Informace pro zajímavost (z oblasti GDPR)

SMS s aplikací eRouška

  • V říjnu 2020 dostali tři největší operátoři v České republice pokyn od hygieničky Jarmily Rážové k rozeslání sedmi milionů SMS zpráv obsahující informaci ke stažení aplikace eRouška. Podle expertů na kyberbezpečnost je však zvolená forma zaslaného sdělení vysoce riziková, neboť hrozí možné zneužití hackery. Důvodem je skutečnost, že uvedená webová stránka na stažení aplikace není dostatečně zabezpečena protokolem HTTPS a je tedy velice snadné odkaz přesměrovat na nebezpečné servery.
  • O2 zároveň sledoval, kdo z příjemců SMS na odkaz ve zprávě klikl, avšak účel tohoto sběru dat nevysvětlil.

Osobní údaje zveřejněné v Centrálním registru dlužníků České republiky (CERD)

  • Úřad pro ochranu osobních údajů provedl v r. 2018 kontrolu Centrálního registru dlužníků České republiky (CERD) a v r. 2019 zahájil řízení o sankci za nepřijetí opatření k nápravě. Správce osobních údajů systému CERD uložená opatření neprovedl, a proto se ÚOOÚ obrátil na poskytovatele služeb pro systém CERD, díky kterému se podařilo znepřístupnit web CERDu. Správce osobních údajů systému CERD si ale zajistil nového poskytovatele služeb – indickou společnost, která IP adresy pro registr hostuje na území Ruské federativní republiky.
  • ÚOOÚ tedy přišel o možnost ovlivnit stažení nebo znepřístupnění protiprávního obsahu registru. Správce osobních údajů registru nyní s odkazem na svobodu shromažďování informací čeká na zrušení rozhodnutí ÚOOÚ.
  • Provozovatel CERDu k tomu na webu napsal: „Transparentní protikorupční linka je pozastavena do doby zrušení Úřadu na ochranu osobních údajů. ÚOOÚ podalo opakovanou námitku proti zveřejnění příspěvků třetích stran ve formě veřejného fóra, kde se přispěvatelé snaží poukázat na podezření překračující zákon. Z důvodu možných budoucích sankcí za umožněné zveřejnění příspěvků doplněné poučením o možné irelevantnosti příspěvků je zveřejňování oznámení zastaveno. ÚOOÚ svým právním výkladem znemožnilo do budoucna zpětnou veřejnou kontrolu v rámci prověřování protikorupčních oznámení. Protikorupční systém je založen na legislativě USA, která nebrání přístupu k informacím a šíření svobodného názoru… Zveřejněné údaje nespadají do jurisdikce České publiky, neboť jsou data primárně uložena mimo území ČR a nejsou z důvodu ochrany vkladatele spojeny s českým rezidentem či provozovatelem.“
  • Poznámka: CERD není součástí žádného zákonného registru, potvrzení registru banky nepřijímají a sám registr upozorňuje, že za data neručí. Registrem dlužníků v ČR je Solus a další bankovní i nebankovní firmy, stát provozuje insolvenční rejstřík a Exekutorská komora vede ze zákona Centrální evidenci exekucí.

Pokuta pro British Airways za únik dat

  • Britský úřad na ochranu osobních údajů udělil pokutu ve výši 20.000.000 liber (cca 600 mil. Kč) letecké společnosti British Airways, která v roce 2018 dostatečně neochránila osobní a finanční údaje více jak 400 tisíc zákazníků. Důvodem výše této pokuty je skutečnost, že společnost sama útok nezaznamenala a byla na něj upozorněna až dva měsíce poté třetí stranou.

Pokuta pro společnost H&M

  • Na podzim byla udělena dosud nevyšší pokuta ve výši 35,3 mil EUR (cca 950 mil. Kč) a to společnosti Hennes & Mauritz (H&M). Pokutu udělil německý dozorový úřad za zásadní porušení pravidel ochrany osobních údajů, kdy společnost záměrně sledovala soukromí stovek zaměstnanců servisního centra. Jednalo se o jejich intenzivní monitorování s cílem analyzovat osobní a rodinné poměry, zdravotný stav či jejich náboženské nebo filozofické přesvědčení. Zjištěné údaje pak společnost využívala například při rozhodování o ukončení pracovního poměru nebo dalších pracovněprávních změnách.

EU vyšetřuje aplikaci Instagram

  • Irská Komise na ochranu dat zahájila vyšetřování proti sociální platformě Instagram, která je součástí společnosti Facebook. Důvodem je podezření, kdy Instagram porušuje GDPR nedostatečným zabezpečením dat, primárně dat dětí a mladistvých. V případě, že regulační orgány zjistí porušení může být uložena pokuta přesahující i 20 milionů EUR (cca 545 mil. Kč).

Zjištěná porušení ochrany osobních údajů

  • Statutární město bylo uznáno vinným ze spáchání přestupku, když omylem odeslalo datovou schránkou seznam 10 112 dlužníků určený pro Finanční úřad neoprávněné osobě jisté společnosti.
  • Statutární město předalo osobní údaje 150 členů Společenství vlastníků domů nájemci nebytových prostor u tohoto společenství za účelem získání souhlasu členů se změnou užívání jím pronajatých prostor.
  • Univerzita v rámci přijímacího řízení zpracovávala rodné číslo pro účel přihlášení uchazeče o studium do informačního systému a dále nestanovila jednoznačný účel a právní základ pro zpracování osobních údajů v rozsahu občanství, místo narození, informace, odkud se uchazeč hlásí a soukromý e-mail.

Nejvyšší pokuta ÚOOÚ

  • V září udělil ÚOOÚ doposud nejvyšší pokutu 6 mil. Kč společnosti, která se zabývá prodejem ojetých automobilů. Důvodem bylo opakované rozesílání nevyžádaných obchodních sdělení. Emaily byly doručovány půl milionu adres a to i osobám, které k tomu neudělily souhlas. Nevyžádanými sděleními společnost porušila zákon č. 480/2004 Sb., o některých službách informační společnosti.

Sankce za kybernetické útoky

  • Na konci července 2020 Evropská unie poprvé uvalila sankce za kybernetické útoky, a to za útok namířený proti Organizaci pro zákaz chemických zbraní (OPCW) a útoky známé pod označením WannaCry, NotPetya a Operation Cloud Hopper.
  • Postiženo má být celkem šest osob a tři subjekty pocházející z Ruska, Severní Koreje a Číny. Omezující opatření zahrnují zákaz cestování a zmrazení majetku. Osoby a subjekty z EU kromě toho nesmí osobám a subjektům zařazeným na sankční seznam zpřístupňovat finanční prostředky.

Pokuta pro Google za porušení práva být zapomenut

  • Belgický dozorový úřad udělil společnosti Google pokutu ve výši 600.000 EUR (cca 16 mil. Kč) za nedostatečnou aplikaci práva být zapomenut, tj. práva na odstranění odkazů z výsledků vyhledávání. Konkrétně se jednalo o neodstranění internetových odkazů, které mohou poškodit jistého veřejně činného jednotlivce, z výsledků internetového vyhledávání na standardní vyhledávací dotaz. Společnost Google s rozhodnutím belgického dozorového úřadu nesouhlasí a bude se proti němu dále bránit.

Pokuta pro Twitter za nekalé nakládání se soubory cookies

  • Španělský dozorový úřad udělil pokutu ve výši 30.000 EUR (cca 800 tis. Kč) společnosti Twitter za chybné získávání souhlasů s ukládáním souborů cookies. Společnost se provinila tím, že ihned po vstupu uživatele na webové stránky nainstalovala do přístupového zařízení soubory cookies, které však nebyly pro správné fungování Twitteru potřebné. Další výtka dozorového úřadu se týkala vyskakujícího banneru, který bez možnosti volby rovnou uvádí, že využíváním služeb Twitteru návštěvník automaticky souhlasí s pravidly společnosti pro zpracování souborů cookies.

Únik osobních údajů uživatelů Moje eZdravie

  • Na Slovensku mohlo dojít k úniku osobních údajů až 390 tisíc uživatelů aplikace Moje eZdravie, kteří byli testování na přítomnost viru v souvislosti s Covid-19. Aplikace, která obsahuje formulář, pomocí kterého je možné požádat o vyšetření, je provozována státní příspěvkovou organizací Národné centrum zdravotníckych informácií (NCZI).
  • NCZI použilo při vytváření aplikace nezabezpečené rozhraní, do kterého mohl kdokoliv vstoupit a zároveň nebylo zajištěno šifrování dat. Bezpečnostní společnost tedy získala veškeré osobní údaje testovaných osob – jméno, datum narození, adresu, klinické příznaky, informace o odběru s výsledkem testu.

Příklady porušení ochrany osobních údajů vyplývající z kontrol provedených ÚOOÚ v 1. pololetí roku 2020

Níže je uvedeno shrnutí stěžejních chyb v oblasti ochrany osobních údajů identifikovaných v rámci kontrol provedených ÚOOÚ v 1. pololetí roku 2020:

  • Veřejná vysoká škola vyžadovala při přihlašování uchazečů ke studiu nadbytečné údaje, bez jejichž vyplnění nebylo možné elektronickou přihlášku do přijímacího řízení na vysokou školu odeslat. Pro přihlášení do informačního systému, v němž byla elektronická přihláška ke studiu vyplňována a podávána, bylo nezákonně vyžadováno rodné číslo v kombinaci s iniciálami jména a příjmení uchazeče.
  • V rámci exekutorského úřadu bylo zjištěno pochybení zaměstnance při doručování zprávy do datové schránky jiné osoby. Zaměstnanci, který porušil správcem stanovený pracovní postup, byla chyba vytknuta a byla přijata příslušná opatření k eliminaci selhání lidského faktoru.
  • ÚOOÚ udělil několika obchodním společnostem pořádkovou pokutu (ve výši 25 – 300 tis. Kč) za neposkytnutí součinnosti při realizaci kontroly dodržování ochrany osobních údajů (kontroly provedené z důvodu podezření na neoprávněné předávání osobních údajů v rámci nákupu na e-shopu, nezákonného rozesílání nevyžádaných obchodních sdělení atd.).
  • Organizace měla nesprávně nastaven postup pro udělení souhlasu s cookies na svých webových stránkách − souhlas se zpracováním osobních údajů nebyl právoplatně udělen, protože ukládání informací v koncovém zařízení uživatele internetových stránek prostřednictvím souborů cookies bylo povoleno předem zaškrtnutým políčkem, jehož zaškrtnutí by musel uživatel k odmítnutí svého souhlasu zrušit.
  • Společnost zaměřená na půjčování sportovního vybavení nezákonně kopírovala občanské průkazy klientů − společnost neměla řádně udělený souhlas pro zpracování osobních údajů a klienti nebyli dostatečně informováni, proč jsou jejich doklady kopírovány a jak bude s jejich osobními údaji nakládáno.
  • Společnost pochybila při formulaci souhlasu zaměstnanců se zpracováním osobních a biometrických údajů za účelem provozování docházkového systému s technologií umožňující rozpoznání otisků prstů, a sledování zaměstnanců prostřednictvím kamerového systému, při práci s počítačem a pomocí GPS umístěných ve služebních vozech. Udělený souhlas nesplňoval zákonné požadavky, neboť informace a poučení subjektu údajů o účelu, způsobech a době zpracování biometrického údaje (otisku prstu) nebyly zcela jednoznačně formulovány / nebyly transparentní.
  • Obchodní společnost nezákonně rozesílala nevyžádaná obchodní sdělení elektronickými prostředky, která obsahovala nabídky zboží a služeb různých internetových obchodů a rovněž vybízela k návštěvě internetových stránek určených k přímé podpoře nabízeného zboží a služeb.
  • Společnost nezákonně zpracovávala osobní údaje za účelem uskutečňování nevyžádaných telefonických marketingových hovorů. Společnost pochybila i při zpracování osobních údajů klientů, kteří projevili souhlas se zpracováním pouze ústně – telefonicky, protože projevený souhlas nebyl nikterak zaznamenán či archivován.

Zneužití dat uživatelů antivirové ochrany Avast

  • Česká antivirová společnost Avast Software s.r.o. obchodovala s daty, která získává o svých klientech. Americké magazíny Vice a PCMag jako první popsaly, jak Avast prodává data o vyhledávání stovek milionů svých klientů po celém světě globálním společnostem jako Google, Microsoft, Pepsi nebo Tripadvisor.
  • Společnost Avast Software s.r.o. měla prostřednictvím své dceřiné společnosti Jumpshot prodávat data o aktivitách uživatelů antivirové ochrany. Jumpshot nabízela klientům různé balíky dat vč. takzvaného „All Clicks Feed“, který do detailu sleduje chování uživatele, jeho kliky, pohyb mezi weby i na jednotlivých stránkách. Někteří odběratelé podle získaných smluv platili za data částky v milionech dolarů.
  • Na základě zveřejněných informací popisujících praktiky společnosti Avast Software s.r.o. zahájil ÚOOÚ prošetření případu. Výrobce antivirů Avast – dle vyjádření vedení společnosti − přestane prodávat veškerá data, která získal od svých zákazníků, nabízet nebude ani anonymizované údaje a zavře dceřinou společnost Jumpshot sídlící v San Franciscu.

Zneužití dat z Katastrálního úřadu firmou Nexter Company

  • Společnost Nexter Company na svém webu Atlas cen zveřejnila data o 70 tisících nemovitostí prodaných v loňském roce, včetně ceny, za kterou byly prodány, kontaktů na majitele a fotek z původních inzerátů. Všechny tyto údaje, jež firma získala od Katastrálního úřadu a zaplatila za ně celkem 380 250 Kč, byly na webových stránkách přístupné bezplatně a bez nutnosti registrace. Společnost informace získané z Katastru nemovitostí tedy nevyužila pouze pro vlastní účely, ale šířila je i dál.
  • Podle ÚOOÚ jde o největší zneužití cenových údajů z Katastru nemovitostí. Společnost se brání, že zveřejnění informací nebylo v rozporu s katastrálním zákonem, nicméně ze své webové stránky nejdříve odstranila fotky nemovitostí a nyní celý web reviduje.

Pochybení při zpracování osobních údajů politickými stranami

  • V rámci kontrol provedených v roce 2019 ÚOOÚ prověřoval dvě politické strany – SPD a TOP 09, a to kvůli zpracování osobních dat jejich členů, příznivců a dárců.
  • Porušení pravidel odhalil ÚOOÚ především u hnutí SPD. Hnutí zpracovávalo osobní údaje o svých dárcích v rozsahu, který nebyl nezbytně nutný (nadbytečně o dva roky prodloužilo lhůtu, v níž se uchovávaly data dárců). Hnutí mělo podle výsledků kontroly ÚOOÚ také nepřiměřeně dlouhou lhůtu pro vymazání osobních údajů nepřijatých zájemců o členství.
  • Strana TOP 09 porušila ustanovení GDPR o vedení záznamů zpracování osobních údajů. Záznamy neobsahovaly všechny požadované náležitosti, např. zájemce o zasílání newsletteru strany. Strana toto pochybění neprodleně napravila.

Telefony Xiaomi odesílají data o svých uživatelích do Číny

  • Rumunský softwarový inženýr Gabriel Cîrlig při testování telefonů čínské značky Xiaomi zjistil, že tato zařízení sledují aktivitu svých uživatelů a data následně odesílají na čínský server, který vlastní společnost Alibaba. Firma Xiaomi nepopírá, že data sbírá a odesílá, ale tvrdí, že se tomu děje pouze v anonymizované podobě. Toto tvrzení Gabriel Cîrlig odmítá, podle něj je možné informace na serveru snadno propojit s konkrétními osobami. V reakci na toto zjištění firma Xiaomi slíbila, že do příští aktualizace svého webového prohlížeče zahrne možnost sběru dat vypnout.
  • V České republice používá telefony značky Xiaomi např. Úřad vlády, policie a některá zdravotnická zařízení, pro nadcházející sčítání lidu je nakoupil i Český statistický úřad.
  • Kromě mobilních telefonů Xiaomi představují nebezpečí i softwarové produkty od této firmy, např. webové prohlížeče Mi Browser Pro a Mint Browser.

Pokuta pro MV ČR za uchovávání DNA profilů

  • Ministerstvo vnitra ČR neuspělo s kasační stížností proti pokutě 240.000,- Kč od ÚOOÚ. Nejvyšší správní soud potvrdil loňské stanovisko Městského soudu v Praze. Důvodem pokuty bylo nadbytečné uchovávání DNA profilů lidí, kteří nebyli pravomocně odsouzeni, příp. se dopustili činů s nízkou závažností a společenskou škodlivostí, třeba maření výkonu úředního rozhodnutí.
  • Podle ÚOOÚ nelze úmyslné spáchání trestného činu akceptovat jako výhradní kritérium pro další zpracování citlivých údajů. Postačí jen pro sběr dat, při jejich dalším uchování je ale nutné zohlednit i kriminální minulost a další okolnosti.

Kybernetický útok na brněnskou fakultní nemocnici v Bohunicích a dětskou nemocnici a porodnici na Obilním trhu

  • V první polovině března 2020 byly brněnská fakultní nemocnice v Bohunicích a dětská nemocnice a porodnice na Obilním trhu napadeny virem, který ochromil jejich počítačové systémy, omezil fungování nemocnice, omezil přístup k databázím a webovým stránkám nemocnice, došlo i k výpadku telefonních linek. Případ vy­šetřují odborníci z Národního úřadu pro kybernetickou a informační bezpečnost.

Shrnutí činností ÚOOÚ za rok 2019

  • Úřad pro ochranu osobních údajů ve své Výroční zprávě za rok 2019 uvádí počty poskytnutých konzultací, řešených dotazů, podnětů a stížností a provedených kontrol.
  • ÚOOÚ obdržel v roce 2019 celkem 1 836 dotazů a poskytl 2 667 konzultací přes GDPR telefonní linku.
  • ÚOOÚ přijal 2 482 podnětů a stížností směřujících proti postupu správců osobních údajů, z toho bylo 560 vyřízeno upozorněním správce na možné porušení a 145 předáno ke kontrole nebo jinému řízení. Většina podnětů a stížností se týkala zejména zpracování osobních údajů pro marketingové účely, nerespektování práv subjektů údajů ze strany správců (např. práva na přístup k osobním údajům), neplnění nebo nedostatečné plnění správcovy informační povinnosti o zpracování osobních údajů, zpracování osobních údajů s podvodným úmyslem (vymáhání plateb po registraci na webovém portále nebo e-shopu, vymáhání pokut za porušení obchodních podmínek), zveřejnění adresních údajů žadatelů při zveřejnění poskytnuté informace podle zákona č. 106/1999 Sb., o svobodném přístupu k informacím, zveřejnění neanonymizovaných záznamů (případně zápisů) z jednání Zastupitelstva obce nebo Rady města na internetu, provozování kamer atd.
  • ÚOOÚ přijal 416 ohlášení porušení zabezpečení osobních údajů ve smyslu čl. 33 Nařízení GDPR – nejvíce ohlášení se týkalo kybernetického incidentu, který zasáhl i zpracovávané osobní údaje (zejména se jednalo o napadení škodlivým programem, tzv. ransomwarem), dálo se jednalo o jednorázové nedbalostní pochybení zaměstnanců správců spočívající např. v mylném zaslání osobních údajů jiným než zamýšleným adresátům, zaslání e-mailové komunikace adresátům v „neskrytých kopiích“, ztrátě zařízení obsahujícím osobní údaje, ztrátě nebo odcizení osobních údajů v listinné podobě.
  • ÚOOÚ zahájil 63 kontrol a ukončil jich 75 (z toho 32 kontrol bylo z předchozích let) − kontroly byly úřadem zahájeny jak z poznatků ze stížnostní agendy, tak na základě vypracovaného kontrolního plánu pro rok 2019. Bylo uloženo 19 opatření k nápravě a 4 pokuty za neposkytnutí součinnosti v kontrole.
  • ÚOOÚ obdržel 2 007 podnětů k problematice obchodních sdělení podle zákona č. 480/2004 Sb., o některých službách informační společnosti. Úřad zahájil 5 kontrol a ukončil jich 17 (z toho 13 kontrol bylo z předchozích let). Bez zahájení kontroly upozorněním subjektu na možné porušení povinností bylo vyřízeno 390 podnětů. Úřad vedl s 28 subjekty správní řízení, jehož výsledkem bylo uložení sankce.

Shrnutí stěžejních zajímavostí a identifikovaných chyb v oblasti ochrany osobních údajů z roku 2019:

  • Městskému úřadu byla udělena pokuta v souvislosti s pochybením při vydávání parkovacích karet městem. Na parkovacích kartách byly uvedeny nadbytečné osobní údaje – jméno, příjmení a trvalé bydliště.
  • V rámci městského úřadu bylo zjištěno pochybení zaměstnance při doručování zprávy do datové schránky jiné osoby. Vzhledem ale k tomu, že městský úřad neprokázal, že by byl zaměstnanec řádně poučen o svých povinnostech v oblasti ochrany osobních údajů, nesl odpovědnost za zpřístupnění osobních údajů doručením zásilky do datové schránky jiné osoby městský úřad.
  • Zaměstnanec organizace nezabezpečil listiny s osobními údaji jejich ponecháním ve vozidle. Obviněný poukazoval na uzamčení vozidla, zaparkování vozidla ve frekventované části města, vědomost o kamerovém systému města. Podle rozhodnutí ÚOOÚ se nejedná o vynaložení veškerého úsilí, které bylo možno požadovat – vozidlo není běžným místem pro uložení dokumentů s osobními údaji.
  • Zaměstnavatel organizace neoprávněně nadbytečně uchovával kopie dokladů svých zaměstnanců. Kontrola v personálních spisech našla kopie průkazů zdravotního pojištění, výpisy z evidence Rejstříku trestů, karty s čísly bankovních účtů i skenované fotografie a rodné listy dětí zaměstnanců.
  • Finančnímu úřadu byla udělena pokuta za doručení dokumentů osobě bez datové schránky do datové schránky jiného daňového subjektu. K záměně došlo z důvodu shody jména, příjmení a data narození u dvou daňových subjektů.
  • V informačním systému Vězeňské služby došlo k nedostatečnému zabezpečení osobních údajů (v rámci přístupových oprávnění zaměstnanců) – k fotografiím jednotlivých vězňů měl přístup každý zaměstnanec, který je povinen pracovat s daty vězněných osob. Nahlížení bylo regulováno interním předpisem, což není dostatečné opatření v případě, kdy přístup není nezbytný k výkonu práce. Pouhé vymezení povinností, zákazů a oprávnění při práci s informačním systémem ve vnitřním předpise nelze považovat za veškeré možné úsilí, které mohl účastník řízení vynaložit k tomu, aby zabránil neoprávněnému přístupu k osobním údajům.
  • Česká školní inspekce nezabezpečila testovací aplikaci InspIS – bylo tak možné se za určitých okolností dostat k desítkám tisíc jmen a příjmení žáků a také k informaci, zda mají nějaké zdravotní znevýhodnění. Podle vyjádření ČSI se jednalo o technickou chybu při úpravách systému InspIS, kterou následná kontrola neodhalila. Po zjištění chyby byla data okamžitě zablokována a chyba byla odstraněna.
  • Výzva k zaplacení pokuty od pražského magistrátu za spáchání dopravního přestupku byla rozeslána nesprávným adresátům – jednalo se přibližně o 2.500 nesprávně rozeslaných výzev.
  • Za účelem předcházení šikany, ochrany majetku školy, ochrany zdraví zaměstnanců a žáků provozovalo školské zařízení kamerový systém se záznamem, který byl nainstalovaný ve všech veřejných prostorách školy (vč. jednotlivých učeben). Kamerový systém byl provozovaný nepřetržitě, a to bez souhlasu subjektů údajů se zpracováním osobních údajů.
  • Školské zařízení neoprávněně zpřístupnilo osobní údaje studentů v souvislosti se zahájením správního řízení o vyloučení studenta ze školy a šetřením rozporných tvrzení účastníků incidentu za účelem získání svědectví dalších osob. Škola zaslala žákům elektronickou poštou výzvu k vyjádření, která obsahovala popis incidentu a identifikaci osob, které se jej měly zúčastnit, a to bez souhlasu dotčených studentů.
  • Mateřská škola provozovala elektronický vstupní systém založený na systematickém snímání a zpracování otisků (biometrický údaj) a při tom nedisponovala souhlasem ke zpracování předmětných osobních údajů.
  • Mateřská škola zveřejnila na nástěnce v budově školky seznam dětí, které měly nedoplatky za předškolní vzdělávání a stravné, a seznam dětí, které se nedostavily k zápisu k předškolnímu vzdělávání (porušení § 5 odst. 2 zákona č. 101/2000 Sb.). Mateřská škola tedy zpřístupnila osobní údaje dětí i třetím osobám, tj. nepřijala taková opatření, aby nemohlo dojít k neoprávněnému nebo nahodilému přístupu k osobním údajům, k jejich změně, zničení či ztrátě, neoprávněným přenosům, k jejich jinému neoprávněnému zpracování, jakož i k jinému zneužití osobních údajů.
  • Soukromé společnosti využívali údajů z Katastru nemovitostí k nabídce obchodu a služeb, i přesto, že údaje z Katastru nemovitostí nelze využívat k jinému než zákonem stanovenému účelu.
  • Společnosti byla udělena pokuta za zaslání dopisů seniorům, kteří čerpali některé ze sociálních služeb, s nabídkou, že jim daná společnost bude doživotně poskytovat sociální služby, pokud na ni převedou vlastnické právo k nemovité věci (osobní údaje seniorů společnost shromažďovala z Katastru nemovitostí a dále je zpracovávala pro své obchodní účely).
  • Klient banky zapříčinil neoprávněné zasílání e-mailových zpráv (předávání bankovních informací mezi bankou a klientem) na adresu třetí osoby, když při uzavření smlouvy uvedl nesprávně svou e-mailovou adresu, přičemž tato e-mailová adresa patřila jiné osobě, která nebyla klientem banky. Třetí osoba, poté co obdržela několik e-mailů, na chybu upozornila banku, ovšem ta toto upozornění nesprávně vyhodnotila jako reklamaci služeb a k nápravě chyby došlo až na základě kontroly ÚOOÚ.
  • I přes přijetí a realizaci dostatečně technicko-organizačních opatření k zajištění bezpečnosti zpracovávaných osobních údajů došlo v rámci zdravotnického zařízení k zaslání elektronické zprávy obsahující osobní údaje potencionálního klienta na e-mailovou adresu jiného klienta. Předmětný incident tedy nebyl způsoben absencí či nedostatečností opatření na straně zdravotnického zařízení, ale pochybením na straně zaměstnankyně (zaměstnankyně i přes zákaz zdravotnického zařízení vyřizovala dvě věci souběžně a v důsledku toho si otevřela dvě okna aplikace Outlook).
  • Odborníci na kyberbezpečnost ze společnosti SODAT analyzovali soubory na Ulož.to a zjistili, že mnohé z nich obsahují firemní přístupová hesla, pracovní smlouvy nebo rodná čísla. Tyto informace přitom na úložiště nahrávají sami zaměstnanci za účelem zálohování a sdílení.
  • Některé aplikace v iPhonech nahrávají data uživatelů – aplikace bez souhlasu a vědomí uživatelů nahrává displej telefonu a ukládá úkony, které na telefonu v rámci dané aplikace člověk provádí (telefon tak zaznamenává např. i hesla, čísla kreditní karty nebo cestovního pasu). Umožňuje to technologie session replay, která pořizuje screenshoty a následně je odesílá vývojářům z důvodu odhalení chyb a nefunkčních prvků v aplikaci (tímto postupem lze samozřejmě studovat i chování zákazníka). Problematické je pak především nedostatečné zabezpečení údajů, u nichž hrozí zneužití v případě, že se při odesílání nevyužije šifrování. Odesílání nezašifrovaných osobních údajů se netýká všech aplikací, ale problematické zůstává především to, že aplikace uživatele neinformují o tom, že jsou jejich činnosti nahrávány a odesílány vývojářům.

  • ÚOOÚ zveřejnil přehled o počtu a výši pravomocně udělených pokut za porušení GDPR od začátku jeho účinnosti. K listopadu 2019 bylo uděleno celkem 105 pokut v souhrnné výši 7.467.000,- Kč, z nichž nejvyšší pokuta je 250.000,- Kč. V rámci provedených kontrol ÚOOÚ zjistil, že většina společností / organizací neví, co je balanční test (test proporcionality) nebo nedodržují dostatečná technicko-organizační opatření při zpracování osobních údajů.
  • V Kosmonosech u Mladé Boleslavi byla v popelnici na tříděný odpad nalezena zdravotnická dokumentace – 50 složek obsahujících kompletní zdravotnické karty vč. jména, rodného čísla, adresy a diagnózy pacienta (zprávy lékařů s různou datací). Případem úniku osobních údajů se zabývá Policie ČR. Podle expertů by mohly být údaje ze zdravotních zpráv zneužitelné – tyto údaje patří do zvláštní kategorie osobních údajů, tj. jedná se o údaje, při kterých by měla být zvýšená míra zabezpečení při zpracování. V krajním případě by vyhození zdravotnických záznamů do popelnice mohlo být kvalifikované jako neoprávněné nakládání s osobními údaji, za které hrozí až pětiletý trest.
  • V prosinci 2019 napadl nemocnici v Benešově počítačový virus. Podle dosavadních informací se předpokládá, že se jednalo o specifický vir původem z Ruska zvaný Ryuk, který byl identifikován i v případě kybernetického útoku na doly OKD. Tento vir cílí na instituce a firmy pracující s citlivými daty. Vir neútočí okamžitě, ale nejdříve vše v počítači zanalyzuje – vir bez vědomí uživatele v počítači důkladně prozkoumá všechna data a dokumenty, a dokonce je schopen vypnout i antivirové programy. Když vše důkladně zanalyzuje, počítač zašifruje. Tato šifra je dostupnými technologiemi v podstatě neprolomitelná, klíč k ní totiž vlastní pouze ruská kriminální skupina, která Ryuk vytvořila. V některých případech pak skupina stojící za virem Ryuk s napadenou institucí vyjednává o ceně výkupného. Středočeský kraj (zřizovatel benešovské nemocnice) oznámil, že nemocnice nepřišla o velké množství dat. Incident řeší kraj jak s ÚOOÚ, tak i s NÚKIB. Obnova systémů v benešovské nemocnici zatím stála 40 mil. Kč (částka ještě není konečná). Skupina ruských hackerů virem Ryuk útočila v minulosti i v zahraničí, napadla např. americká vydavatelství novin, školy, ale i úřady na Floridě a ve Španělsku.
  • Úřad pro ochranu osobních údajů udělil v průběhu prvního roku účinnosti Nařízení GDPR osm pokut v celkové částce 370.000,- Kč (nejvyšší pokuta byla udělena bance a to ve výši 250.000,- Kč). Mezi nejčastější prohřešky patří nedobrovolné získávání souhlasu se zpracováním osobních údajů, nedostatečné zabezpečení dokumentace obsahující osobní údaje subjektů údajů a zveřejňování seznamu s osobními údaji na internetu.
  • ÚOOÚ při určování výše pokut za porušení GDPR zohledňuje konkrétní okolnosti případu – zohledňuje zejména počet dotčených subjektů údajů; délku trvání porušení; zda a jak správce reaguje na výzvy subjektu údajů a ÚOOÚ a jak s ním spolupracuje během kontroly.
  • Předmětem kontrolního plánu ÚOOÚ pro rok 2019 jsou následující obory, resp. typy správců:
    • zpracování související s rozvojem digitalizace služeb, které občanům poskytují orgány veřejné správy;
    • zpracování osobních údajů při používání cookies;
    • zabezpečení osobních údajů u zpracovatele osobních údajů;
    • zpracování osobních údajů společností vyvíjející a provozující mobilní aplikace;
    • zpracování osobních údajů prováděného buď přímo politickými subjekty, nebo za ně, a to se zaměřením jak na vlastní členskou základnu daného subjektu, tak na osoby stojící mimo ni;
    • plnění povinností při zpracování osobních údajů, včetně zvláštních kategorií údajů – otisků prstů při provozování hazardních her.
  • ÚOOÚ navrhl MPSV změny v zákoníku práce, a to konkrétně promítnutí zásad GDPR do oblasti zpracování biometrických údajů zaměstnanců. Zaměstnavatelé často zakládají zpracování některých biometrických údajů zaměstnanců pro účely kontroly vstupu, přítomnosti a přístupů na souhlasu zaměstnanců. Takové používání souhlasu ve vztahu zaměstnavatel – zaměstnanec je však nepřijatelné, a to s ohledem na právní úpravu GDPR. Dle stanoviska ÚOOÚ je třeba, aby pracovněprávní úprava zohlednila rozšíření biometrických technologií ve společnosti a současně byla jasně formulována s ohledem na základní požadavky ochrany osobních údajů.
  • Centrální registr dlužníků České republiky (CERD) ignoruje nařízení ÚOOÚ o přijetí nápravných opatření. CERD si zajistil nového poskytovatele služeb, kterým je indická společnost hostující pro systém CERD IP adresy na území Ruské federace. Z toho důvodu ÚOOÚ nyní nemá možnost ovlivnit stažení nebo znepřístupnění protiprávního obsahu. V současné době tak probíhá řízení o sankci za nepřijetí opatření k nápravě. Před činností systému CERD varoval ÚOOÚ už na začátku roku 2017. CERD totiž za úplatu poskytuje potvrzení o bezdlužnosti, aniž by byl zapojen do legálních dlužnických registrů. Vydaná potvrzení tak nejsou uznávána státními úřady ani finančními institucemi.
  • ÚOOÚ udělil pokutu 10.000,- Kč školskému zařízení za zveřejnění fotky bývalé zaměstnankyně na Facebooku. Škola navzdory opakovaným výzvám své bývalé zaměstnankyně neodstranila z facebookových stránek školy její fotografii, u které bylo uvedeno jméno, příjmení a titul.
  • Irská komise pro ochranu dat DPC zahájila první vyšetřování internetové společnosti Google. Podezřívá Google z neoprávněného nakládání s osobními údaji za účelem reklamy. Na činnost Googlu upozornil i provozovatel webového prohlížeče Brave – podle společnosti Brave některé firmy včetně Googlu poskytují osobní údaje o pohybu na webu svých uživatelů desítkám až stovkám firem za účelem cílené reklamy, aniž by o tom dotyční věděli.
  • Španělská fotbalová liga dostala pokutu 250 tis. eur za porušení Nařízení GDPR – trest se týká aplikace fotbalové soutěže La Liga, která měla pomáhat v boji s pirátským vysíláním zápasů, kvůli němuž La Liga ročně na vysílacích právech přijde o 400 milionů eur. Problém byl údajně v nedostatečném informováním uživatelů, že aplikace může sama zapnout mikrofon a vysílat informace o poloze zařízení.
  • Dánský úřad na ochranu osobních údajů Datatilsynet navrhnul pokutu ve výši 1,2 milionu dánských korun taxislužbě Taxa 4×35 za to, že nesmazala telefonní čísla, geolokační data a další informace týkající se bývalých zákazníků, na základě kterých bylo možné jednotlivé osoby identifikovat. Společnost mazala jen jména a příjmení svých bývalých zákazníků po dvou letech, ale zbytek informací uchovávala po dobu dalších tří let, a to s poukazem na to, že informační systém DDS Pathfinder neumožňuje smazat telefonní čísla zákazníků. Dánský dozorový úřad nemůže udělit pokutu přímo, ale může pouze uložení pokuty navrhnout policejním orgánům, které pak pokutu vymáhají prostřednictvím soudu.
  •  Italský úřad pro ochranu osobních údajů udělil americké internetové společnosti Facebooku pokutu ve výši jednoho milionu eur v důsledku aféry s britskou poradenskou firmou Cambridge Analytica. Tato společnost oficiálně vyvíjela program, který měl předpovídat preference voličů, ve skutečnosti však měla za cíl jejich rozhodnutí ovlivňovat. Pomocí aplikace získala privátní data z facebookových profilů desítek milionů uživatelů a na základě nich šířila cílenou politickou reklamu. Facebook tomuto masivnímu úniku dat nedokázal zabránit a navíc dostatečně neinformoval uživatele, jejichž data byla získána.
  • Úřad pro ochranu osobních údajů – na základě závěrů kontroly systému Centrálního registru dlužníků České republiky (CERD) provedené v polovině r. 2018 a následné reakce správce osobních údajů systému CERD, který neprovedl uložená opatření – zahájil řízení o sankci za nepřijetí opatření k nápravě a v současné době připravuje vydání rozhodnutí ve věci (více viz https://www.uoou.cz/vismo/dokumenty2.asp?id_org=200144&id=34474).
  • ÚOOÚ udělil pokutu ve výši 180 tis. Kč zaměstnavateli, který nadbytečně uchovával kopie dokladů svých zaměstnanců. Kontrola v personálních spisech našla kopie průkazů zdravotního pojištění, výpisy z evidence Rejstříku trestů, karty s čísly bankovních účtů i skenované fotografie a rodné listy dětí zaměstnanců.
  • Na základě stížnosti, jejímž předmětem bylo upozornění na vyžadování kopie občanského a řidičského průkazu při sepisování smlouvy o pronájmu osobního vozu, provedl ÚOOÚ kontrolu dodržování povinností v souvislosti s kopírováním osobních dokladů u pronajímatele vozidel. Kontrolou bylo zjištěno porušení § 5 odst. 1 písm. d), neboť kontrolovaný v rámci identifikace klienta pořizoval kopie celého občanského průkazu jako pramen verifikace, což vzhledem k účelu zpracování osobních údajů bylo vyhodnoceno jako nadbytečné a nepřiměřené. ÚOOÚ vydal na základě kontrolních zjištění příkaz na místě, kterým byla uložena pokuta ve výši 10 tis. Kč. Účastník řízení plně uznal své pochybení a pokutu neprodleně uhradil.
  • ÚOOÚ na základě provedených kontrol ochrany osobních údajů vydal pravomocná rozhodnutí či příkazy o pokutě vydané za porušení GDPR ve výši 5 tis. Kč až 250 tis. Kč. Tato anonymizovaná pravomocná rozhodnutí / příkazy o pokutě vydané za porušení GDPR zveřejnil ÚOOÚ na svých webových stránkách na základě žádostí o informace dle zákona č. 106/1999 Sb., o svobodném přístupu k informacím.
  • Odborníci na kyberbezpečnost ze společnosti SODAT letos analyzovali soubory na Ulož.to a zjistili, že mnohé z nich obsahují firemní přístupová hesla, pracovní smlouvy nebo rodná čísla. Tyto informace přitom na úložiště nahrávají sami zaměstnanci za účelem zálohování a sdílení. Našli zde data více než tisícovky firem a ze 112 záloh e-mailu byla chráněna heslem jen jedna.
  • Z aplikace WiFi Finder unikly dva miliony hesel – databáze aplikace WiFi Finder, která obsahuje přístupové informace k více než dvěma milionům sítí, unikla v nezašifrované podobě na internet. Po tom, co databáze unikla na internet, byla aplikace odstraněna z obchodu Google Play.
  • ÚOOÚ v 2. polovině roku 2018 provedl 34 kontrol podle zákona č. 101/2000 Sb., o ochraně osobních údajů,a to jak u společností, tak i u fyzických osob podnikajících. Kontrolní činnost podle zákona o ochraně osobních údajů provedl ÚOOÚ jak na základě svého kontrolního plánu, tak i na základě přijatých podnětů. Závěrem provedených kontrol je buď zjištění porušení zákona o ochraně osobních údajů, nebo uložení nápravných opatření či pokuty, nebo zahájení řízení o přestupku (více viz https://www.uoou.cz/kontrolni-cinnost-podle-zakona-o-ochrane-osobnich-udaju/ds-5359/archiv=0&p1=1277).
  • ÚOOÚ v 2. polovině roku 2018 provedl 11 kontrol v oblasti nevyžádaných obchodních sdělení, a to jak u fyzických osob podnikajících, tak i u společností. V rámci provedených kontrol ÚOOÚ zjistil, že kontrolované osoby svým jednáním porušili povinnosti stanovené v § 7 odst. 2 zákona č. 480/2004 Sb., tedy využít podrobnosti elektronického kontaktu za účelem šíření obchodních sdělení elektronickými prostředky pouze ve vztahu k uživatelům, kteří k tomu dali předchozí souhlas. ÚOOÚ dle závažnosti kontrolního zjištění buď uložil kontrolovaným osobám pokutu v řádu jednotek tisíce korun českých, nebo ve věci zahájil řízení o přestupku (více viz https://www.uoou.cz/kontrolni-cinnost-v-oblasti-nevyzadanych-obchodnich-sdeleni/ds-5360/archiv=0&p1=1277).
  • Cca 7 % všech zjištěných a řešených případů ÚOOÚ v roce 2018 bylo porušení ustanovení o zpracovatelské smlouvě a povin­nostech zpracovatele.
  • ÚOOÚ zveřejnil na svých webových stránkách dokument „K povinnosti správců provádět posouzení vlivu na ochranu osobních údajů (DPIA)“.Obecné nařízení požaduje, v některých případech, vypracování posouzení vlivu na ochranu osobních údajů – takové posouzení je nutné v situaci, kdy zpracování osobních údajů má za následek vznik vysokého rizika pro práva a svobody fyzických osob, a to s přihlédnutím k povaze, rozsahu, kontextu, účelům zpracování a využitím nových technologií.V dokumentuje uveden seznam druhů operací zpracování osobních údajů, které podléhají posouzení vlivu na ochranu osobních údajů (zařazení zpracování do seznamu vysoce rizikových pro práva a svobody subjektů údajů se provádí na základě deseti charakteristik popisujících každé zpracování osobních údajů).
  • Od ledna 2020 měla zmizet rodná čísla z nově vydávaných občanských průkazů – nahradit je měly identifikátory, z nichž by nebylo na první pohled jasné datum narození ani to, zda jde o muže nebo ženu. Zákon, který to umožňuje, byl schválen již před 9 lety, ale úřady stále nepodnikly patřičné kroky k zavedení těchto identifikátorů. V současné chvíli to tedy vypadá tak, že rodná čísla na občanských průkazech zůstanou další 3 roky, zatím není ani jasná finální podoba nových identifikátorů.
  • Cloud a GDPR – použití cloudu pro zpracování osobních dat je možné a v praxi velmi časté. Nařízení GDPR přitom pojem cloud vůbec nepoužívá – na poskytovatele cloudu je tedy třeba se dívat jako na zpracovatele (viz čl. 28 Nařízení GDPR).Podle některých názorů je výhodou cloudu to, že ochranu dat zajišťují profesionálové, kteří již většinou vydali prohlášení o shodě s GDPR. Ve skutečnosti bohužel řada poskytovatelů cloudu měla a má se zabezpečením dat značné problémy.
  • ÚOOÚ provádí i kontroly zpracování osobních údajů při využívání cloud computingu. Je tedy nezbytné, aby organizace / společnosti dostatečně ošetřily oblast nasazení cloudu jak z pohledu rizika úniku informací, tak rizik v oblasti automatizovaného zpracování (při výběru cloudu a sjednání jeho podmínek se zjednodušeně řečeno postupuje obdobně, jako by organizace / společnost chtěla data zpracovávat ve vlastní podnikové síti – viz požadavky čl. 25 a 32 Nařízení GDPR).
  • Francouzský úřad pro ochranu osobních údajů (CNIL – Commission Nationale de l’Informatique et des Libertés) vytvořil aplikaci k provádění posouzení vlivu na ochranu osobních údajů. Aplikace má i českou jazykovou mutaci (s drobnými nedostatky), a CNIL v prosinci 2018 vydal druhou verzi aplikace, jež má i webové rozhraní. Práce v uvedeném programu je velmi intuitivní a je zdarma. Aplikace CNIL obsahuje i rozdělení rolí, tudíž má Pověřenec pro ochranu osobních údajů vlastní přístup, jehož prostřednictvím komentuje konkrétní položky posouzení a dává k němu vlastní stanoviska.
  • Francouzský úřad pro ochranu osobních údajů (CNIL – Commission Nationale de l’Informatique et des Libertés) uložil společnosti Google rekordní pokutu 50 milionů eur za porušení pravidel ochrany osobních údajů v souvislosti se zobrazováním personalizované reklamy.Google nesplnil základní prvky zásady transparentnosti (stručnost, jasnost, srozumitelnost a snadná přístupnost), zakotvené v čl. 12 Nařízení GDPR, stejně jako požadavky na souhlas se zpracováním osobních údajů.
  • Facebook od roku 2012 ukládal hesla k účtům 200 až 600 milionů svých uži­vatelů na interních serverech v nezašifrované podobě. Přístup k nim tak mělo více než 20 tisíc zaměstnanců, veřejnost se však k nechráněným datům podle tvrzení Facebooku dostat nemohla. Nechráněné ukládání hesel bylo odhaleno bylo až v lednu 2019, když si bezpečnostní inženýři během revize nových kódů všimli, že se hesla ukládají v nezašifrované podobě.
  • Některé aplikace v iPhonech nahrávají data uživatelů – aplikace bez souhlasu a vědomí uživatelů nahrává displej telefonu a ukládá úkony, které na telefonu v rámci dané aplikace člověk provádí (telefon tak zaznamenává např. i hesla, čísla kreditní karty nebo cestovního pasu). Umožňuje to technologie session replay, která pořizuje screenshoty a následně je odesílá vývojářům z důvodu odhalení chyb a nefunkčních prvků v aplikaci (tímto postupem lze samozřejmě studovat i chování zákazníka). Problematické je pak především nedostatečné zabezpečení údajů, u nichž hrozí zneužití v případě, že se při odesílání nevyužije šifrování. Odesílání nezašifrovaných osobních údajů se netýká všech aplikací, ale problematické zůstává především to, že aplikace uživatele neinformují o tom, že jsou jejich činnosti nahrávány a odesílány vývojářům.
  • Evropský sbor pro ochranu osobních údajů vydal materiál, ve kterém zdůrazňuje několik klíčových bodů, které mají dodržovat politické strany, kandidující koalice a kandidáti, pokud v rámci svých volebních činností zpracovávají osobní údaje.Dokument, který je ke stažení na stránkách ÚOOÚ, reaguje na současnou praxi vysoce sofistikovaných profilovacích technik, které pro sledování a vytipovávání potenciálních voličů používají některé politické subjekty.
  • Evropský sbor pro ochranu osobních údajů přijal stanovisko o vztahu obecného nařízení a směrnice 2002/58/ES o soukromí a elektronických komunikacích. Dozorové orgány jednotlivých států mají podle jeho názoru vyžadovat plnění zásad ochrany osobních údajů i v rámci směrnice ePrivacy. (viz stanovisko 5/2019 k interakci mezi směrnicí ePrivacy a GDPR https://edpb.europa.eu/our-work-tools/our-documents/opinion-board-art-64/opinion-52019-interplay-between-eprivacy-directive_en).
  • Úřad pro ochranu osobních údajů (ÚOOÚ) provádí kontroly:
    • na základě kontrolního plánu, který je vypracováván ve spolupráci s předsedou ÚOOÚ a schvalován na každý kalendářní rok;
    • incidenční, které jsou prováděny na základě podnětů a stížností subjektů údajů nebo na základě jiných podnětů (např. předání od dozorových úřadů jiných členských států EU, soudů, policie, upozornění ve sdělovacích prostředcích apod.);
    • na základě podnětu předsedy ÚOOÚ.
  • Poslanecká sněmovna schválila nová pravidla ochrany soukromí, která navazují na evropské Nařízení GDPR. Nový zákon má hlavně zavést přípustné výjimky z evropských pravidel. Maximální sankce za porušení zákona zůstala pro orgány veřejné správy na 10 mil. Kč. Horní sazba pokut pro malé obce byla omezena na 15 tisíc Kč. Schválena byla zároveň úprava výjimek pro média, nebo vědecké, výzkumné a statistické účely. Poslanci naopak odmítli snížit pod 15 let navrhovanou věkovou hranici, po jejímž dosažení by děti mohly samy naplno využívat sociální sítě. Poslanci však souhlasili s tím, aby se ÚOOÚ stal odvolacím správním orgánem pro případy, kdy úřady nevyhoví žádostem podle zákona o svobodném přístupu k informacím. Nový zákon o zpracování osobních údajů, který nyní dostane k projednání Senát, nahradí dosavadní zákon o ochraně osobních údajů.
  • ÚOOÚ bylo doručeno více než 16.500 oznámení o jmenování Pověřence pro ochranu osobních údajů a přes 200 zpráv o změně Pověřence nebo kontaktu na něj. Zajímavostí je, že velký počet z nich ustanovili správci čistě na dobrovolné bázi, tedy že jim to zákon vzhledem k jejich činnosti ani neukládá.
  • Kontrola ÚOOÚ zaměřená na zpracování osobních údajů má za cíl především zjistit faktický stav věci, ne vždy musí kontrola končit uložením pokuty. Finanční postih nemusí automaticky přijít ani v případě, že ÚOOÚ nějaký závadný stav u správce osobních údajů odhalí. GDPR obsahuje řadu nápravných pravomocí, které lze v případě zjištěného porušení uložit, např. udělení napomenutí nebo nařízení, aby správce vyhověl žádosti subjektu údajů o výkon práva dle GDPR.
  • ÚOOÚ obdržel od účinnosti Nařízení GDPR do konce října 2018 1993 stížností (statistika podnětů a stížností za jednotlivá období je uvedena na stránkách ÚOOÚ www.uoou.cz). Úřad eviduje především podněty týkající se telemarketingu, upozornění na formu a způsob vyžadování souhlasu ze strany některých správců a stížnosti týkající se zpracování, zejména zveřejňování (již dříve zveřejněných) osobních údajů na internetu. Jedná se zejména o další publikování údajů o podnikatelské činnosti fyzických osob v rejstřících provozovaných soukromými subjekty. ÚOOÚ zveřejnil na svých stránkách návod dotčeným osobám (subjektům údajů), jakým způsobem uplatnit u provozovatele předmětných databází a internetových stránek práva daná obecným nařízením.
  • ÚOOÚ za porušení Nařízení GDPR dosud neudělil pokutu, udělil pouze sankce za přestupky spáchané před účinností Nařízení GDPR. Nejvyšší sankce činila 1.500.000,- Kč a nejnižší 5.000,- Kč nebo napomenutí.
  • ÚOOÚ bude nyní s největší pravděpodobností řešit pochybení České školní inspekce, která nezabezpečila testovací aplikaci InspIS – bylo tak možné se za určitých okolností dostat k desítkám tisíc jmen a příjmení žáků a také k informaci, zda mají nějaké zdravotní znevýhodnění. Podle vyjádření ČSI se jednalo o technickou chybu při úpravách systému InspIS, kterou následná kontrola neodhalila. Po zjištění chyby byla data okamžitě zablokována a chyba byla odstraněna.
  • Úřad britského komisaře pro informace (Information Commissioner´s Office – ICO) udělil Facebooku pokutu 500.000,- liber za závažné porušení zákona na ochranu osobních údajů (za zpracování osobních dat uživatelů nekorektním způsobem mezi lety 2007 až 2014). Facebook umožňoval vývojářům aplikací přístup k datům uživatelů, aniž by od nich získal dostatečně jasný a informovaný souhlas. Navíc Facebook osobní údaje dostatečně nezabezpečil, neboť nekontroloval aplikace a vývojáře využívající tuto platformu (např. jedna vývojářská společnost získala přístup k osobním datům 87 milionů lidí po celém světě bez jejich vědomí, část těchto údajů pak později sdílela s Cambridge Analytica, svojí mateřskou společností).
  • Hackeři vyvěsili na internet soukromé zprávy 81 tisíc uživatelů Facebooku. Prozatím není zcela jasné, jak se hackerům podařilo ke zprávám dostat – podle Facebooku totiž nedošlo k narušení jejich bezpečnostního systému. Údaje tak pravděpodobně unikly prostřednictvím škodlivých rozšíření internetových prohlížečů. Ty už Facebook ve spolupráci s vývojáři prohlížečů nechal zneaktivnit. Kromě zpráv se na webových stránkách objevily také fotografie z dovolených a u dalších 176 tisíců účtů jsou dostupné e-mailové a telefonní kontakty. Jde převážně o uživatele Facebooku z Ukrajiny, Ruska, Velké Británie, USA a Brazílie.
  • Evropský parlament schválil Nařízení o volném pohybu neosobních dat (tj. neosobní data se již nemusí skladovat pouze v zemi, ve které byla získána), které vstoupilo v platnost 1.12.2018. Volný pohyb neosobních dat se vztahuje pouze na ty údaje, jež nevedou k identifikaci osob a které nemají vliv na soukromí fyzických osob. Nové nařízení EU zároveň pouze doplňuje obecné nařízení o ochraně osobních údajů (Nařízení GDPR), které platí od 25.5.2018. Pokud budou osobní a neosobní data zpracovávána společně, bude se GDPR vztahovat pouze na část o osobních údajích, zatímco na část o neosobních datech se použije nové Nařízení o volném pohybu dat. Nařízení se proto nepřekrývají, ale vzájemně doplňují.
  • Bytový fond ve Vídni v souladu s Nařízením GDPR vymění do konce roku 2018 tisíce jmenovek na zvoncích za prostá čísla bytů (na základě posouzení výkladu GDPR a doporučení tohoto opatření Odborem magistrátu pro ochranu osobních údajů). Pokud nájemník bude chtít si jmenovku na zvonku ponechat, musí tak udělat z vlastní vůle až poté, co budou jmenovky vyměněny za čísla bytů.
  • Právní nejistota subjektu co do postavení správce osobních údajů nemůže vést k odmítnutí poskytnutí informace (přístup subjektu údajů k informacím). V situaci, kdy organizace prokazatelně předmětnými osobními údaji disponuje, je její povinností si své právní postavení vyjasnit a poskytnout požadované informace o zpracování osobních údajů.
  • Ministerstvo financí ČR na základě provedené kontroly ÚOOÚ upravilo parametry registrace hráče v rámci účtenkové loterie (dle zákona č. 112/2016 Sb., o evidenci tržeb) – v současné době již není nezbytné při registraci zadávat daňové identifikační číslo.
  • Finančnímu úřadu byla udělena pokuta ve výši 5.000,- Kč za doručení dokumentů osobě bez datové schránky do datové schránky jiného daňového subjektu. K záměně došlo z důvodu shody jména, příjmení a data narození u dvou daňových subjektů.
  • Městskému úřadu byla udělena pokuta ve výši 20.000,- Kč v souvislosti s pochybením při vydávání parkovacích karet městem (parkovací karty nepřenosné vydané pro jedno vozidlo a parkovací karty přenosné vydané na jméno a použitelné pro libovolné vozidlo). Na parkovacích kartách byly uvedeny nadbytečné osobní údaje – u nepřenosné parkovací karty jméno, příjmení a trvalé bydliště, u přenosné parkovací karty trvalé bydliště a registrační značka vozidla.
  • V rámci městského úřadu bylo zjištěno pochybení zaměstnance při doručování zprávy do datové schránky jiné osoby. Vzhledem ale k tomu, že městský úřad neprokázal, že by byl zaměstnanec řádně poučen o svých povinnostech v oblasti ochrany osobních údajů, nese odpovědnost za zpřístupnění osobních údajů doručením zásilky do datové schránky jiné osoby městský úřad.
  • Byla udělena pokuta ve výši 6.000,- Kč školskému zařízení z důvodu porušení zákona č. 101/2000 Sb., o ochraně osobních údajů – škola zpřístupnila osobní údaje studentů v souvislosti s prověřováním údajného incidentu mezi studenty (škola zaslala spolužákům elektronickou poštou výzvu k vyjádření, která obsahovala popis incidentu a identifikaci osob, které se jej měly zúčastnit), a to bez souhlasu dotčených studentů. Účelem zaslání předmětné výzvy bylo získání svědectví dalších osob v souvislosti se zahájením správního řízení o vyloučení studenta ze školy a šetřením rozporných tvrzení účastníků incidentu.
  • Mateřská škola zveřejnila na nástěnce v budově školky seznam dětí, které měly nedoplatky za předškolní vzdělávání a stravné, a seznam dětí, které se nedostavily k zápisu k předškolnímu vzdělávání (porušení § 5 odst. 2 zákona č. 101/2000 Sb.). Mateřská škola tedy zpřístupnila osobní údaje dětí i třetím osobám, tj. nepřijala taková opatření, aby nemohlo dojít k neoprávněnému nebo nahodilému přístupu k osobním údajům, k jejich změně, zničení či ztrátě, neoprávněným přenosům, k jejich jinému neoprávněnému zpracování, jakož i k jinému zneužití osobních údajů. ÚOOÚ od uložení pokuty upustil, protože mateřská škola závadný stav neprodleně napravila.
  • Mateřská škola nesprávně zpracovávala osobní údaje při vstupu osob do budovy – mateřská škola provozovala elektronický vstupní systém založený na systematickém snímání a zpracování otisků (biometrický údaj) a nedisponovala souhlasem ke zpracování předmětných osobních údajů. ÚOOÚ od uložení pokuty upustil, protože mateřská škola závadný stav neprodleně napravila.
  • Za účelem předcházení šikany, ochrany majetku školy, ochrany zdraví zaměstnanců a žáků provozovalo školské zařízení kamerový systém se záznamem, který byl nainstalovaný ve všech veřejných prostorách školy (vč. jednotlivých učeben) a byl provozovaný nepřetržitě, a to bez souhlasu subjektů údajů se zpracováním osobních údajů. ÚOOÚ při kontrole vyhodnotil, že školské zařízení provozuje kamerový systém v rozporu s povinností správce osobních údajů dle § 5 odst. 2 zákona č. 101/2000 Sb., neboť jí nesvědčí žádný z právních titulů opravňující ji ke zpracování osobních údajů. Přičemž i s ohledem na zjištěný rozsah monitorování a skutečnost, že u školského zařízení nedošlo k žádnému negativnímu jednání před ani po instalaci kamerového systému, byl v daném případě zásah do soukromí výrazně vyšší než deklarovaný účel zpracování osobních údajů. Školské zařízení tedy ukončilo nahrávání záznamů a kamerový systém provozuje pouze v on-line režimu.
  • Provozovateli centrálního registru dlužníků (CERD) bude uložena pokuta z důvodu nezákonného nakládání s osobními údaji. Kontrola ÚOOÚ identifikovala u systému CERD tato porušení:
    • zpracování nepřesných a nadbytečných osobních údajů, navíc v řadě případů i bez právního titulu;
    • absence zpracovatelské smlouvy mezi správcem osobních údajů a zpracovatelem osobních údajů;
    • subjekty údajů nejsou informovány dostatečným způsobem o tom, kdo je správce osobních údajů a jak mohou uplatňovat svá práva;
    • nepodání informace o zpracování osobních údajů;
    • nesplnění požadavku subjektu údajů na podání vysvětlení či na odstranění osobních údajů;
    • část systému CERD, která se týká překlápění insolvenčního rejstříku a vkládání nových, nikým neověřovaných dlužníků a dluhů, je neoprávněným zásahem do soukromého života jednotlivých subjektů údajů;
    • využití podrobností elektronického kontaktu za účelem šíření obchodních sdělení elektronickými prostředky pouze ve vztahu k uživatelům, kteří k tomu dali předchozí souhlas;
    • šíření obchodních sdělení, která nebyla jako obchodní sdělení řádně označena a která skrývala či utajovala totožnost odesílatele, jehož jménem se komunikace uskutečnila;
    • odeslání obchodních sdělení navíc probíhalo bez platné adresy, na kterou by adresát mohl přímo a účinně zaslat informaci o tom, že si nepřeje, aby mu tato sdělení byla dále zasílána.
  • Společnosti s ručením omezeným byla udělena pokutu ve výši 835.000,- Kč za porušení zákona č. 480/2004 Sb., o některých službách informační společnosti, jelikož adresáti obchodních sdělení nedali společnosti předchozí souhlas k využití jejich elektronického kontaktu za účelem šíření obchodních sdělení.
  • Soukromé společnosti byla udělena pokuta ve výši 2.000,- Kč za zaslání dopisů seniorům, kteří čerpali některé ze sociálních služeb, s nabídkou, že jim daná společnost bude doživotně poskytovat sociální služby (péče, stravování, doprovod apod.), pokud na ni převedou vlastnické právo k nemovité věci (osobní údaje seniorů společnost shromažďovala z katastru nemovitostí a dále je zpracovávala pro své obchodní účely).
  • Společnosti Internet Mall, a.s. byla udělena pokuta 1,5 mil. Kč za nezabezpečení osobních údajů nejméně 735.956 zákazníků v rozsahu jméno, příjmení, e-mailová adresa, heslo uživatelského účtu, příp. telefon, před neoprávněným přístupem v období minimálně od 31.12.2014 do srpna 2017. V důsledku toho došlo v době od 27.7.2017 do 25.8.2017 ke zpřístupnění uvedených osobních údajů na serveru Uložto.cz.
  • Twitter čelí prvnímu vyšetřování kvůli porušení GDPR. Irské úřady zahájily vyšetřování sítě, protože měla nedovoleně shromažďovat data přes svoji službu pro zkracování odkazů t.co.
  • Klient banky zapříčinil neoprávněné zasílání e-mailových zpráv (předávání bankovních informací mezi bankou a klientem) na adresu třetí osoby, když při uzavření smlouvy uvedl nesprávně svou e-mailovou adresu, přičemž tato e-mailová adresa patřila jiné osobě, která nebyla klientem banky. Třetí osoba, poté co obdržela několik e-mailů, na chybu upozornila banku, ovšem ta toto upozornění nesprávně vyhodnotila jako reklamaci služeb a k nápravě chyby došlo až na základě kontroly ÚOOÚ.
  • Zdravotnickému subjektu byla uložena pokuta ve výši 10.000,- Kč z důvodu nepřijetí dostatečných technicko-organizačních opatření k zabezpečení ochrany osobních údajů, a to zejména v souvislosti s přístupem osob k datové schránce a při ukládání dokumentů doručovaných do datové schránky.
  • I přes přijetí a realizaci dostatečně technicko-organizačních opatření k zajištění bezpečnosti zpracovávaných osobních údajů došlo v rámci zdravotnického zařízení k zaslání elektronické zprávy obsahující osobní údaje potencionálního klienta na e-mailovou adresu jiného klienta. Předmětný incident tedy nebyl způsoben absencí či nedostatečností opatření na straně zdravotnického zařízení, ale pochybením na straně zaměstnankyně (zaměstnankyně i přes zákaz zdravotnického zařízení vyřizovala dvě věci souběžně a v důsledku toho si otevřela dvě okna aplikace Outlook).
  • Byla udělena pokuta přes 800.000,- Kč za nevyžádanou reklamu.
  • Ústavní soud zrušil část zákona o EET a rozhodl, že DIČ se na účtenkách již nebude objevovat.
  • Britská základní škola porušila zabezpečení osobních údajů ztrátou flash disku, který obsahoval kompletní databázi více než 1.000 žáků.
  • Došlo k rozeslání až 2.500 výzev nesprávným adresátům jakožto výzva k zaplacení pokuty od pražského magistrátu za spáchání dopravního přestupku.
  • Po několika dnech GDPR v účinnosti čelí Facebook a Google žalobě za 200 miliard Kč.
  • Dle Soudního dvora EU je správce facebookové skupiny spoluodpovědný za zpracování údajů návštěvníků skupiny.
  • Praxe volání pacientů podle příjmení v čekárně není v rozporu s GDPR.

Kompletní informace z oblasti ochrany osobních údajů pro firmy naleznete zde a pro veřejnou správu zde.

Poznámka: Zdrojem výše uvedených informací jsou nejen znalosti a zkušenosti společnosti Equica, a.s. v oblasti ochrany osobních údajů, ale také webové stránky Úřadu pro ochranu osobních údajů (www.uoou.cz) a webové stránky Ministerstva vnitra České republiky (www.mvcr.cz).