Obecné nařízení o ochraně osobních údajů (General Dat Protection Regulation, GDPR) je účinné již více než 5 let. Přijato bylo ještě o dva roky dříve, na jaře roku 2016, takže všechny organizace měly poměrně dost času na to, aby se novým pravidlům a postupům pro zpracování osobních dat připravily.
Co GDPR změnilo
Když hovoříme o novinkách, musíme dodat, že v pravidlech, právech a povinnostech přímo souvisejících se zpracování osobních údajů toho GDPR v porovnání s předchozí právní úpravou zase tolik nového nepřineslo.
GDPR však zavedlo celou řadu nových procesů a institutů, které mají organizacím napomoci k dosažení souladu s danými pravidly, jako například posouzení dopadu do ochrany osobních údajů (data protection impact assessment), vedení záznamů o zpracování, řízení porušení zabezpečení dat či jmenování pověřence pro ochranu osobních údajů.
GDPR rovněž výrazně zvýšilo pokuty, které lze za porušení povinností v této oblasti uložit. Podle předchozího zákona č. 101/2000 Sb., o ochraně osobních údajů, bylo možné za příslušné delikty, například zpracování osobních údajů bez právního důvodu, jejich špatné zabezpečení atd., uložit pokutu do výše 10 milionů korun.
Jaké pokuty dává Úřad pro ochranu osobních údajů?
Úřad pro ochranu osobních údajů se za 18 let účinnosti tohoto zákona k horní hranici sankce nepřiblížil. Nejvyšší pokuty, které podle starého zákona uložil, se pohybovaly v rozmezí 2-3 milionů korun.
Podle GDPR, které je přímo účinné ve všech členských státech Evropské unie, lze za porušení především procesních nástrojů (posouzení dopadu, jmenování pověřence, řízení incidentů atd.) uložit pokut až 10 milionů EUR nebo až 2 % celkového ročního obratu podniku celosvětově za předchozí finanční rok, podle toho, která hodnota je vyšší.
V případě porušení základních pravidel a povinností pro zpracování dat, např. stanovení rozsahu, doby uchování, právního titulu ke zpracování nebo vyřizování podnětů dotčených osob (právo na přístup, právo na výmaz apod.) pak dotčené organizaci hrozí pokut až do výše 20 milionů EURO nebo 4 % celkového ročního obratu podniku celosvětově za předchozí finanční rok, podle toho, která z těchto hodnota je vyšší.
Rekordní pokuty za porušení GDPR
Řada evropských dozorových úřadů neváhá k opravdu vysoké pokutě sáhnout. Na příkladu některých pokut si můžeme ukázat, v čem organizace při aplikaci GDPR v praxi chybují, resp. jaké případy porušení považují evropské dozorové úřady za nejvážnější.
Nejvyšší pokutu (dodejme: zatím) dostala společnost Meta, dříve Facebook. Irský úřad jí v roce 2023 za protiprávní předávání osobních údajů obyvatel EU do třetích zemí, konkrétně do USA, vyměřil pokutu 1,2 miliardy (ano, MILIARDY) euro. V přepočtu to je zhruba 30 miliard českých korun.
Jen pro srovnání, to je zhruba tolik, jako je rozpočet českého ministerstva zdravotnictví, ministerstva zahraničí a NÚKIBu za rok 2022. Dohromady.
Druhým v pořadí úřadů je jeden z nejmenších. Lucemburský úřad pro ochranu osobních údajů. V roce 2021 dal pokutu další americké společnosti, Amazonu, a to ve výši 746 milionů euro (cca 18,5 miliardy českých korun).
Za co Amazon tak vysokou pokutu dostal? Nesprávně nastavený proces pro získávání souhlasů klientů s marketingem, zejména v online prostředí.
GDPR souhlas
Jen pro jistotu, víte, jaké náležitosti musí GDPR souhlas splňovat? Musí být:
Svobodný
Aktivně vyjádřený
Konkrétní a jednoznačný
Vědomý
Informovaný
Kdykoliv odvolatelný
Kterou z těchto náležitostí souhlas Amazonu nesplňoval? To bohužel nevíme, lucemburský úřad je poněkud tajemný. To hlavní je ale zjevné: Získat správný souhlas, který bude odpovídat všem požadavkům GDPR, není zcela snadné a je nutné celému procesu sběru souhlasů věnovat náležitou pozornost. Jinak hrozí pokuta.
Únik dat klientů British Airways
Mediálně známým je případ úniku osobních údajů aerolinek British Airways. Těm v roce 2018 unikly osobní údaje více než 400.000 jejích klientů a to včetně jejich karetních dat. Britský dozorový úřad, v té době ještě úřad členského státu Evropské unie, původně avizoval, že může uložit pokut až do výše 183 milionů britských liber. Po složitém vyjednávání britský úřad aerolinkám uložil pokutu „jen“ 20 milionů liber (zhruba 600 milionů korun).
Rekordní pokuta za sledování zaměstnanců
Hamburský úřad na ochranu dat uložil pokutu společnosti H&M ve výši 35,3 milionů EUR (zhruba 950 milionů korun) za protiprávní zpracování osobních údajů zaměstnanců. Společnost H&M poměrně intenzivně monitorovala zaměstnance svého servisního centra, včetně informací o jejich osobních a rodinných poměrech, zdravotním stavu či příznacích nemocí až po náboženské či filosofické přesvědčení.
Společnost tyto zjevně nadbytečné údaje systematicky zaznamenávala a využívala mj. při rozhodování, s kým ukončit pracovní poměr či dalších pracovněprávních změnách. Zajímavá je i okolnost, která přispěla k odhalení této praxe: v roce 2019 byly v důsledku technické chyby tyto detailní informace na několik hodin zpřístupněny v rámci firemní sítě…
Právo na výmaz osobních údajů a pokuty
Kromě základních pravidel, jako je zákonnost a přiměřenost zpracování osobních údajů či jejich zabezpečení, je dalším velkým tématem výkon práv dotčených osob, například práva na přístup, na opravu či na výmaz osobních údajů.
I vstřícný přístup při vyřizování požadavků subjektu údajů na přístup k datům však má své meze. Německý telekomunikační operátor 1&1 Telecom GmbH nastavil související proces tak, že postačilo, aby kdokoliv zavolal na jeho informační linku, uvedl jméno a datum narození klienta a bez jakéhokoliv dalšího ověření bylo možné získat poměrně detailní a citlivá klientská data. Německý federální úřad tuto přehnanou vstřícnost ocenil pokutou 9.550.000 EUR, tedy necelých 260 milionů korun.
Pokuty za marketing
Velmi aktivní v udělování pokut je například i italský úřad. V poslední době dal například pokutu energetické společnosti Enel Energia za poměrně agresivní marketing. Navíc prováděný bez ohledu na GDPR, bez právního titulu ke zpracování osobních údajů, bez informování dotčených osob atd.
A kolik že ta pokuta byla? Italský úřad za marketing vystavil účet 26,5 milionů euro. V českých korunách zhruba 660 milionů.
Znáte aktuální pravidla pro telemarketing a cookies platná v České republice? Nápověda, nehledejte je v GDPR, ale v jiném zákoně. Kdo ví ve kterém?
Whistleblower upozornil na porušení GDPR
S předposledním příkladem zůstaneme na jihu, i když se posuneme více na východ. Do Chorvatska. Tak trochu i proto, abychom ukázali, že vysoké pokuty nejsou doménou jen „starých“ členských států se zavedenými úřady.
Chorvatský úřad pro ochranu dat, který vznikl v roce 2004, tedy 4 roky po našem ÚOOÚ, uložil na jaře 2023 pokutu ve výši 2.265.000 euro. Asi 56 milionů korun českých.
Kdo byl tím „šťastlivcem“? Místní vymáhací agentura. Společnost, který upomíná dlužníky, že by opravdu měli zaplatit to, co někomu dluží. Třeba bance, pojišťovně atd. Co vymáhací společnost provedla? Dotyčné dlužníky neinformovala o zpracování jejich osobních údajů, nezavedla dostatečná bezpečnostní opatření a neuzavřela správné zpracovatelské smlouvy.
Zajímavé také je, jak se chorvatský úřad o těchto problémech dozvěděl. Od whistleblowera! Jednoho dne totiž úřad poštou dostal USB disk a na něm osobní údaje skoro 80 tisíc lidí, které daná společnost v rozporu s GDPR zpracovávala.
Whistleblowing a zpracování osobních údajů, to je velmi zajímavé téma. Z různých úhlů pohledu.
Pokuta pro Avast od ÚOOÚ: 320 milionů korun
A nezahálí ani český Úřad pro ochranu osobních údajů. Pokut nedává tolik, ale už ukázal, že umí také sáhnout vysoko.
Společnosti Avast, která je známá především pro antivirový a obecně bezpečnostní software, ÚOOÚ uložil pokutu ve výši 14 milionů euro, tedy 320 milionů korun. Pokuta zatím není pravomocná, Avast se odvolal.
Za co pokutu dostali? Jedna z jejich dceřiných společností v USA, Jumpshot, totiž prodávala data uživatelů. Avast se sice hájil, že o osobní údaje vlastně nešlo, protože mezi prodávanými daty byla jen IP adresa, informace o zařízení a chování uživatele, ale ÚOOÚ na tuto argumentaci neslyšel. GDPR definuje osobní údaje velmi široce, Soudní dvůr EU i dozorové úřady z dalších států pojem osobního údaje také nezužují, a ani český úřad není výjimkou. Proto ta pokuta.