GDPR rok poté a první pokuty

25. 5. 2019 uběhlo přesně 365 dní, co vstoupilo v účinnost obecné nařízení o ochraně osobních údajů (GDPR). Při této příležitosti zveřejnil Úřad pro ochranu osobních údajů (ÚOOÚ), který na dodržování evropských pravidel v Česku dohlíží, dokument, kde hodnotí výsledky své dozorčí činnosti. V rámci 38 již ukončených kontrol bylo zjištěno 16 případů porušení GDPR pravidel. V osmi případech úřad uložil za porušení pokuty, a to v celkové výši 370 000 Kč.

Nejnižší pokutu pět tisíc korun dostala nezisková organizace za zpracování nepřesných údajů a neposkytnutí přístupu ke zpracovávaným údajům.

Nejvyšší pokuta dosáhla 250 tisíc korun a byla udělena bance za to, že uchovávala osobní údaje, které již měla smazat, i po uplynutí lhůty pro jejich likvidaci. Další pokuty udělil úřad např. za nezabezpečení smluv s osobními údaji klientů, zveřejňování seznamu s osobními údaji na internetu, či únik databáze hráčů on-line hry.

Pokuty udělené českým Úřadem jsou ve srovnání se zahraničím (např. francouzský úřad udělil společnosti Google za porušení GDPR pokutu ve výši 50 milionů EUR) zatím spíše výchovné a není jich mnoho. Počet a výši pokut mohlo výrazně ovlivnit to, že až do konce dubna 2019 nebyl v ČR schválen adaptační zákon k GDPR, a úřad tak po většinu času pracoval v jistém „provizoriu“.

Teď, když je právní úprava konečně kompletní, budou sankce úřadu zcela jistě častější a citelnější.

Z plánu kontrol pro rok 2019 vyplývá, že ÚOOÚ se plánuje zaměřit např. na zpracování osobních údajů v aplikacích nebo informačních systémech využívaných zdravotnickými zařízeními (zejména zpracování osobních údajů při odebírání různých vzorků). V online prostředí má úřad v úmyslu zaměřovat se třeba na zpracování osobních údajů u společností, které vyvíjejí a provozují mobilní aplikace.

Zdroj: BNT journal