Rozhodovací praxe ÚOOÚ při ukládání sankcí za porušování GDPR

12. 11. 2020
4 minuty čtení

Úvod

Obecné nařízení o ochraně osobních údajů, tedy nařízení Evropského parlamentu a Rady (EU) 2016/679 (dále jako „GDPR”), s sebou přineslo ode dne nabytí účinnosti 25. 5. 2018 mnoho podstatných změn. Ať už jde o právo na výmaz osobních údajů subjektu (tzv. právo být zapomenut), úpravu cookies v zařízení uživatele nebo oznamovací povinnost pro zpracovatele osobních údajů v případě narušení bezpečnosti údajů, to vše způsobilo v členských státech EU na poli ochrany osobních údajů takřka revoluci.

GDPR však nepřineslo do právního prostředí EU pouze revoluční úpravu práva na ochranu osobních údajů, ale rovněž i možnost ukládat revoluční sankce za porušování nařízení, a to s ohledem na intenzitu zásahu do práva na ochranu osobních údajů až ve výši EUR 20 000 000 nebo až 4 % celkového ročního celosvětového obratu podniku. Pro srovnání uvádíme, že dříve mohl český dozorový úřad, tedy Úřad pro ochranu osobních údajů (dále jako ÚOOÚ” nebo „Úřad”), uložit pokutu za opravdu vážná porušení ochrany osobních údajů pouze v maximální výši 10 000 000 Kč.

Čl. 83 GDPR stanovuje dozorovým úřadům povinnost zajistit, aby ukládání pokut při porušení nařízení bylo v každém jednotlivém případě účinné, přiměřené a odrazující. Jaké pokuty vlastně ÚOOÚ v praxi ukládá, jsou v takto závratné výši a skutečně zmíněné požadavky splňují?

Rozhodovací praxe ÚOOÚ

ÚOOÚ coby ústřední správní orgán ze zákona vede mimo jiné i přestupková řízení u dodržování povinností při zpracování osobních údajů na území ČR a ode dne nabytí účinnosti GDPR vydal Úřad v této věci řadu rozhodnutí (viz tabulka).

Tabulka  - vybraná rozhodnutí ÚOOÚ ve věci GDPR, seřazeno sestupně dle data rozkladu

Při podrobnějším pohledu na sankce udělené ÚOOÚ tak lze poukázat na postupné, byť prozatím pozvolné navyšování udílených pokut. Jejich výše se však ani zdaleka neblíží horní hranici ve smyslu čl. 83 odst. 4 a 5 GDPR, v současné době se stále sankce pohybují v řádech maximálně stovek tisíců. Jestli se bude tato situace v budoucnu měnit a můžeme očekávat i mnohamilionové pokuty, na to si zřejmě budeme muset ještě počkat.

Některé další sankce ze strany ÚOOÚ

V poměrně nedávném rozhodnutí ÚOOÚ o rozkladu ze dne 14. 5. 2020 byla obviněnému potvrzena pokuta ve výši 1 500 000 Kč za spáchání přestupku dle ustanovení § 62 odst. 1 písm. d) zákona č. 110/2019 Sb., o zpracování osobních údajů, podle něhož obviněný nepřijal opatření k nápravě uložená rozhodnutím ÚOOÚ, neboť nezabezpečil dostatečnou ochranu osobních údajů svých nejméně 735 000 zákazníků.

Zajímavostí je, že takto vysoká pokuta byla udělena fyzické osobě. Ta byla jediným jednatelem společnosti v době kontroly a ÚOOÚ dospěl k závěru, že jako jednatel určuje účel a prostředky zpracování předmětných osobních údajů. Tím byly tedy naplněny zákonné definiční znaky správce osobních údajů, který odpovídá za soulad zpracování s pravidly pro zpracování osobních údajů. Takto vysokou pokutu Úřad udělil i přes to, že obviněný ve svých podáních namítal likvidační charakter uložené sankce a tvrdil, že je osobou nemajetnou bez jakýchkoliv příjmů.

ÚOOÚ se za porušení práva na ochranu osobních údajů v minulosti nezdráhal udělit pokuty dokonce ještě o něco vyšší. Obviněná společnost tehdy dle závěru Úřadu porušila povinnost přijmout taková opatření, aby nemohlo dojít k neoprávněnému nebo nahodilému přístupu k osobním údajům, k jejich změně, zničení či ztrátě, neoprávněným přenosům, k jejich jinému neoprávněnému zpracování a k jinému zneužití osobních údajů. Jinými slovy, zaměstnanec společnosti tehdy odcizil data přibližně 1 200 000 zákazníků, za což byla společnosti vyměřena pokuta ve výši 3 600 000 Kč.

Pokuta v rekordní výši 6 000 000 Kč byla také udělena společnosti zabývající se prodejem automobilů za opakovaná nevyžádaná zasílání obchodních sdělení, kdy autobazar zasílal bez předchozího prokazatelného souhlasu obchodní sdělení na statisíce e-mailových adres. O této doposud nejvyšší sankci za spam, kterou ÚOOÚ udělil obviněnému, jste se mohli dozvědět v našem posledním článku.

Co to může znamenat pro rozhodovací praxi Úřadu? I přesto, že v současné době ÚOOÚ pravidelně neuděluje vysoké pokuty za porušení GDPR, lze z praxe Úřadu  vyčíst, že je připraven vysoké pokuty ukládat a svůj přístup postupně zpřísňuje.

Rozhodovací praxe dozorových úřadů v jiných členských státech EU

Pojďme si ještě ve stručnosti rozebrat, jak si ve srovnání s ÚOOÚ vedou dozorové úřady ostatních členských států EU. Pro základní přehled si dovolím uvést několik případů:

  • ve Francii dozorový úřad uložil pokutu ve výši EUR 50 000 000 společnosti Google kvůli nedostatečnému informování subjektů údajů a neplatným souhlasům pro personalizaci reklam,
  • ve Velké Británii dozorový úřad uložil pokutu ve výši GBP 20 000 000 společnosti British Airways kvůli nedostatečné ochraně osobních a finančních údajů o zákaznících,
  • v Německu dozorový úřad uložil pokutu ve výši EUR 35 300 000 společnosti H&M za neoprávněné zpracovávání osobních údajů vlastních zaměstnanců,
  • ve Španělsku dozorový úřad uložil pokutu ve výši EUR 250 000 fotbalové La Liga za nedostatečné informování o záznamových funkcích její oficiální mobilní aplikace,
  • v Belgii dozorový úřad uložil pokutu ve výši EUR 600 000 společnosti Google za neodstranění internetových odkazů, které mohou poškodit jednotlivce.

Z uvedeného vyplývá, že rozhodovací praxe dozorových úřadů v jiných státech EU je v současné době mnohem tvrdší než u nás, vyměřené pokuty dosahují mnohonásobné výše a mnohdy se až skutečně blíží horní hranici dle čl. 83 odst. 4 a 5 GDPR. Je ale samozřejmě vhodné podotknout, že se jedná o společnosti podstatně větší než ty, které doposud obdržely pokuty v rámci České republiky, nicméně ÚOOÚ má v oblasti správního trestání na své zahraniční kolegy co dohánět.

Závěr

Z rozhodnutí ÚOOÚ tedy vyplývá, že i přes poněkud shovívavější přístup Úřadu ve srovnání s mnohem přísnějšími dozorovými úřady v jiných členských státech EU, si lze všimnout postupného navyšování pokut. Je tedy na místě v budoucnu očekávat jejich další zvyšování. Ostatně i při porušení jiných povinností, než jsou ty vyplývající přímo z GDPR, se Úřad ve své rozhodovací praxi nezdráhá uložit mnohem vyšší pokuty.

Současně je vhodné poznamenat, že ÚOOÚ zpočátku ponechával správcům určitou dobu k implementaci všech požadavků GDPR a postupoval celkově benevolentněji. Takový postup však do budoucna již zřejmě očekávat nemůžeme. Ve srovnání s jinými členskými státy jsou tedy sankce sice prozatím nižší, rozhodně ale doporučujeme na tuto skutečnost nespoléhat, a naopak povinnosti plynoucí z GDPR a jiných předpisů na ochranu osobních údajů nezanedbávat a připravit se na přísnější postup ÚOOÚ, neboť v průběhu příštích let se zřejmě budou ukládané sankce zvyšovat.

Tabulka byla vytvořena právní asistentkou Michaelou Hálovou.

(Photo by Markus Winkler on UNSPLASH)


Autor článku:
Šimon Bruckner

Šimon Bruckner pracoval v Cisek na pozici právního asistenta.