pronájmu osobního vozu, provedl ÚOOÚ kontrolu dodržování povinností v souvislosti s kopírováním osobních dokladů u pronajímatele vozidel. Kontrolou bylo zjištěno porušení § 5 odst. 1 písm. d), neboť kontrolovaný v rámci identifikace klienta pořizoval kopie celého občanského průkazu jako pramen verifikace, což vzhledem k účelu zpracování osobních údajů bylo vyhodnoceno jako nadbytečné a nepřiměřené. ÚOOÚ vydal na základě kontrolních zjištění příkaz na místě, kterým byla uložena pokuta ve výši 10 tis. Kč. Účastník řízení plně uznal své pochybení a pokutu neprodleně uhradil.
  • ÚOOÚ na základě provedených kontrol ochrany osobních údajů vydal pravomocná rozhodnutí či příkazy o pokutě vydané za porušení GDPR ve výši 5 tis. Kč až 250 tis. Kč. Tato anonymizovaná pravomocná rozhodnutí / příkazy o pokutě vydané za porušení GDPR zveřejnil ÚOOÚ na svých webových stránkách na základě žádostí o informace dle zákona č. 106/1999 Sb., o svobodném přístupu k informacím.
  • Odborníci na kyberbezpečnost ze společnosti SODAT letos analyzovali soubory na Ulož.to a zjistili, že mnohé z nich obsahují firemní přístupová hesla, pracovní smlouvy nebo rodná čísla. Tyto informace přitom na úložiště nahrávají sami zaměstnanci za účelem zálohování a sdílení. Našli zde data více než tisícovky firem a ze 112 záloh e-mailu byla chráněna heslem jen jedna.
  • Z aplikace WiFi Finder unikly dva miliony hesel – databáze aplikace WiFi Finder, která obsahuje přístupové informace k více než dvěma milionům sítí, unikla v nezašifrované podobě na internet. Po tom, co databáze unikla na internet, byla aplikace odstraněna z obchodu Google Play.
  • ÚOOÚ v 2. polovině roku 2018 provedl 34 kontrol podle zákona č. 101/2000 Sb., o ochraně osobních údajů,a to jak u společností, tak i u fyzických osob podnikajících. Kontrolní činnost podle zákona o ochraně osobních údajů provedl ÚOOÚ jak na základě svého kontrolního plánu, tak i na základě přijatých podnětů. Závěrem provedených kontrol je buď zjištění porušení zákona o ochraně osobních údajů, nebo uložení nápravných opatření či pokuty, nebo zahájení řízení o přestupku (více viz https://www.uoou.cz/kontrolni-cinnost-podle-zakona-o-ochrane-osobnich-udaju/ds-5359/archiv=0&p1=1277).
  • ÚOOÚ v 2. polovině roku 2018 provedl 11 kontrol v oblasti nevyžádaných obchodních sdělení, a to jak u fyzických osob podnikajících, tak i u společností. V rámci provedených kontrol ÚOOÚ zjistil, že kontrolované osoby svým jednáním porušili povinnosti stanovené v § 7 odst. 2 zákona č. 480/2004 Sb., tedy využít podrobnosti elektronického kontaktu za účelem šíření obchodních sdělení elektronickými prostředky pouze ve vztahu k uživatelům, kteří k tomu dali předchozí souhlas. ÚOOÚ dle závažnosti kontrolního zjištění buď uložil kontrolovaným osobám pokutu v řádu jednotek tisíce korun českých, nebo ve věci zahájil řízení o přestupku (více viz https://www.uoou.cz/kontrolni-cinnost-v-oblasti-nevyzadanych-obchodnich-sdeleni/ds-5360/archiv=0&p1=1277).
  • Cca 7 % všech zjištěných a řešených případů ÚOOÚ v roce 2018 bylo porušení ustanovení o zpracovatelské smlouvě a povin­nostech zpracovatele.
  • ÚOOÚ zveřejnil na svých webových stránkách dokument „K povinnosti správců provádět posouzení vlivu na ochranu osobních údajů (DPIA)“.Obecné nařízení požaduje, v některých případech, vypracování posouzení vlivu na ochranu osobních údajů – takové posouzení je nutné v situaci, kdy zpracování osobních údajů má za následek vznik vysokého rizika pro práva a svobody fyzických osob, a to s přihlédnutím k povaze, rozsahu, kontextu, účelům zpracování a využitím nových technologií.V dokumentuje uveden seznam druhů operací zpracování osobních údajů, které podléhají posouzení vlivu na ochranu osobních údajů (zařazení zpracování do seznamu vysoce rizikových pro práva a svobody subjektů údajů se provádí na základě deseti charakteristik popisujících každé zpracování osobních údajů).
  • Od ledna 2020 měla zmizet rodná čísla z nově vydávaných občanských průkazů – nahradit je měly identifikátory, z nichž by nebylo na první pohled jasné datum narození ani to, zda jde o muže nebo ženu. Zákon, který to umožňuje, byl schválen již před 9 lety, ale úřady stále nepodnikly patřičné kroky k zavedení těchto identifikátorů. V současné chvíli to tedy vypadá tak, že rodná čísla na občanských průkazech zůstanou další 3 roky, zatím není ani jasná finální podoba nových identifikátorů.
  • Cloud a GDPR – použití cloudu pro zpracování osobních dat je možné a v praxi velmi časté. Nařízení GDPR přitom pojem cloud vůbec nepoužívá – na poskytovatele cloudu je tedy třeba se dívat jako na zpracovatele (viz čl. 28 Nařízení GDPR).Podle některých názorů je výhodou cloudu to, že ochranu dat zajišťují profesionálové, kteří již většinou vydali prohlášení o shodě s GDPR. Ve skutečnosti bohužel řada poskytovatelů cloudu měla a má se zabezpečením dat značné problémy.
  • ÚOOÚ provádí i kontroly zpracování osobních údajů při využívání cloud computingu. Je tedy nezbytné, aby organizace / společnosti dostatečně ošetřily oblast nasazení cloudu jak z pohledu rizika úniku informací, tak rizik v oblasti automatizovaného zpracování (při výběru cloudu a sjednání jeho podmínek se zjednodušeně řečeno postupuje obdobně, jako by organizace / společnost chtěla data zpracovávat ve vlastní podnikové síti – viz požadavky čl. 25 a 32 Nařízení GDPR).
  • Francouzský úřad pro ochranu osobních údajů (CNIL – Commission Nationale de l’Informatique et des Libertés) vytvořil aplikaci k provádění posouzení vlivu na ochranu osobních údajů. Aplikace má i českou jazykovou mutaci (s drobnými nedostatky), a CNIL v prosinci 2018 vydal druhou verzi aplikace, jež má i webové rozhraní. Práce v uvedeném programu je velmi intuitivní a je zdarma. Aplikace CNIL obsahuje i rozdělení rolí, tudíž má Pověřenec pro ochranu osobních údajů vlastní přístup, jehož prostřednictvím komentuje konkrétní položky posouzení a dává k němu vlastní stanoviska.
  • Francouzský úřad pro ochranu osobních údajů (CNIL – Commission Nationale de l’Informatique et des Libertés) uložil společnosti Google rekordní pokutu 50 milionů eur za porušení pravidel ochrany osobních údajů v souvislosti se zobrazováním personalizované reklamy.Google nesplnil základní prvky zásady transparentnosti (stručnost, jasnost, srozumitelnost a snadná přístupnost), zakotvené v čl. 12 Nařízení GDPR, stejně jako požadavky na souhlas se zpracováním osobních údajů.
  • Facebook od roku 2012 ukládal hesla k účtům 200 až 600 milionů svých uži­vatelů na interních serverech v nezašifrované podobě. Přístup k nim tak mělo více než 20 tisíc zaměstnanců, veřejnost se však k nechráněným datům podle tvrzení Facebooku dostat nemohla. Nechráněné ukládání hesel bylo odhaleno bylo až v lednu 2019, když si bezpečnostní inženýři během revize nových kódů všimli, že se hesla ukládají v nezašifrované podobě.
  • Některé aplikace v iPhonech nahrávají data uživatelů – aplikace bez souhlasu a vědomí uživatelů nahrává displej telefonu a ukládá úkony, které na telefonu v rámci dané aplikace člověk provádí (telefon tak zaznamenává např. i hesla, čísla kreditní karty nebo cestovního pasu). Umožňuje to technologie session replay, která pořizuje screenshoty a následně je odesílá vývojářům z důvodu odhalení chyb a nefunkčních prvků v aplikaci (tímto postupem lze samozřejmě studovat i chování zákazníka). Problematické je pak především nedostatečné zabezpečení údajů, u nichž hrozí zneužití v případě, že se při odesílání nevyužije šifrování. Odesílání nezašifrovaných osobních údajů se netýká všech aplikací, ale problematické zůstává především to, že aplikace uživatele neinformují o tom, že jsou jejich činnosti nahrávány a odesílány vývojářům.
  • Evropský sbor pro ochranu osobních údajů vydal materiál, ve kterém zdůrazňuje několik klíčových bodů, které mají dodržovat politické strany, kandidující koalice a kandidáti, pokud v rámci svých volebních činností zpracovávají osobní údaje.Dokument, který je ke stažení na stránkách ÚOOÚ, reaguje na současnou praxi vysoce sofistikovaných profilovacích technik, které pro sledování a vytipovávání potenciálních voličů používají některé politické subjekty.
  • Evropský sbor pro ochranu osobních údajů přijal stanovisko o vztahu obecného nařízení a směrnice 2002/58/ES o soukromí a elektronických komunikacích. Dozorové orgány jednotlivých států mají podle jeho názoru vyžadovat plnění zásad ochrany osobních údajů i v rámci směrnice ePrivacy. (viz stanovisko 5/2019 k interakci mezi směrnicí ePrivacy a GDPR https://edpb.europa.eu/our-work-tools/our-documents/opinion-board-art-64/opinion-52019-interplay-between-eprivacy-directive_en).
  • Úřad pro ochranu osobních údajů (ÚOOÚ) provádí kontroly:
    – na základě kontrolního plánu, který je vypracováván ve spolupráci s předsedou ÚOOÚ a schvalován na každý kalendářní rok;
    – incidenční, které jsou prováděny na základě podnětů a stížností subjektů údajů nebo na základě jiných podnětů (např. předání od dozorových úřadů jiných členských států EU, soudů, policie, upozornění ve sdělovacích prostředcích apod.);
    – na základě podnětu předsedy ÚOOÚ.
  • Poslanecká sněmovna schválila nová pravidla ochrany soukromí, která navazují na evropské Nařízení GDPR. Nový zákon má hlavně zavést přípustné výjimky z evropských pravidel. Maximální sankce za porušení zákona zůstala pro orgány veřejné správy na 10 mil. Kč. Horní sazba pokut pro malé obce byla omezena na 15 tisíc Kč. Schválena byla zároveň úprava výjimek pro média, nebo vědecké, výzkumné a statistické účely. Poslanci naopak odmítli snížit pod 15 let navrhovanou věkovou hranici, po jejímž dosažení by děti mohly samy naplno využívat sociální sítě. Poslanci však souhlasili s tím, aby se ÚOOÚ stal odvolacím správním orgánem pro případy, kdy úřady nevyhoví žádostem podle zákona o svobodném přístupu k informacím. Nový zákon o zpracování osobních údajů, který nyní dostane k projednání Senát, nahradí dosavadní zákon o ochraně osobních údajů.
  • ÚOOÚ bylo doručeno více než 16.500 oznámení o jmenování Pověřence pro ochranu osobních údajů a přes 200 zpráv o změně Pověřence nebo kontaktu na něj. Zajímavostí je, že velký počet z nich ustanovili správci čistě na dobrovolné bázi, tedy že jim to zákon vzhledem k jejich činnosti ani neukládá.
  • Kontrola ÚOOÚ zaměřená na zpracování osobních údajů má za cíl především zjistit faktický stav věci, ne vždy musí kontrola končit uložením pokuty. Finanční postih nemusí automaticky přijít ani v případě, že ÚOOÚ nějaký závadný stav u správce osobních údajů odhalí. GDPR obsahuje řadu nápravných pravomocí, které lze v případě zjištěného porušení uložit, např. udělení napomenutí nebo nařízení, aby správce vyhověl žádosti subjektu údajů o výkon práva dle GDPR.
  • ÚOOÚ obdržel od účinnosti Nařízení GDPR do konce října 2018 1993 stížností (statistika podnětů a stížností za jednotlivá období je uvedena na stránkách ÚOOÚ www.uoou.cz). Úřad eviduje především podněty týkající se telemarketingu, upozornění na formu a způsob vyžadování souhlasu ze strany některých správců a stížnosti týkající se zpracování, zejména zveřejňování (již dříve zveřejněných) osobních údajů na internetu. Jedná se zejména o další publikování údajů o podnikatelské činnosti fyzických osob v rejstřících provozovaných soukromými subjekty. ÚOOÚ zveřejnil na svých stránkách návod dotčeným osobám (subjektům údajů), jakým způsobem uplatnit u provozovatele předmětných databází a internetových stránek práva daná obecným nařízením.
  • ÚOOÚ za porušení Nařízení GDPR dosud neudělil pokutu, udělil pouze sankce za přestupky spáchané před účinností Nařízení GDPR. Nejvyšší sankce činila 1.500.000,- Kč a nejnižší 5.000,- Kč nebo napomenutí.
  • ÚOOÚ bude nyní s největší pravděpodobností řešit pochybení České školní inspekce, která nezabezpečila testovací aplikaci InspIS – bylo tak možné se za určitých okolností dostat k desítkám tisíc jmen a příjmení žáků a také k informaci, zda mají nějaké zdravotní znevýhodnění. Podle vyjádření ČSI se jednalo o technickou chybu při úpravách systému InspIS, kterou následná kontrola neodhalila. Po zjištění chyby byla data okamžitě zablokována a chyba byla odstraněna.
  • Úřad britského komisaře pro informace (Information Commissioner´s Office – ICO) udělil Facebooku pokutu 500.000,- liber za závažné porušení zákona na ochranu osobních údajů (za zpracování osobních dat uživatelů nekorektním způsobem mezi lety 2007 až 2014). Facebook umožňoval vývojářům aplikací přístup k datům uživatelů, aniž by od nich získal dostatečně jasný a informovaný souhlas. Navíc Facebook osobní údaje dostatečně nezabezpečil, neboť nekontroloval aplikace a vývojáře využívající tuto platformu (např. jedna vývojářská společnost získala přístup k osobním datům 87 milionů lidí po celém světě bez jejich vědomí, část těchto údajů pak později sdílela s Cambridge Analytica, svojí mateřskou společností).
  • Hackeři vyvěsili na internet soukromé zprávy 81 tisíc uživatelů Facebooku. Prozatím není zcela jasné, jak se hackerům podařilo ke zprávám dostat – podle Facebooku totiž nedošlo k narušení jejich bezpečnostního systému. Údaje tak pravděpodobně unikly prostřednictvím škodlivých rozšíření internetových prohlížečů. Ty už Facebook ve spolupráci s vývojáři prohlížečů nechal zneaktivnit. Kromě zpráv se na webových stránkách objevily také fotografie z dovolených a u dalších 176 tisíců účtů jsou dostupné e-mailové a telefonní kontakty. Jde převážně o uživatele Facebooku z Ukrajiny, Ruska, Velké Británie, USA a Brazílie.
  • Evropský parlament schválil Nařízení o volném pohybu neosobních dat (tj. neosobní data se již nemusí skladovat pouze v zemi, ve které byla získána), které vstoupilo v platnost 1.12.2018. Volný pohyb neosobních dat se vztahuje pouze na ty údaje, jež nevedou k identifikaci osob a které nemají vliv na soukromí fyzických osob. Nové nařízení EU zároveň pouze doplňuje obecné nařízení o ochraně osobních údajů (Nařízení GDPR), které platí od 25.5.2018. Pokud budou osobní a neosobní data zpracovávána společně, bude se GDPR vztahovat pouze na část o osobních údajích, zatímco na část o neosobních datech se použije nové Nařízení o volném pohybu dat. Nařízení se proto nepřekrývají, ale vzájemně doplňují.
  • Bytový fond ve Vídni v souladu s Nařízením GDPR vymění do konce roku 2018 tisíce jmenovek na zvoncích za prostá čísla bytů (na základě posouzení výkladu GDPR a doporučení tohoto opatření Odborem magistrátu pro ochranu osobních údajů). Pokud nájemník bude chtít si jmenovku na zvonku ponechat, musí tak udělat z vlastní vůle až poté, co budou jmenovky vyměněny za čísla bytů.
  • Právní nejistota subjektu co do postavení správce osobních údajů nemůže vést k odmítnutí poskytnutí informace (přístup subjektu údajů k informacím). V situaci, kdy organizace prokazatelně předmětnými osobními údaji disponuje, je její povinností si své právní postavení vyjasnit a poskytnout požadované informace o zpracování osobních údajů.
  • Ministerstvo financí ČR na základě provedené kontroly ÚOOÚ upravilo parametry registrace hráče v rámci účtenkové loterie (dle zákona č. 112/2016 Sb., o evidenci tržeb) – v současné době již není nezbytné při registraci zadávat daňové identifikační číslo.
  • Finančnímu úřadu byla udělena pokuta ve výši 5.000,- Kč za doručení dokumentů osobě bez datové schránky do datové schránky jiného daňového subjektu. K záměně došlo z důvodu shody jména, příjmení a data narození u dvou daňových subjektů.
  • Městskému úřadu byla udělena pokuta ve výši 20.000,- Kč v souvislosti s pochybením při vydávání parkovacích karet městem (parkovací karty nepřenosné vydané pro jedno vozidlo a parkovací karty přenosné vydané na jméno a použitelné pro libovolné vozidlo). Na parkovacích kartách byly uvedeny nadbytečné osobní údaje – u nepřenosné parkovací karty jméno, příjmení a trvalé bydliště, u přenosné parkovací karty trvalé bydliště a registrační značka vozidla.
  • V rámci městského úřadu bylo zjištěno pochybení zaměstnance při doručování zprávy do datové schránky jiné osoby. Vzhledem ale k tomu, že městský úřad neprokázal, že by byl zaměstnanec řádně poučen o svých povinnostech v oblasti ochrany osobních údajů, nese odpovědnost za zpřístupnění osobních údajů doručením zásilky do datové schránky jiné osoby městský úřad.
  • Byla udělena pokuta ve výši 6.000,- Kč školskému zařízení z důvodu porušení zákona č. 101/2000 Sb., o ochraně osobních údajů – škola zpřístupnila osobní údaje studentů v souvislosti s prověřováním údajného incidentu mezi studenty (škola zaslala spolužákům elektronickou poštou výzvu k vyjádření, která obsahovala popis incidentu a identifikaci osob, které se jej měly zúčastnit), a to bez souhlasu dotčených studentů. Účelem zaslání předmětné výzvy bylo získání svědectví dalších osob v souvislosti se zahájením správního řízení o vyloučení studenta ze školy a šetřením rozporných tvrzení účastníků incidentu.
  • Mateřská škola zveřejnila na nástěnce v budově školky seznam dětí, které měly nedoplatky za předškolní vzdělávání a stravné, a seznam dětí, které se nedostavily k zápisu k předškolnímu vzdělávání (porušení § 5 odst. 2 zákona č. 101/2000 Sb.). Mateřská škola tedy zpřístupnila osobní údaje dětí i třetím osobám, tj. nepřijala taková opatření, aby nemohlo dojít k neoprávněnému nebo nahodilému přístupu k osobním údajům, k jejich změně, zničení či ztrátě, neoprávněným přenosům, k jejich jinému neoprávněnému zpracování, jakož i k jinému zneužití osobních údajů. ÚOOÚ od uložení pokuty upustil, protože mateřská škola závadný stav neprodleně napravila.
  • Mateřská škola nesprávně zpracovávala osobní údaje při vstupu osob do budovy – mateřská škola provozovala elektronický vstupní systém založený na systematickém snímání a zpracování otisků (biometrický údaj) a nedisponovala souhlasem ke zpracování předmětných osobních údajů. ÚOOÚ od uložení pokuty upustil, protože mateřská škola závadný stav neprodleně napravila.
  • Za účelem předcházení šikany, ochrany majetku školy, ochrany zdraví zaměstnanců a žáků provozovalo školské zařízení kamerový systém se záznamem, který byl nainstalovaný ve všech veřejných prostorách školy (vč. jednotlivých učeben) a byl provozovaný nepřetržitě, a to bez souhlasu subjektů údajů se zpracováním osobních údajů. ÚOOÚ při kontrole vyhodnotil, že školské zařízení provozuje kamerový systém v rozporu s povinností správce osobních údajů dle § 5 odst. 2 zákona č. 101/2000 Sb., neboť jí nesvědčí žádný z právních titulů opravňující ji ke zpracování osobních údajů. Přičemž i s ohledem na zjištěný rozsah monitorování a skutečnost, že u školského zařízení nedošlo k žádnému negativnímu jednání před ani po instalaci kamerového systému, byl v daném případě zásah do soukromí výrazně vyšší než deklarovaný účel zpracování osobních údajů. Školské zařízení tedy ukončilo nahrávání záznamů a kamerový systém provozuje pouze v on-line režimu.
  • Provozovateli centrálního registru dlužníků (CERD) bude uložena pokuta z důvodu nezákonného nakládání s osobními údaji. Kontrola ÚOOÚ identifikovala u systému CEDR tato porušení:
    – zpracování nepřesných a nadbytečných osobních údajů, navíc v řadě případů i bez právního titulu;
    – absence zpracovatelské smlouvy mezi správcem osobních údajů a zpracovatelem osobních údajů;
    – subjekty údajů nejsou informovány dostatečným způsobem o tom, kdo je správce osobních údajů a jak mohou uplatňovat svá práva;
    – nepodání informace o zpracování osobních údajů;
    – nesplnění požadavku subjektu údajů na podání vysvětlení či na odstranění osobních údajů;
    – část systému CERD, která se týká překlápění insolvenčního rejstříku a vkládání nových, nikým neověřovaných dlužníků a dluhů, je neoprávněným zásahem do soukromého života jednotlivých subjektů údajů;
    – využití podrobností elektronického kontaktu za účelem šíření obchodních sdělení elektronickými prostředky pouze ve vztahu k uživatelům, kteří k tomu dali předchozí souhlas;
    – šíření obchodních sdělení, která nebyla jako obchodní sdělení řádně označena a která skrývala či utajovala totožnost odesílatele, jehož jménem se komunikace uskutečnila;
    – odeslání obchodních sdělení navíc probíhalo bez platné adresy, na kterou by adresát mohl přímo a účinně zaslat informaci o tom, že si nepřeje, aby mu tato sdělení byla dále zasílána.
  • Společnosti s ručením omezeným byla udělena pokutu ve výši 835.000,- Kč za porušení zákona č. 480/2004 Sb., o některých službách informační společnosti, jelikož adresáti obchodních sdělení nedali společnosti předchozí souhlas k využití jejich elektronického kontaktu za účelem šíření obchodních sdělení.
  • Soukromé společnosti byla udělena pokuta ve výši 2.000,- Kč za zaslání dopisů seniorům, kteří čerpali některé ze sociálních služeb, s nabídkou, že jim daná společnost bude doživotně poskytovat sociální služby (péče, stravování, doprovod apod.), pokud na ni převedou vlastnické právo k nemovité věci (osobní údaje seniorů společnost shromažďovala z katastru nemovitostí a dále je zpracovávala pro své obchodní účely).
  • Společnosti Internet Mall, a.s. byla udělena pokuta 1,5 mil. Kč za nezabezpečení osobních údajů nejméně 735.956 zákazníků v rozsahu jméno, příjmení, e-mailová adresa, heslo uživatelského účtu, příp. telefon, před neoprávněným přístupem v období minimálně od 31.12.2014 do srpna 2017. V důsledku toho došlo v době od 27.7.2017 do 25.8.2017 ke zpřístupnění uvedených osobních údajů na serveru Uložto.cz.
  • Twitter čelí prvnímu vyšetřování kvůli porušení GDPR. Irské úřady zahájily vyšetřování sítě, protože měla nedovoleně shromažďovat data přes svoji službu pro zkracování odkazů t.co.
  • Klient banky zapříčinil neoprávněné zasílání e-mailových zpráv (předávání bankovních informací mezi bankou a klientem) na adresu třetí osoby, když při uzavření smlouvy uvedl nesprávně svou e-mailovou adresu, přičemž tato e-mailová adresa patřila jiné osobě, která nebyla klientem banky. Třetí osoba, poté co obdržela několik e-mailů, na chybu upozornila banku, ovšem ta toto upozornění nesprávně vyhodnotila jako reklamaci služeb a k nápravě chyby došlo až na základě kontroly ÚOOÚ.
  • Zdravotnickému subjektu byla uložena pokuta ve výši 10.000,- Kč z důvodu nepřijetí dostatečných technicko-organizačních opatření k zabezpečení ochrany osobních údajů, a to zejména v souvislosti s přístupem osob k datové schránce a při ukládání dokumentů doručovaných do datové schránky.
  • I přes přijetí a realizaci dostatečně technicko-organizačních opatření k zajištění bezpečnosti zpracovávaných osobních údajů došlo v rámci zdravotnického zařízení k zaslání elektronické zprávy obsahující osobní údaje potencionálního klienta na e-mailovou adresu jiného klienta. Předmětný incident tedy nebyl způsoben absencí či nedostatečností opatření na straně zdravotnického zařízení, ale pochybením na straně zaměstnankyně (zaměstnankyně i přes zákaz zdravotnického zařízení vyřizovala dvě věci souběžně a v důsledku toho si otevřela dvě okna aplikace Outlook).
  • Byla udělena pokuta přes 800.000,- Kč za nevyžádanou reklamu.
  • Ústavní soud zrušil část zákona o EET a rozhodl, že DIČ se na účtenkách již nebude objevovat.
  • Britská základní škola porušila zabezpečení osobních údajů ztrátou flash disku, který obsahoval kompletní databázi více než 1.000 žáků.
  • Došlo k rozeslání až 2.500 výzev nesprávným adresátům jakožto výzva k zaplacení pokuty od pražského magistrátu za spáchání dopravního přestupku.
  • Po několika dnech GDPR v účinnosti čelí Facebook a Google žalobě za 200 miliard Kč.
  • Dle Soudního dvora EU je správce facebookové skupiny spoluodpovědný za zpracování údajů návštěvníků skupiny.
  • Praxe volání pacientů podle příjmení v čekárně není v rozporu s GDPR.

Kompletní informace z oblasti ochrany osobních údajů naleznete zde.

Poznámka: Zdrojem výše uvedených informací jsou nejen znalosti a zkušenosti společnosti Equica, a.s. v oblasti ochrany osobních údajů, ale také webové stránky Úřadu pro ochranu osobních údajů (www.uoou.cz) a webové stránky Ministerstva vnitra České republiky (www.mvcr.cz).