Přehled pokut udělených ÚOOÚ
Pročetli jsme všech devět zveřejněných rozhodnutí a příkazů Úřadu pro ochranu osobních údajů. Níže naleznete přehled čeho se pokuty týkaly a jaký byl v kostce postup Úřadu.
Zdroj: www.uoou.cz
Případ 1 | |
Porušení | Správce osobních údajů (škola) od roku 2017 do současnosti zveřejňuje prostřednictvím sociální sítě Facebook na svém profilu osobní údaje bývalé zaměstnankyně v rozsahu jméno, příjmení, titul a fotografie a to i přes opakovanou výzvu k jejich odstranění. |
Pokuta | 10.000 Kč |
Důvod zahájení řízení | Podnět na ÚOOÚ zaslala bývalá zaměstnankyně e-mailem poté, co 2x e-mailem požádala správce osobních údajů o odstranění svých osobních údajů z facebookových stránek. |
Průběh řízení | Úřad zaslal správci osobních údajů upozornění na porušení povinností při zpracování osobních údajů s poučením o neoprávněnosti zveřejní a příkazem na odstranění uvedených osobních údajů. Správce však nijak nereagoval. Následně byla správci zaslána datovou schránkou výzva k neprodlené nápravě protiprávního stavu. Opět bez reakce. Následoval telefonát s upozorněním, že byla zaslána datová zpráva, která nebyla vyzvednuta. K odstranění osobních údajů z facebookového profilu ani poté nedošlo. |
Případ 2 | |
Porušení | Správce osobních údajů klientů (autopůjčovna) neposkytl informaci o zpracování osobních údajů prostřednictvím GPS lokátorů, které byly umístěny v motorových vozidlech, jež pronajímal. Dále nebyly poskytnuty informace o správci osobních údajů, o účelech zpracování, době uložení osobních údajů, o dalších příjemcích a právním základu pro zpracování atd. |
Pokuta | 30.000 Kč |
Důvod zahájení řízení | Podnět na ÚOOÚ zaslal klient autopůjčovny poté, co upozorňoval na nedostatky na autě a zaměstnanec autopůjčovny mu následně udělil smluvní pokutu za překročení povolené rychlosti, přičemž při pronájmu vozidla nebyla nikde uvedena informace, že je vozidlo sledováno pomocí GPS. |
Průběh řízení | Byla provedena kontrola na místě na jejímž základě Úřad uvedl, že správce osobních údajů nesplnil informační povinnost stanovenou GDPR, neboť o zpracování údajů získaných prostřednictvím GPS lokátorů neinformoval zákazníky vůbec a ve vztahu k ostatním zpracováním (tj. zejména zpracování za účelem splnění smlouvy) informoval zcela nedostatečně. |
Případ 3 | |
Porušení | Správce osobních údajů osob zaregistrovaných na internetové adrese (provozovatel online hry) neuzavřel se zpracovatelem osobních údajů smlouvu o zpracování osobních údajů dle GDPR. Dále správce osobních údajů nezajistil osobní údaje hráčů (hráčské jméno, heslo, ID herního účtu, e-mailová adresa, IP adresa) provozované online hry, v důsledku čehož došlo ke zveřejnění těchto údajů na internetu po dobu cca 30 minut. |
Pokuta | 15.000 Kč |
Důvod zahájení řízení | Správce – provozovatel online hry zaslal Úřadu pro ochranu osobních údajů ohlášení porušení zabezpečení osobních údajů s tím, že následky úniku databáze jsou dost možná nulové. Dále správce uvedl, že se jednalo o zneužití ze strany programátora, který údajně data stáhl a poslal konkurenci s tím, že zveřejnění na internetu provedl neznámý pachatel. Správce údajně již podnikl kroky vedoucí k tomu, že se nic podobného nebude opakovat. Úřad dále obdržel podnět od fyzické osoby (provozovatele obdobné hry), která uvedla, že zveřejněnou databázi viděla, upozornila provozovatele, a že už údaje nejsou nikde k dispozici. |
Průběh řízení | V průběhu řízení bylo zjištěno, že do zpracování osobních údajů byl zapojen další zpracovatel, který data zálohoval na své soukromé cloudové úložiště, čímž došlo k řetězení zpracovatelů, avšak příslušné zpracovatelské smlouvy nebyly uzavřeny. Vše se dělo s plným vědomím správce osobních údajů. Dále měla být uzavřena zpracovatelská smlouva s programátorem v souladu s GDPR. Byla uzavřena pouze smlouva o dílo, která postrádala ustanovení, jež by bylo možno považovat za zpracovatelskou smlouvu. Neznámý pachatel zveřejnil data, jež získal ze zmíněného soukromého cloudového úložiště zpracovatele. Správce osobních údajů nepřijal taková opatření, aby nemohlo dojít k nahodilému či neoprávněnému přístupu k jím zpracovávaným osobním údajům. |
Případ 4 | |
Porušení | Správce osobních údajů klientů (zprostředkovatel spotřebitelského úvěru) nezajistil osobní údaje cca 300 klientů v rozsahu jméno, příjmení, rodné číslo, číslo OP, adresa bydliště, telefonní číslo a informace o úvěru. Kopie smluv o spotřebitelském úvěru byly volně uloženy v papírové krabici v prostorách společných garáží bytového domu po dobu minimálně 14 dnů a následně nalezeny v kontejneru. |
Pokuta | 30.000 Kč a náhrada nákladů řízení ve výši 1.000 Kč |
Důvod zahájení řízení | Správce osobních údajů zaslal Úřadu pro ochranu osobních údajů ohlášení porušení zabezpečení osobních údajů přibližně 80 klientů. ÚOOÚ obdržel také popis skutečností zjištěných Policí České republiky. |
Průběh řízení | Správce osobních údajů nedostatečně vyhodnotil rizika pro práva a svobody svých klientů, a ani nepřijal odpovídající bezpečnostní opatření k jejich ochraně, když ponechal krabici s dokumenty volně uloženou v prostorách společných garáží bytového domu, kde k nim měl přístup kdokoli z obyvatel domu. Následně byla krabice nalezena v kontejneru, kam ji odnesla neznámá osoba. Při stanovení sankce bylo přihlédnuto i k přitěžující okolnosti, že správce uvedl zavádějící informaci týkající se počtu odcizených dokumentů s osobními údaji. Ohlásil totiž ztrátu přibližně 80 smluv, ale ve skutečnosti krabice obsahovala smluvní dokumentaci více jak 300 klientů. |
Případ 5 | |
Porušení | Správce osobních údajů stěžovatelky neposkytl i přes její žádost žádné informace o zpracování jejích osobních údajů. |
Pokuta | 10.000 Kč |
Důvod zahájení řízení | Stěžovatelka zaslala Úřadu pro ochranu osobních údajů podnět, že správce osobních údajů nevymazal na její žádost její osobní údaje ze svých webových stránek a dále jí i přes její žádost neposkytl informace o zpracování jejích osobních údajů. |
Průběh řízení | Správci osobních údajů byla správním orgánem zaslána výzva k nápravě, tedy odstranění informací z webových stránek a poskytnutí stěžovatelce informace týkající se zpracování jejích osobních údajů. Osobní údaje byly z webových stránek odstraněny, avšak stěžovatelka žádné informace neobdržela. Následně byla správci osobních údajů odeslána výzva ke sdělení, jaké informace o zpracování osobních údajů byly stěžovatelce poskytnuty a k doložení tohoto sdělení. Správce však nereagoval. |
Případ 6 | |
Porušení | Správce osobních údajů stěžovatelů neposkytl i přes jejich žádost žádné informace o zpracování jejich osobních údajů. |
Pokuta | 20.000 Kč |
Důvod zahájení řízení | Stěžovatel 1 podal podnět Úřadu pro ochranu osobních údajů, jelikož byl správcem kontaktováni v rámci monitorovaného hovoru avšak na jeho opakovanou žádost neobdržel informace o zpracování svých osobních údajů (konkrétně o tom, kde byl získán telefonický kontakt). Stěžovatel 2 byl kontaktováni i poté, co zaslal správci žádost k výmazu osobních údajů. |
Průběh řízení | Správci byla zaslána výzva k neprodlené nápravě protiprávního stavu a to tím, že poskytne stěžovatelům požadované informace, což se nestalo. |
Případ 7 | |
Porušení | Zřizovatel odštěpného závodu, jakožto správce osobních údajů klientů, zpracovával při uzavírání smluv s klienty týkajících se poskytování úvěru v elektronické podobě za účelem uzavření a uchování smluvní dokumentace a zjednodušení tohoto procesu též biometrický podpis klientů, který nebyl nezbytný pro uzavření příslušné smlouvy ani pro její plnění. Dále uchovával veškeré záznamy telefonních hovorů s klienty, kteří s ním měli uzavřenou rámcovou smlouvu o poskytování bankovních produktů a služeb nebo smlouvu o úvěru, a to po celou dobu trvání smlouvy a dále po dobu dalších 10 let od splnění veškerých závazků klienta. |
Pokuta | 250.000 Kč a náhrada nákladů řízení ve výši 1.000 Kč |
Důvod zahájení řízení | Podkladem pro zahájení řízení je protokol o provedené kontrole odštěpného závodu podle zákona o kontrole a zákona o ochraně osobních údajů na základě kontrolního plánu Úřadu pro rok 2018. Kontrolovaným účastníkem byl odštěpný závod zahraniční banky, který jako takový nemá právní osobnost, proto je účastníkem řízení společnost, která je zřizovatelem tohoto odštěpného závodu (resp. společnost, která prostřednictvím něj podniká na území České republiky). |
Průběh řízení | Správce osobních údajů nedodržel základní zásadu minimalizace údajů, když shromažďoval a následně uchovával biometrické podpisy svých klientů a dále uchovával zvukové záznamy veškerých telefonních hovorů s klienty po dobu delší, než je nezbytné pro účely, pro které jsou zpracovávány, přičemž správce žádným způsobem nerozlišoval, zda během hovoru s klientem došlo k uskutečnění obchodu či se jednalo pouze o hovor informativního charakteru/poradenství. (Doklady o uskutečněných obchodech jsou banky a pobočky zahraničních bank povinny uschovávat po dobu nejméně 10 let.) |
Případ 8 | |
Porušení | Správce osobních údajů (poskytovatel bankovních služeb) použil osobní údaje subjektu údajů, která byla vedena jako statutární orgán klienta tohoto správce, k založení běžného účtu na jeho jméno, a to bez jeho vědomí. Osobní údaje byly protiprávně zpracovávány až do doby, kdy byl účet zrušen. Správce porušil zásadu zákonnosti, korektnosti a transparentnosti, použil osobní údaje pro nelegitimní účely a ve vztahu k založení a vedení běžného účtu nezajistil dostatečnou kontrolu dodržování vnitřních předpisů upravujících zabezpečení osobních údajů. |
Pokuta | 80.000 Kč |
Důvod zahájení řízení | Podkladem pro vydání příkazu je protokol o kontrole podle zákona o kontrole a GDPR. |
Průběh řízení | Zpracování osobních údajů za účelem založení běžného účtu nelze považovat za korektní ani zákonné, neboť subjekt údajů neuzavřel se správcem osobních údajů smlouvu o zřízení běžného účtu ani o jeho založení nevěděl. Správce osobní údaje zpracovával pro jiný účel, než k jakému byly použity, čímž porušil zásadu účelového omezení. Dále u správce chybí kontrola dodržování interních předpisů, tedy nebylo zajištěno dodržování zavedených technických a organizačních opatření vzhledem k tomu, že správce na existenci vedeného účtu přišel až na základě stížnosti subjektu údajů. Závažnost jednání je zvýšena skutečností, že protiprávní jednání trvalo delší dobu (cca 1 rok a 5 měsíců), a že obviněný je bankou, tedy profesionálem v oboru, kde dochází k rozsáhlému zpracování osobních údajů. |
Případ 9 | |
Porušení | Správce osobních údajů (obecně prospěšná společnost) neposkytl svému zaměstnanci i přes jeho e-mailovou žádost žádné informace o zpracování jeho osobních údajů. |
Pokuta | 5.000 Kč a náhrada nákladů řízení ve výši 1.000 Kč |
Důvod zahájení řízení | Podkladem pro zahájení řízení byly podněty stěžovatele doručené Úřadu. Stěžovatel od svého zaměstnavatele obdržel potvrzení o zdanitelných příjmech ze závislé činnosti plynoucích na základě dohod o provedení práce, v nichž bylo vyplněno chybné rodné číslo, nebyla vyplněna adresa bydliště a byly uvedeny další nepřesnosti. Stěžovatel žádal o opravu nepřesných a chybných údajů, jeho žádosti však nebylo vyhověno do termínu odevzdání daňového přiznání finančnímu úřadu. |
Průběh řízení | Úřad zaslal správci osobních údajů výzvu k uvedení operací do souladu s GDPR s tím, že pokud subjekt údajů uplatní své právo na opravu osobních údajů, pak je správce povinen opravit jeho osobní údaje bez zbytečného odkladu. Následně stěžovatel zaslal zaměstnavateli žádost o opravu svých osobních údajů a o vystavení opravených potvrzení, což se nestalo. Správní orgán tedy zaslal správci osobních údajů výzvu k neprodlené nápravě protiprávního stavu s tím, že správce měl správní orgán neprodleně informovat o provedené nápravě a tuto skutečnost doložit. Reakce se dostavila až po stanoveném termínu. |