Informace pro zajímavost (z oblasti GDPR)

Index kyberbezpečnosti v rámci České republiky

  • Česká bankovní asociace každý rok měří tzv. Index kyberbezpečnosti, který vychází z tvrzení Čechů, jakým způsobem se chovají na internetu.
  • V roce 2020 dosáhl Index kyberbezpečnosti 61 % − většina občanů České republiky o kyberhrozbách ví, ale nedokáže je odhalit, např. nečtou informační zprávy od bank, nevěnují pozornost bezpečnostním upozorněním svého mobilního telefonu atd.
  • V případě zájmu si můžete vyzkoušet své znalosti o kyberbezpečnosti ve vědomostním Kybertestu (https://www.kybertest.cz/), jehož cílem je zjistit, zda respondenti v rolích klientů fiktivní Rodinné banky při reálně vypadajících simulacích rozpoznají, že jsou terčem on-line podvodníků.

Prošetření sdílení dat přes aplikaci Tečka

  • V rámci kontrol se Úřad pro ochranu osobních údajů zaměří i na aplikaci Tečka, která obsahuje informace o prodělané nemoci, očkování nebo výsledky testů na Covid-19.
  • Aplikace Tečka od září 2021 spustila pilotní provoz sdílení certifikátů se službami na webových stránkách při zakoupení vstupenek nebo při registraci na akci – po vyfocení speciálního QR kódu sdílení zobrazeného na webu externí služby nabídne aplikace Tečka výběr a odeslání certifikátu účastníka akce. Dojde tedy ke sdílení informace o bezinfekčnosti s prodejcem vstupenek, tj. externí služba tedy může dopředu ověřit aktuální stav Covid-19 a účastník akce již nemusí dokládat bezinfekčnost na místě (dojde ke zrychlení vstupu na akci). K poskytnutí osobních dat je potřebný souhlas klientů, a to hned dvakrát, než se informace zcela odešlou.

ČSSZ řeší problém se zveřejňováním osobních údajů

  • Na internetu jsou dostupné dokumenty s citlivými osobními údaji od České správy sociálního zabezpečení, které lze jednoduše vyhledat prostřednictvím vyhledávače (např. písemnosti o exekuční srážce ze mzdy apod.). Kromě tohoto problémů bylo zjištěno, že některé pobočky OSSZ zveřejňované materiály nesprávně anonymizují.
  • ČSSZ výše uvedené pochybení částečně připustila, podle ministryně práce a sociálních věcí Jany Maláčové nyní zveřejňování dokumentů prověřuje. Problém se zveřejněním osobních údajů na internetu prověřuje i Úřad pro ochranu osobních údajů.

Předání osobních údajů mezi M&M reality a distributory směnek

  • Úřad pro ochranu osobních údajů prošetřuje předání osobních údajů mezi realitní kanceláří M&M reality a distributory směnek investiční společnosti Arca Investments, které se mělo uskutečnilo v roce 2020, kdy se řešil kapitálový vstup společnosti Arca Investments do M&M reality, který se nakonec neuskutečnil.
  • Distributoři směnek získali data v podobě excelových tabulek, dostali též přístupy do interního informačního systému Stormm. Cílem bylo nabízet krátce před krachem společnosti Arca Investments její směnky lidem, kteří prodali nemovitost a měli tedy hotovost.
  • Majitel M&M reality Petr Morcinek popřel, že by společnost poskytla společnosti Arca Investments osobní údaje klientů. Realitní kancelář prý podala hlášení k Úřadu pro ochranu osobních údajů o tzv. bezpečnostním incidentu.

Vyšetřování TikToku

  • Irská Komise pro ochranu dat (DPC), která v Evropské unii reguluje většinu světových technologických firem, zahájila dvě vyšetřování čínské platformy pro sdílení krátkých videí TikTok.
  • DPC v prohlášení uvedla, že první vyšetřování se týká zpracování osobních údajů v souvislosti s nastavením platformy pro uživatele mladší 18 let a opatřeními pro ověření věku osob mladších 13 let, druhé vyšetřování se zaměří na přesun osobních údajů společností TikTok do Číny a na to, zda společnost při předávání osobních údajů do zemí mimo EU dodržuje unijní právní předpisy.

Pokuta za nesprávné provozování kamerového systému

  • Španělský dozorový úřad Agencia Española de Protección de Datos (AEPD) udělil společnosti Arriveda Damar SL pokutu v celkové výši 6 tisíc EUR (cca 152 tis. Kč) za porušení čl. 5 Nařízeni GDPR – principu minimalizace osobních údajů.
  • Společnost Arriveda Damar SL porušila princip minimalizace osobních údajů při provozování kamerového systému nadměrně zasahujícího do soukromí subjektů údajů. Společnost bez řádného důvodu instalovala čtyři kamery, které snímaly chodník vedle objektu společnosti nacházející se na veřejném prostranství, a to v celé šířce, a zároveň i auta zaparkovaná vedle něj. Informativní cedule o provozování kamerového systému nesplňovala požadavky na řádné informování subjektů údajů (čl. 13 Nařízení GDPR).

Výsledky průzkumu STEM / MARK o sdílení osobních údajů

  • Dle výsledků vyplývajících z realizovaného průzkumu STEM / MARK devadesát procent Čechů odmítá sdílet osobní údaje jako je rodné číslo, osobní doklad, údaje o platební kartě, obsah e-mailu či zprávy. Téměř polovina dotazovaných nemá ale problém poskytnout údaje o poloze, sdílet historii prohlížení, fotografie a kontakty.
  • Ochota sdílet své soukromé údaje klesá s rostoucím věkem. Obecně jsou ochotní osobní údaje sdílet především lidé z nejmladší generace a muži, u žen a starších lidí je patrná větší zdrženlivost.

Únik údajů z platebních karet ukradených mezi lety 2018 a 2019

  • Ruští hackeři zveřejnili na serveru All World Cards údaje z milionu platebních karet (čísla platebních karet, data platnosti, bezpečnostní kódy CVV atd.) ukradených mezi lety 2018 a 2019. V rámci zveřejněných údajů jsou i údaje z ještě funkčních platebních karet, a to i údaje o platebních kartách vydaných v České republice.
  • Podle časopisu Forbes útočníci tímto způsobem propagují svou databázi ukradených platebních karet, kterou mohou ostatní zločinci využít k on-line nákupům. Hackeři údaje o platebních kartách kradou prostřednictvím malwaru, nebo při přesměrování zákazníků na platební platformy e-shopů. Následně ukradené údaje z platebních karet přeprodávají dalším kybernetickým zločincům.
  • Skutečný počet ukradených údajů z platebních karet je mnohem vyšší než jeden milion – odhadem se jedná o cca 2,6 milionu ukradených údajů z platebních karet klientů bank z celého světa. Nejvyšší počet (cca 1,2 milionu) pochází ze Spojených států amerických.

British Airways zaplatí za únik osobních údajů kromě pokuty i vyrovnání klientům

  • Společnost British Airways zaplatí za porušení zabezpečení osobních údajů z roku 2018 kromě pokuty ve výši 20 mil. liber (cca 600 mil. Kč), kterou společnosti udělil britský dozorový úřad (Information Commissioner’s Office), i vyrovnání klientům. Společnost v červenci 2021 uzavřela dohodu o vyrovnání s klienty, jejichž osobní údaje jim v minulosti unikly.
  • V roce 2018 letecká společnost British Airways dostatečně neochránila osobní a finanční údaje více jak 400 tisíc klientů. Společnosti unikla řada klientských dat – přihlašovací údaje k účtům, historie platebních karet a přístupy k nim, podrobnosti o plánovaných cestách včetně jména, příjmení a adresy majitelů, a bankovní údaje.
  • Více než 16 tisíc dotčených klientů požadovalo po britské letecké společnosti náhradu újmy způsobené únikem jejich osobních údajů. Hromadnou žalobu připravovala jejich jménem advokátní kancelář PGMBM (Pogust, Goodhead, Mousinho, Bianchini and Martins).
  • Podrobnosti dohody British Airways s poškozenými klienty však nejsou veřejně přístupné. Není tedy zřejmé, jak vysoké odškodnění je poškozeným subjektům údajů poskytnuto. Odhaduje se, že porušení GDPR bude britské aerolinky stát cca 5 miliard Kč.

Pokuta za zveřejnění fotek dětí na Instagramu

  • Španělský dozorový úřad Agencia Española de Protección de Datos (AEPD) udělil gymnastickému klubu Club Gimnasia Rítmica San Antonio pokutu ve výši 5 tisíc EUR (cca 128 tisíc Kč) za zveřejnění fotografie dvou nezletilých dětí (ve věku 10 a 12 let) na instagramovém účtu klubu.
  • Gymnastický klub zveřejnil fotografie nezletilých dětí pořízené při cvičení i přes výslovný nesouhlas jejich matky. Matka dětí několikrát požádala gymnastický klub, aby nezveřejňoval fotografie jejích dvou dcer na sociálních sítích, a také dala jasně najevo, že nedává klubu oprávnění pořizovat jejich fotografie a videozáznamy.
  • Španělský dozorový úřad AEPD dospěl k závěru, že klub porušil ustanovení čl. 6 odst. 1 Nařízení GDPR upravující jednotlivé právní důvody zpracování osobních údajů, a to tím, že na svém instagramovém účtu zveřejnil fotografie dvou dětí, aniž by měl právní důvod k podobnému nakládání s jejich fotografiemi. Klub nebyl schopen prokázat, že měl k podobnému jednání právní důvod, jelikož nedisponoval souhlasem matky dětí (naopak mu byl znám její nesouhlas s pořízením fotografií a videozáznamů a jejich zveřejněním na sociálních sítích).

Rekordní pokuta pro Amazon

  • Společnost Amazon Europe Core S.à r.l. dostala v červenci 2021 od lucemburského úřadu pro ochranu osobních údajů (La Commission nationale pour la Protection des données) rekordní pokutu 756 milionů EUR (cca 18,9 miliard Kč) za porušení GDPR.
  • Pokuta byla Amazonu udělena na základě podnětu více než 10 tisíc stěžovatelů podaného prostřednictvím francouzského sdružení La Quadrature du Net (LQDN), jehož cílem je prosazovat a hájit základní práva a svobody jednotlivců v digitálním světě.
  • Lucemburský úřad pro ochranu osobních údajů prošetřoval v rámci společnosti Amazon způsob zpracovávání osobních údajů zákazníků. Na základě provedené kontroly bylo zjištěno porušení pravidel pro cílení reklamy, které bylo pravděpodobně prováděno bez řádného souhlasu. Bližší informace nejsou k dispozici, protože rozhodnutí není veřejně dostupné.
  • Společnost Amazon s udělenou pokutou nesouhlasí a chce se proti předmětnému rozhodnutí bránit.

Miliardová pokuta pro WhatsApp

  • Společnost WhatsApp spadající pod největší sociální síť Facebook dostala od Komise pro ochranu dat v Irsku (DPC) pokutu ve výši 225 milionů EUR (cca 5,74 miliard Kč) za znevažování osobních uživatelských dat a GDPR.
  • Podle usnesení DPC WhatsApp porušuje evropské Obecné nařízení na ochranu osobních údajů. WhatsApp o všech svých uživatelích sbírá citlivá osobní data (iniciály, telefonní číslo, adresu apod.), se kterými ale nevhodně zachází. WhatsApp sdílí informace o uživatelích nejen v celém systému Facebook, ale sdílí je i s dalšími firmami a službami.
  • Společnost WhatsApp považuje tuto pokutu za neadekvátní a chce se proti ní odvolat.

Vydání knihy Mindf*ck: Cambridge Analytica a plán na zničení

  • Whistleblower a bývalý ředitel výzkumu Cambridge Analytica Christopher Wylie vydal knihu „Mindf*ck: Cambridge Analytica a plán na zničení“, která odhaluje skutečný příběh britského referenda o vystoupení z Evropské unie, Bannonovy americké revoluce, ovlivňování amerických prezidentských voleb (volební kampaně Donalda Trumpa v roce 2016) a celosvětového zločinu proti demokracii. Kniha popisuje, jak je snadné s pomocí osobních dat, které o sobě lidé v online prostoru zveřejňují, nahlédnout do lidských myslí a prostřednictvím moderních technologií s nimi manipulovat.
  • Společnost Cambridge Analytica využila Facebooku ke zpracování milionů uživatelských profilů – spojila psychologický výzkum se soukromými facebookovými daty a vytvořila tak neviditelnou zbraň, která měla moc měnit to, co voliči považovali za realitu.
  • Christopher Wylie svým veřejným vystoupením odstartoval jedno z největších a nejrozsáhlejších mezinárodních vyšetřování datové kriminality v naší historii.

Pokuta za sledování zaměstnanců francouzské pobočky IKEA

  • Francouzská pobočka IKEA, respektive společnost Ingka Group, která je hlavním franšízantem vlastníka značky Inter IKEA Group, zaplatí za nezákonné sledování zaměstnanců pokutu jeden milion EUR. Důvodem udělené pokuty bylo neoprávněné sledování zaměstnanců – vedení firmy si např. prohlíželo záznamy o bankovních účtech zaměstnanců, v rámci tzv. mystery shoppingu sepisovalo zprávy o zaměstnancích atd.
  • Celý případ skončil v trestněprávní rovině – obviněno bylo 15 osob, z nichž pouze některým se podařilo částečně zprostit obvinění a dvě osoby byly shledány nevinnými v celém rozsahu. Mezi obviněnými byli i čtyři policisté, kteří se měli podílet na vynášení důvěrných informací z policejních spisů. Generální ředitel Jean-Louis Baiilot dokonce obdržel od soudu pokutu 50 tis. EUR a dvouletou podmínku trestu odnětí svobody.

Výroční zpráva ÚOOÚ za rok 2020

  • Senát Parlamentu České republiky vzal 10.6.2021 na vědomí Výroční zprávu Úřadu pro ochranu osobních údajů za rok 2020, kterou úřad zveřejnil v březnu 2021.
  • Výroční zpráva ÚOOÚ za loňský rok obsahuje podrobný přehled o kontrolní činnosti úřadu, a to zejména informace o provedených kontrolách v roce 2020 včetně konkrétních příkladů a z nich plynoucích poznatků, řešené stížnosti a podněty, informace o stavu v oblasti zpracování a ochrany osobních údajů v České republice a zhodnocení ostatní činnosti úřadu, a to včetně dozoru nad zpracováním osobních údajů podle zákona. č. 110/2019 Sb., o zpracování osobních údajů.
  • Výroční zpráva ÚOOÚ za rok 2020 je zveřejněna na webových stránkách úřadu https://www.uoou.cz/vismo/dokumenty2.asp?id_org=200144&id=49119&n=vyrocni%2Dzprava%2Duradu%2Dza%2Drok%2D2020.

Pokuta za porušení povinnosti jmenovat zástupce v EU

  • Nizozemský dozorový úřad (Autoriteit Persoonsgegevens) uložil provozovateli platformy Locatefamily.com pokutu ve výši 525 tisíc EUR za nesplnění povinnosti jmenovat zástupce v Evropské unii (tedy za porušení čl. 27 Nařízení GDPR). Jedná se o první rozhodnutí, kdy byla uložena pokuta za nejmenování zástupce v EU.
  • Nizozemskému dozorovému úřadu se však nepovedlo (ani s pomocí dalších evropských i mimoevropských dozorových úřadů) zjistit, kde přesně provozovatel platformy Locatefamily.com sídlí, a proto je obtížné uloženou pokutu vymoci.

Pokuta pro Amazon

  • Dle listu The Wall Street Journal hrozí americkému internetovému obchodu Amazon v Evropské unii nejvyšší pokuta, jaká byla dosud v rámci GDPR vyměřena. Výše navržené pokuty je cca 425 mil. dolarů, což zhruba odpovídá dvěma procentům loňského čistého zisku společnosti Amazon.
  • Navržená pokuta se týká neoprávněného způsobu shromažďování a využívání osobních údajů osob společností Amazon. Pokutu navrhnul lucemburský úřad pro ochranu osobních údajů CNPD, návrh pokuty musí ještě schválit úřady pro ochranu osobních údajů v ostatních členských zemích EU.

Soudní dvůr EU porušil Nařízení GDPR

  • Evropský inspektor ochrany údajů při kontrole zjistil, že Soudní dvůr EU měl na svých webových stránkách nedostatečné informace o zpracování osobních údajů, a to v podobě skutečností, že cookie banner uživatelům webových stránek neumožňoval odmítnout použití souborů cookies a zároveň pokud bude uživatel souhlasit s používáním cookies webových stránek, budou se ukládat také cookies YouTube.
  • Z tohoto důvodu Evropský inspektor ochrany údajů konstatoval závěr, že webové stránky Soudního dvora EU porušovaly několik ustanovení Nařízení GDPR.

Snížení pokuty německým soudem

  • Německé společnosti provozující mimo jiné také call centrum, které slouží pro potřeby zákazníkům, byla uložena německým dozorovým úřadem pokuta ve výši 9 550 000 EUR, a to z důvodu, že nezajistila přiměřenou úroveň ochrany osobních údajů. Jednalo se o skutečnost, kdy byly rodinným příslušníkům zákazníka sdělovány osobní údaje pro potvrzení kontaktních údajů uvedených ve smlouvě. Tímto bylo omylem pracovníkem call centra sděleno telefonní číslo ex-partnera bývalé přítelkyni.
  • Pokuta byla ve výsledku snížena na 900 000 EUR z důvodu nízkého rizika plynoucí pro subjekty údajů, neboť byly zpracovávány „pouze“ kontaktní údaje nikoliv citlivé osobní údaje.

Co nejčastěji způsobuje pokuty v oblasti ochrany osobních údajů

  • Dle statistik z uplynulých let a různých koutů EU je nyní možné nalézt několik oblastí, kde dochází k zanedbání ochrany osobních údajů, což může způsobit v případě kontrol dozorových úřadů nemalé pokuty. Jedná se o:
    • Transparentnost – každý subjekt zpracovávající osobní údaje musí poskytovat jasné a srozumitelné informace o tom, jak a proč jsou dané osobní údaje zpracovávány. Také by tyto informace měly být dostupné na jednom místě.
    • Právní základ – pokud dochází ke zpracování osobních údajů, musí se toto zpracování opírat alespoň o jeden pilíř: zákon, smlouva, oprávněný zájem, veřejný zájem, souhlas a životně důležité zájmy.
    • Zabezpečení – zpracovávané osobní údaje musí být dostatečně zabezpečené fyzicky, organizačně a technicky. Mělo by docházet k řízení přístupů k datům, sledovat na jakých místech jsou data ukládána, šifrovat údaje, mít silné přihlašovací heslo, logování nezdařených přihlášení atd.
    • Minimalizace dat – většinou je zpracováváno mnohem více údajů než je potřebné k naplnění účelu, dané činnosti.

Kybernetických útoků přibývá

  • Během posledních měsíců došlo k rapidnímu nárůstu zaznamenaných kybernetických útoků nejen s cílem získat osobní údaje a hesla.
  • Národní úřad pro kybernetickou a informační bezpečnost varuje, že v souvislosti s aktuálním děním v Rusku můžeme nyní očekávat větší aktivitu v podobě špionážních kybernetických operací. Týká se to zejména informačních systémů veřejné správy, ale riziko stouplo i u jiných systémů.

Falešná aplikace WhatsApp

  • V nedávné minulosti se pro telefony se systémem Android zrodila falešná „růžová“ aplikace WhatsApp, která však slouží k hackerským účelů. Rozhodně se nejedná o dámskou verzi klasické chatovací aplikace. Instalací tohoto škodlivého software může docházet k povolení přístupu hackerům k osobním údajům, jako jsou telefonní čísla, obsahy zpráv, hesla a platební údaje.
  • V případě, že si chcete aplikaci WhatsApp pořídit, použijte k tomu oficiální obchod GooglePlay či AppStore.

Nástroj Mailchimp porušuje GDPR

  • Dle bavorského dozorového úřadu porušuje tento americký marketingový nástroj na rozesílání newsletterů či hromadných emailů Nařízení GDPR a to z důvodu, že dochází k předávání osobních údajů do USA. Provozování tohoto nástroje se totiž řídí podle amerických předpisů, konkrétně FISA702 (50 U.S.C. § 1881), který Mailchimp kategorizuje jako poskytovatele služeb elektronických komunikací. Což znamená, že veškeré emailové adresy používané v tomto nástroji mohou být zpřístupněny amerických zpravodajským službám (FBI, CIA, Národní bezpečností agentura).

Žaloba aplikace TikTok

  • Známá aplikace pro sdílení krátkých videí TikTok od čínské společnosti ByteDance je obžalována ze shromažďování a využívání údajů o dětech. Žalobu podala bývalá dětská komisařka pro Anglii Anne Longfieldová, která jménem milionů dětí z Velké Británie a Evropské unie požaduje odškodnění ve výši několika miliard liber.
  • Důvodem je údajně skutečnost, že aplikace shromažďuje bez dostatečného upozornění nebo souhlasu zákonných zástupců osobní údaje dětí. Dále údajně není jasně řešeno, jak bude s těmito daty nakládáno.

Španělská letecká společnost nedodržela termín pro ohlášení porušení ochrany osobních údajů

  • Dle Nařízení GDPR má správce osobních údajů povinnost ohlásit porušení ochrany osobních údajů na ÚOOÚ bez zbytečného prodlení, nejpozději však do 72 hodin o zjištění porušení. Jestliže nenastane riziko pro práva a svobody fyzických osob, není ohlášení nutné.
  • Tuto lhůtu nedodržela španělská letecká společnost, která porušení ohlásila až po 41 dnech od zjištění a zároveň toto prodlení neodůvodnila. Za takové pochybení jí byla španělským dozorových úřadem uložena pokuta 100 tisíc EUR.
  • Zároveň byla této společnosti uložena pokuta za nedostatečné zabezpečení osobních údajů, neboť došlo k neoprávněnému přístupu ke kontaktním údajům a údajům týkajícím se bankovních účtů asi 489 tisíc osob.

Sběr dat aplikacemi

  • Je všeobecně známo, že veškeré aplikace, které v mobilních telefonech používáme, o nás sbírají konkrétní data. Níže bezpečností společnost Clario Tech Limited zpracovala přehled nejpoužívanějších aplikací a jaké informace o uživatelích ukládá.

Zdroj: https://www.uoou.cz/assets/File.ashx?id_org=200144&id_dokumenty=48155

Hra o bezpečném chování na síti

  • Olomoucká pedagogická fakulta vytvořila pro žáky základních škol novou on-line hru, pomocí které se mají uživatelé trénovat v bezpečném chování na internetu. Hra nauku prezentuje prostřednictvím akčních soubojů a hlavolamů, které mají zábavnou a atraktivní cestou vzdělávat v zabezpečení mobilních telefonů a počítačů, dále v oblasti ochrany osobních údajů, autorských právech či kyberšikaně, kybergroomingu nebo sextingu.
  • Hru je možné jednoduše spustit na odkaze http://www.internethighway.cz/.

Společnosti IKEA ve Francii hrozí pokuta

  • Koncem března byl ve Francii zahájen soud s bývalým vedením IKEA za špehování svých zaměstnanců. Jedná se konkrétně o skutečnost, kdy IKEA nechávala své zaměstnance a uchazeče o zaměstnání prověřovat bezpečností agenturou, zda v minulosti neměli problémy s krádežemi, zda aktivně nevystupovali proti globalizaci, jestli od nich hrozí riziko ekoterorismu nebo proč se zásadně změnily jejich požadavky vůči zaměstnavateli.
  • Společnosti IKEA za výše uvedené hrozí pokuta až 3,75 milionu EUR (98 milionů Kč).

Seznamovací aplikace Grindr

  • Společnost provozující seznamovací aplikaci Grindr čelí pokutě od Norského úřadu pro ochranu osobních údajů. Výše pokuty může být až 251 milionů Kč a to za neoprávněné sdílení osobních údajů uživatelů aplikace se třetími stranami pro marketingové účely.
  • Jednalo se konkrétně o data týkající se polohy uživatele (GPS signál), dále data uvedená na profilech uživatelů a informaci, zda dotyčný používá samotnou aplikaci.
  • Aplikace sice měla snahu na poskytování těchto osobních údajů sbírat potřebné souhlasy, ty však nesplňovaly požadavky GDPR, ale zejména nebylo možné udělení daného souhlasu odmítnout. Každý uživatel tedy musel marketingový souhlas udělit, pokud chtěl aplikaci využívat.

Ukradená data z Facebooku

  • Již v roce 2019 došlo v rámci sociální sítě Facebook k odcizení osobních údajů více jak půl miliardy uživatelů ze 106 zemí, mezi kterými bylo více jak 1,4 milionu profilů Čechů. Facebook sice v srpnu téhož roku přijal potřebná opatření, ale data už byla ukradena a škody napáchány. Jednalo se o osobní údaje jako telefonní číslo, jméno uživatele, email, datum narození a geolokační údaj.
  • Až nyní, o dva roky později, se ukradená data objevila na internetu. Během celé doby mohlo docházet k jejich zneužívání, které mohlo vést až ke krádeži identity nebo peněz. V současné době ani případná změna hesla u dotčených profilů nic nezmění. Jediná možnost, jak dalšímu odcizení zabránit je účty natvrdo zrušit a smazat.

Statistiky v ochraně osobních údajů

  • Dle statistiky společnosti DLA Piper bylo za pokuty v EU za minulý rok uděleno více jak 4 miliardy korun, což je o přibližně 40 % více než tomu bylo rok před tím. Za celkovou účinnost GDPR se tak rozdaly pokuty ve výši cca 7 miliard korun. Česká republika se na tomto čísle podílela „pouhými“ necelými třemi miliony Kč tvořící 0,04 % celkové částky.
  • Celkem náš Úřad pro ochranu osobních údajů zaznamenal 7 179 podnětů a stížností a zahájil 144 kontrol.
  • Nejvyšší pokuta byla uložena ve Francii společnosti Google ve výši 50 milionů EUR. Druhá nejvyšší pokuta byla udělena v Německu a to společnosti H&M ve výši 35,26 milionů EUR. Třetí největší pokutu 27,8 milionů EUR dostal v Itálii telekomunikační operátor TIM SpA.

Únik osobních údajů

  • Litevská policie prošetřuje únik více jak 100 000 osobních údajů, které byly v roce 2018 odcizeny společnosti provozující sdílení automobilů. Mezi daty byly osobní údaje také několika ministrů a starosty hlavního města. Jednalo se o odcizení identifikačních čísel z nezabezpečené zálohy, která jsou obdobou našich rodných čísel. Data následně hacker nabídl k prodeji za 1 000 dolarů. Tamní úřad na ochranu osobních údajů nyní vyšetřuje dostatečnost zabezpečení dat a případně přistoupí k pokutě.

Pokuta za spam do datových schránek

  • V souvislosti s vyhlášeným nouzovým stavem způsobeným pandemií Covid-19 bylo v České republice zavedeno zaslání zpráv datovou schránkou zdarma pro zjednodušení a urychlení komunikace s úřady. Podmínkou však bylo, že společnosti tohoto zavedení nebudou zneužívat posíláním nevyžádaných nebo jinak obtěžujících sdělení.
  • Na podnět několika desítek stížností Úřad pro ochranu osobních údajů udělil pokutu 11 společnostem v celkové výši přes 3 miliony Kč, které disponovaly a používaly databáze tisíců kontaktů datových schránek k rozesílání nejrůznějších nabídek zboží a služeb, aniž by disponovaly např. zákaznickým či jiným obdobným vztahem, jež by je ospravedlňoval k zasílání sdělení tohoto typu z titulu oprávněného zájmu.

Únik osobních údajů v Nizozemsku

  • V rámci dvou útoků byly ukradeny osobní údaje tisíců nakažených lidí koronavirem z hlavního trasovacího systému. Jednalo se o data jako je jméno, bydliště, telefon, číslo pojištěnce a výsledek testu. Ukradená data byla následně nabídnuta na internetu ke koupi.

Pokuta pro Google a Amazon

  • Koncem minulého roku udělil francouzský úřad na ochranu osobních údajů CNIL zatím největší pokutu ve výši 100 milionů EUR pro Google a 35 milionů EUR pro společnost Amazon. Obě společnosti se provinily tím, že porušily ochranu osobních údajů v souvislosti s používáním cookies a dalších sledovačů používaných k cílenému zobrazování reklamy na svých webových stránkách. Dále byly obě společnosti vyzvány k okamžité nápravě, přičemž každý den prodlevy se odrazí v pokutě 100 000 EUR denně.

Pokuta pro společnost Twitter

  • Společnost Twitter International Company sídlící v Dublinu dostala v prosinci 2020 pokutu 450 000 EUR za porušení GDPR. Jednalo se nejen o nedodržení lhůty 72 hodin pro ohlášení porušení zabezpečení osobních údajů dozorovému úřadu a to od chvíle zjištění takové situace, ale také za samotné porušení zabezpečení ochrany osobních údajů. Pokud si uživatel změnil email propojený s účtem na Twitter, jejich tweety se následně staly nechráněné a byly tedy k nahlédnutí široké veřejnosti, ne pouze jejich followerům.

Nedostatečné zabezpečení seznamu testovaných na COVID-19

  • Jedna z českých laboratoří nedostatečně zabezpečila osobní údaje žadatelů o test na COVID-19. Pouhým přepsáním adresního řádku mohl kdokoliv nahlížet na žádanku obsahující kromě jména, příjmení a adresy také další choulostivé údaje, jako je rodné číslo, číslo občanského průkazu a kontaktní údaje. Dle ÚOOÚ se jedná o jisté pochybení. Vedení laboratoře problém obratem začalo řešit.

SMS s aplikací eRouška

  • V říjnu 2020 dostali tři největší operátoři v České republice pokyn od hygieničky Jarmily Rážové k rozeslání sedmi milionů SMS zpráv obsahující informaci ke stažení aplikace eRouška. Podle expertů na kyberbezpečnost je však zvolená forma zaslaného sdělení vysoce riziková, neboť hrozí možné zneužití hackery. Důvodem je skutečnost, že uvedená webová stránka na stažení aplikace není dostatečně zabezpečena protokolem HTTPS a je tedy velice snadné odkaz přesměrovat na nebezpečné servery.
  • O2 zároveň sledoval, kdo z příjemců SMS na odkaz ve zprávě klikl, avšak účel tohoto sběru dat nevysvětlil.

Osobní údaje zveřejněné v Centrálním registru dlužníků České republiky (CERD)

  • Úřad pro ochranu osobních údajů provedl v r. 2018 kontrolu Centrálního registru dlužníků České republiky (CERD) a v r. 2019 zahájil řízení o sankci za nepřijetí opatření k nápravě. Správce osobních údajů systému CERD uložená opatření neprovedl, a proto se ÚOOÚ obrátil na poskytovatele služeb pro systém CERD, díky kterému se podařilo znepřístupnit web CERDu. Správce osobních údajů systému CERD si ale zajistil nového poskytovatele služeb – indickou společnost, která IP adresy pro registr hostuje na území Ruské federativní republiky.
  • ÚOOÚ tedy přišel o možnost ovlivnit stažení nebo znepřístupnění protiprávního obsahu registru. Správce osobních údajů registru nyní s odkazem na svobodu shromažďování informací čeká na zrušení rozhodnutí ÚOOÚ.
  • Provozovatel CERDu k tomu na webu napsal: „Transparentní protikorupční linka je pozastavena do doby zrušení Úřadu na ochranu osobních údajů. ÚOOÚ podalo opakovanou námitku proti zveřejnění příspěvků třetích stran ve formě veřejného fóra, kde se přispěvatelé snaží poukázat na podezření překračující zákon. Z důvodu možných budoucích sankcí za umožněné zveřejnění příspěvků doplněné poučením o možné irelevantnosti příspěvků je zveřejňování oznámení zastaveno. ÚOOÚ svým právním výkladem znemožnilo do budoucna zpětnou veřejnou kontrolu v rámci prověřování protikorupčních oznámení. Protikorupční systém je založen na legislativě USA, která nebrání přístupu k informacím a šíření svobodného názoru… Zveřejněné údaje nespadají do jurisdikce České publiky, neboť jsou data primárně uložena mimo území ČR a nejsou z důvodu ochrany vkladatele spojeny s českým rezidentem či provozovatelem.“
  • Poznámka: CERD není součástí žádného zákonného registru, potvrzení registru banky nepřijímají a sám registr upozorňuje, že za data neručí. Registrem dlužníků v ČR je Solus a další bankovní i nebankovní firmy, stát provozuje insolvenční rejstřík a Exekutorská komora vede ze zákona Centrální evidenci exekucí.

Pokuta pro British Airways za únik dat

  • Britský úřad na ochranu osobních údajů udělil pokutu ve výši 20.000.000 liber (cca 600 mil. Kč) letecké společnosti British Airways, která v roce 2018 dostatečně neochránila osobní a finanční údaje více jak 400 tisíc zákazníků. Důvodem výše této pokuty je skutečnost, že společnost sama útok nezaznamenala a byla na něj upozorněna až dva měsíce poté třetí stranou.

Pokuta pro společnost H&M

  • Na podzim byla udělena dosud nevyšší pokuta ve výši 35,3 mil EUR (cca 950 mil. Kč) a to společnosti Hennes & Mauritz (H&M). Pokutu udělil německý dozorový úřad za zásadní porušení pravidel ochrany osobních údajů, kdy společnost záměrně sledovala soukromí stovek zaměstnanců servisního centra. Jednalo se o jejich intenzivní monitorování s cílem analyzovat osobní a rodinné poměry, zdravotný stav či jejich náboženské nebo filozofické přesvědčení. Zjištěné údaje pak společnost využívala například při rozhodování o ukončení pracovního poměru nebo dalších pracovněprávních změnách.

EU vyšetřuje aplikaci Instagram

  • Irská Komise na ochranu dat zahájila vyšetřování proti sociální platformě Instagram, která je součástí společnosti Facebook. Důvodem je podezření, kdy Instagram porušuje GDPR nedostatečným zabezpečením dat, primárně dat dětí a mladistvých. V případě, že regulační orgány zjistí porušení může být uložena pokuta přesahující i 20 milionů EUR (cca 545 mil. Kč).

Zjištěná porušení ochrany osobních údajů

  • Statutární město bylo uznáno vinným ze spáchání přestupku, když omylem odeslalo datovou schránkou seznam 10 112 dlužníků určený pro Finanční úřad neoprávněné osobě jisté společnosti.
  • Statutární město předalo osobní údaje 150 členů Společenství vlastníků domů nájemci nebytových prostor u tohoto společenství za účelem získání souhlasu členů se změnou užívání jím pronajatých prostor.
  • Univerzita v rámci přijímacího řízení zpracovávala rodné číslo pro účel přihlášení uchazeče o studium do informačního systému a dále nestanovila jednoznačný účel a právní základ pro zpracování osobních údajů v rozsahu občanství, místo narození, informace, odkud se uchazeč hlásí a soukromý e-mail.

Nejvyšší pokuta ÚOOÚ

  • V září udělil ÚOOÚ doposud nejvyšší pokutu 6 mil. Kč společnosti, která se zabývá prodejem ojetých automobilů. Důvodem bylo opakované rozesílání nevyžádaných obchodních sdělení. Emaily byly doručovány půl milionu adres a to i osobám, které k tomu neudělily souhlas. Nevyžádanými sděleními společnost porušila zákon č. 480/2004 Sb., o některých službách informační společnosti.

Sankce za kybernetické útoky

  • Na konci července 2020 Evropská unie poprvé uvalila sankce za kybernetické útoky, a to za útok namířený proti Organizaci pro zákaz chemických zbraní (OPCW) a útoky známé pod označením WannaCry, NotPetya a Operation Cloud Hopper.
  • Postiženo má být celkem šest osob a tři subjekty pocházející z Ruska, Severní Koreje a Číny. Omezující opatření zahrnují zákaz cestování a zmrazení majetku. Osoby a subjekty z EU kromě toho nesmí osobám a subjektům zařazeným na sankční seznam zpřístupňovat finanční prostředky.

Pokuta pro Google za porušení práva být zapomenut

  • Belgický dozorový úřad udělil společnosti Google pokutu ve výši 600.000 EUR (cca 16 mil. Kč) za nedostatečnou aplikaci práva být zapomenut, tj. práva na odstranění odkazů z výsledků vyhledávání. Konkrétně se jednalo o neodstranění internetových odkazů, které mohou poškodit jistého veřejně činného jednotlivce, z výsledků internetového vyhledávání na standardní vyhledávací dotaz. Společnost Google s rozhodnutím belgického dozorového úřadu nesouhlasí a bude se proti němu dále bránit.

Pokuta pro Twitter za nekalé nakládání se soubory cookies

  • Španělský dozorový úřad udělil pokutu ve výši 30.000 EUR (cca 800 tis. Kč) společnosti Twitter za chybné získávání souhlasů s ukládáním souborů cookies. Společnost se provinila tím, že ihned po vstupu uživatele na webové stránky nainstalovala do přístupového zařízení soubory cookies, které však nebyly pro správné fungování Twitteru potřebné. Další výtka dozorového úřadu se týkala vyskakujícího banneru, který bez možnosti volby rovnou uvádí, že využíváním služeb Twitteru návštěvník automaticky souhlasí s pravidly společnosti pro zpracování souborů cookies.

Únik osobních údajů uživatelů Moje eZdravie

  • Na Slovensku mohlo dojít k úniku osobních údajů až 390 tisíc uživatelů aplikace Moje eZdravie, kteří byli testování na přítomnost viru v souvislosti s Covid-19. Aplikace, která obsahuje formulář, pomocí kterého je možné požádat o vyšetření, je provozována státní příspěvkovou organizací Národné centrum zdravotníckych informácií (NCZI).
  • NCZI použilo při vytváření aplikace nezabezpečené rozhraní, do kterého mohl kdokoliv vstoupit a zároveň nebylo zajištěno šifrování dat. Bezpečnostní společnost tedy získala veškeré osobní údaje testovaných osob – jméno, datum narození, adresu, klinické příznaky, informace o odběru s výsledkem testu.

Příklady porušení ochrany osobních údajů vyplývající z kontrol provedených ÚOOÚ v 1. pololetí roku 2020

Níže je uvedeno shrnutí stěžejních chyb v oblasti ochrany osobních údajů identifikovaných v rámci kontrol provedených ÚOOÚ v 1. pololetí roku 2020:

  • Veřejná vysoká škola vyžadovala při přihlašování uchazečů ke studiu nadbytečné údaje, bez jejichž vyplnění nebylo možné elektronickou přihlášku do přijímacího řízení na vysokou školu odeslat. Pro přihlášení do informačního systému, v němž byla elektronická přihláška ke studiu vyplňována a podávána, bylo nezákonně vyžadováno rodné číslo v kombinaci s iniciálami jména a příjmení uchazeče.
  • V rámci exekutorského úřadu bylo zjištěno pochybení zaměstnance při doručování zprávy do datové schránky jiné osoby. Zaměstnanci, který porušil správcem stanovený pracovní postup, byla chyba vytknuta a byla přijata příslušná opatření k eliminaci selhání lidského faktoru.
  • ÚOOÚ udělil několika obchodním společnostem pořádkovou pokutu (ve výši 25 – 300 tis. Kč) za neposkytnutí součinnosti při realizaci kontroly dodržování ochrany osobních údajů (kontroly provedené z důvodu podezření na neoprávněné předávání osobních údajů v rámci nákupu na e-shopu, nezákonného rozesílání nevyžádaných obchodních sdělení atd.).
  • Organizace měla nesprávně nastaven postup pro udělení souhlasu s cookies na svých webových stránkách − souhlas se zpracováním osobních údajů nebyl právoplatně udělen, protože ukládání informací v koncovém zařízení uživatele internetových stránek prostřednictvím souborů cookies bylo povoleno předem zaškrtnutým políčkem, jehož zaškrtnutí by musel uživatel k odmítnutí svého souhlasu zrušit.
  • Společnost zaměřená na půjčování sportovního vybavení nezákonně kopírovala občanské průkazy klientů − společnost neměla řádně udělený souhlas pro zpracování osobních údajů a klienti nebyli dostatečně informováni, proč jsou jejich doklady kopírovány a jak bude s jejich osobními údaji nakládáno.
  • Společnost pochybila při formulaci souhlasu zaměstnanců se zpracováním osobních a biometrických údajů za účelem provozování docházkového systému s technologií umožňující rozpoznání otisků prstů, a sledování zaměstnanců prostřednictvím kamerového systému, při práci s počítačem a pomocí GPS umístěných ve služebních vozech. Udělený souhlas nesplňoval zákonné požadavky, neboť informace a poučení subjektu údajů o účelu, způsobech a době zpracování biometrického údaje (otisku prstu) nebyly zcela jednoznačně formulovány / nebyly transparentní.
  • Obchodní společnost nezákonně rozesílala nevyžádaná obchodní sdělení elektronickými prostředky, která obsahovala nabídky zboží a služeb různých internetových obchodů a rovněž vybízela k návštěvě internetových stránek určených k přímé podpoře nabízeného zboží a služeb.
  • Společnost nezákonně zpracovávala osobní údaje za účelem uskutečňování nevyžádaných telefonických marketingových hovorů. Společnost pochybila i při zpracování osobních údajů klientů, kteří projevili souhlas se zpracováním pouze ústně – telefonicky, protože projevený souhlas nebyl nikterak zaznamenán či archivován.

Zneužití dat uživatelů antivirové ochrany Avast

  • Česká antivirová společnost Avast Software s.r.o. obchodovala s daty, která získává o svých klientech. Americké magazíny Vice a PCMag jako první popsaly, jak Avast prodává data o vyhledávání stovek milionů svých klientů po celém světě globálním společnostem jako Google, Microsoft, Pepsi nebo Tripadvisor.
  • Společnost Avast Software s.r.o. měla prostřednictvím své dceřiné společnosti Jumpshot prodávat data o aktivitách uživatelů antivirové ochrany. Jumpshot nabízela klientům různé balíky dat vč. takzvaného „All Clicks Feed“, který do detailu sleduje chování uživatele, jeho kliky, pohyb mezi weby i na jednotlivých stránkách. Někteří odběratelé podle získaných smluv platili za data částky v milionech dolarů.
  • Na základě zveřejněných informací popisujících praktiky společnosti Avast Software s.r.o. zahájil ÚOOÚ prošetření případu. Výrobce antivirů Avast – dle vyjádření vedení společnosti − přestane prodávat veškerá data, která získal od svých zákazníků, nabízet nebude ani anonymizované údaje a zavře dceřinou společnost Jumpshot sídlící v San Franciscu.

Zneužití dat z Katastrálního úřadu firmou Nexter Company

  • Společnost Nexter Company na svém webu Atlas cen zveřejnila data o 70 tisících nemovitostí prodaných v loňském roce, včetně ceny, za kterou byly prodány, kontaktů na majitele a fotek z původních inzerátů. Všechny tyto údaje, jež firma získala od Katastrálního úřadu a zaplatila za ně celkem 380 250 Kč, byly na webových stránkách přístupné bezplatně a bez nutnosti registrace. Společnost informace získané z Katastru nemovitostí tedy nevyužila pouze pro vlastní účely, ale šířila je i dál.
  • Podle ÚOOÚ jde o největší zneužití cenových údajů z Katastru nemovitostí. Společnost se brání, že zveřejnění informací nebylo v rozporu s katastrálním zákonem, nicméně ze své webové stránky nejdříve odstranila fotky nemovitostí a nyní celý web reviduje.

Pochybení při zpracování osobních údajů politickými stranami

  • V rámci kontrol provedených v roce 2019 ÚOOÚ prověřoval dvě politické strany – SPD a TOP 09, a to kvůli zpracování osobních dat jejich členů, příznivců a dárců.
  • Porušení pravidel odhalil ÚOOÚ především u hnutí SPD. Hnutí zpracovávalo osobní údaje o svých dárcích v rozsahu, který nebyl nezbytně nutný (nadbytečně o dva roky prodloužilo lhůtu, v níž se uchovávaly data dárců). Hnutí mělo podle výsledků kontroly ÚOOÚ také nepřiměřeně dlouhou lhůtu pro vymazání osobních údajů nepřijatých zájemců o členství.
  • Strana TOP 09 porušila ustanovení GDPR o vedení záznamů zpracování osobních údajů. Záznamy neobsahovaly všechny požadované náležitosti, např. zájemce o zasílání newsletteru strany. Strana toto pochybění neprodleně napravila.

Telefony Xiaomi odesílají data o svých uživatelích do Číny

  • Rumunský softwarový inženýr Gabriel Cîrlig při testování telefonů čínské značky Xiaomi zjistil, že tato zařízení sledují aktivitu svých uživatelů a data následně odesílají na čínský server, který vlastní společnost Alibaba. Firma Xiaomi nepopírá, že data sbírá a odesílá, ale tvrdí, že se tomu děje pouze v anonymizované podobě. Toto tvrzení Gabriel Cîrlig odmítá, podle něj je možné informace na serveru snadno propojit s konkrétními osobami. V reakci na toto zjištění firma Xiaomi slíbila, že do příští aktualizace svého webového prohlížeče zahrne možnost sběru dat vypnout.
  • V České republice používá telefony značky Xiaomi např. Úřad vlády, policie a některá zdravotnická zařízení, pro nadcházející sčítání lidu je nakoupil i Český statistický úřad.
  • Kromě mobilních telefonů Xiaomi představují nebezpečí i softwarové produkty od této firmy, např. webové prohlížeče Mi Browser Pro a Mint Browser.

Pokuta pro MV ČR za uchovávání DNA profilů

  • Ministerstvo vnitra ČR neuspělo s kasační stížností proti pokutě 240.000,- Kč od ÚOOÚ. Nejvyšší správní soud potvrdil loňské stanovisko Městského soudu v Praze. Důvodem pokuty bylo nadbytečné uchovávání DNA profilů lidí, kteří nebyli pravomocně odsouzeni, příp. se dopustili činů s nízkou závažností a společenskou škodlivostí, třeba maření výkonu úředního rozhodnutí.
  • Podle ÚOOÚ nelze úmyslné spáchání trestného činu akceptovat jako výhradní kritérium pro další zpracování citlivých údajů. Postačí jen pro sběr dat, při jejich dalším uchování je ale nutné zohlednit i kriminální minulost a další okolnosti.

Kybernetický útok na brněnskou fakultní nemocnici v Bohunicích a dětskou nemocnici a porodnici na Obilním trhu

  • V první polovině března 2020 byly brněnská fakultní nemocnice v Bohunicích a dětská nemocnice a porodnice na Obilním trhu napadeny virem, který ochromil jejich počítačové systémy, omezil fungování nemocnice, omezil přístup k databázím a webovým stránkám nemocnice, došlo i k výpadku telefonních linek. Případ vy­šetřují odborníci z Národního úřadu pro kybernetickou a informační bezpečnost.

Shrnutí činností ÚOOÚ za rok 2019

  • Úřad pro ochranu osobních údajů ve své Výroční zprávě za rok 2019 uvádí počty poskytnutých konzultací, řešených dotazů, podnětů a stížností a provedených kontrol.
  • ÚOOÚ obdržel v roce 2019 celkem 1 836 dotazů a poskytl 2 667 konzultací přes GDPR telefonní linku.
  • ÚOOÚ přijal 2 482 podnětů a stížností směřujících proti postupu správců osobních údajů, z toho bylo 560 vyřízeno upozorněním správce na možné porušení a 145 předáno ke kontrole nebo jinému řízení. Většina podnětů a stížností se týkala zejména zpracování osobních údajů pro marketingové účely, nerespektování práv subjektů údajů ze strany správců (např. práva na přístup k osobním údajům), neplnění nebo nedostatečné plnění správcovy informační povinnosti o zpracování osobních údajů, zpracování osobních údajů s podvodným úmyslem (vymáhání plateb po registraci na webovém portále nebo e-shopu, vymáhání pokut za porušení obchodních podmínek), zveřejnění adresních údajů žadatelů při zveřejnění poskytnuté informace podle zákona č. 106/1999 Sb., o svobodném přístupu k informacím, zveřejnění neanonymizovaných záznamů (případně zápisů) z jednání Zastupitelstva obce nebo Rady města na internetu, provozování kamer atd.
  • ÚOOÚ přijal 416 ohlášení porušení zabezpečení osobních údajů ve smyslu čl. 33 Nařízení GDPR – nejvíce ohlášení se týkalo kybernetického incidentu, který zasáhl i zpracovávané osobní údaje (zejména se jednalo o napadení škodlivým programem, tzv. ransomwarem), dálo se jednalo o jednorázové nedbalostní pochybení zaměstnanců správců spočívající např. v mylném zaslání osobních údajů jiným než zamýšleným adresátům, zaslání e-mailové komunikace adresátům v „neskrytých kopiích“, ztrátě zařízení obsahujícím osobní údaje, ztrátě nebo odcizení osobních údajů v listinné podobě.
  • ÚOOÚ zahájil 63 kontrol a ukončil jich 75 (z toho 32 kontrol bylo z předchozích let) − kontroly byly úřadem zahájeny jak z poznatků ze stížnostní agendy, tak na základě vypracovaného kontrolního plánu pro rok 2019. Bylo uloženo 19 opatření k nápravě a 4 pokuty za neposkytnutí součinnosti v kontrole.
  • ÚOOÚ obdržel 2 007 podnětů k problematice obchodních sdělení podle zákona č. 480/2004 Sb., o některých službách informační společnosti. Úřad zahájil 5 kontrol a ukončil jich 17 (z toho 13 kontrol bylo z předchozích let). Bez zahájení kontroly upozorněním subjektu na možné porušení povinností bylo vyřízeno 390 podnětů. Úřad vedl s 28 subjekty správní řízení, jehož výsledkem bylo uložení sankce.

Shrnutí stěžejních zajímavostí a identifikovaných chyb v oblasti ochrany osobních údajů z roku 2019:

  • Městskému úřadu byla udělena pokuta v souvislosti s pochybením při vydávání parkovacích karet městem. Na parkovacích kartách byly uvedeny nadbytečné osobní údaje – jméno, příjmení a trvalé bydliště.
  • V rámci městského úřadu bylo zjištěno pochybení zaměstnance při doručování zprávy do datové schránky jiné osoby. Vzhledem ale k tomu, že městský úřad neprokázal, že by byl zaměstnanec řádně poučen o svých povinnostech v oblasti ochrany osobních údajů, nesl odpovědnost za zpřístupnění osobních údajů doručením zásilky do datové schránky jiné osoby městský úřad.
  • Zaměstnanec organizace nezabezpečil listiny s osobními údaji jejich ponecháním ve vozidle. Obviněný poukazoval na uzamčení vozidla, zaparkování vozidla ve frekventované části města, vědomost o kamerovém systému města. Podle rozhodnutí ÚOOÚ se nejedná o vynaložení veškerého úsilí, které bylo možno požadovat – vozidlo není běžným místem pro uložení dokumentů s osobními údaji.
  • Zaměstnavatel organizace neoprávněně nadbytečně uchovával kopie dokladů svých zaměstnanců. Kontrola v personálních spisech našla kopie průkazů zdravotního pojištění, výpisy z evidence Rejstříku trestů, karty s čísly bankovních účtů i skenované fotografie a rodné listy dětí zaměstnanců.
  • Finančnímu úřadu byla udělena pokuta za doručení dokumentů osobě bez datové schránky do datové schránky jiného daňového subjektu. K záměně došlo z důvodu shody jména, příjmení a data narození u dvou daňových subjektů.
  • V informačním systému Vězeňské služby došlo k nedostatečnému zabezpečení osobních údajů (v rámci přístupových oprávnění zaměstnanců) – k fotografiím jednotlivých vězňů měl přístup každý zaměstnanec, který je povinen pracovat s daty vězněných osob. Nahlížení bylo regulováno interním předpisem, což není dostatečné opatření v případě, kdy přístup není nezbytný k výkonu práce. Pouhé vymezení povinností, zákazů a oprávnění při práci s informačním systémem ve vnitřním předpise nelze považovat za veškeré možné úsilí, které mohl účastník řízení vynaložit k tomu, aby zabránil neoprávněnému přístupu k osobním údajům.
  • Česká školní inspekce nezabezpečila testovací aplikaci InspIS – bylo tak možné se za určitých okolností dostat k desítkám tisíc jmen a příjmení žáků a také k informaci, zda mají nějaké zdravotní znevýhodnění. Podle vyjádření ČSI se jednalo o technickou chybu při úpravách systému InspIS, kterou následná kontrola neodhalila. Po zjištění chyby byla data okamžitě zablokována a chyba byla odstraněna.
  • Výzva k zaplacení pokuty od pražského magistrátu za spáchání dopravního přestupku byla rozeslána nesprávným adresátům – jednalo se přibližně o 2.500 nesprávně rozeslaných výzev.
  • Za účelem předcházení šikany, ochrany majetku školy, ochrany zdraví zaměstnanců a žáků provozovalo školské zařízení kamerový systém se záznamem, který byl nainstalovaný ve všech veřejných prostorách školy (vč. jednotlivých učeben). Kamerový systém byl provozovaný nepřetržitě, a to bez souhlasu subjektů údajů se zpracováním osobních údajů.
  • Školské zařízení neoprávněně zpřístupnilo osobní údaje studentů v souvislosti se zahájením správního řízení o vyloučení studenta ze školy a šetřením rozporných tvrzení účastníků incidentu za účelem získání svědectví dalších osob. Škola zaslala žákům elektronickou poštou výzvu k vyjádření, která obsahovala popis incidentu a identifikaci osob, které se jej měly zúčastnit, a to bez souhlasu dotčených studentů.
  • Mateřská škola provozovala elektronický vstupní systém založený na systematickém snímání a zpracování otisků (biometrický údaj) a při tom nedisponovala souhlasem ke zpracování předmětných osobních údajů.
  • Mateřská škola zveřejnila na nástěnce v budově školky seznam dětí, které měly nedoplatky za předškolní vzdělávání a stravné, a seznam dětí, které se nedostavily k zápisu k předškolnímu vzdělávání (porušení § 5 odst. 2 zákona č. 101/2000 Sb.). Mateřská škola tedy zpřístupnila osobní údaje dětí i třetím osobám, tj. nepřijala taková opatření, aby nemohlo dojít k neoprávněnému nebo nahodilému přístupu k osobním údajům, k jejich změně, zničení či ztrátě, neoprávněným přenosům, k jejich jinému neoprávněnému zpracování, jakož i k jinému zneužití osobních údajů.
  • Soukromé společnosti využívali údajů z Katastru nemovitostí k nabídce obchodu a služeb, i přesto, že údaje z Katastru nemovitostí nelze využívat k jinému než zákonem stanovenému účelu.
  • Společnosti byla udělena pokuta za zaslání dopisů seniorům, kteří čerpali některé ze sociálních služeb, s nabídkou, že jim daná společnost bude doživotně poskytovat sociální služby, pokud na ni převedou vlastnické právo k nemovité věci (osobní údaje seniorů společnost shromažďovala z Katastru nemovitostí a dále je zpracovávala pro své obchodní účely).
  • Klient banky zapříčinil neoprávněné zasílání e-mailových zpráv (předávání bankovních informací mezi bankou a klientem) na adresu třetí osoby, když při uzavření smlouvy uvedl nesprávně svou e-mailovou adresu, přičemž tato e-mailová adresa patřila jiné osobě, která nebyla klientem banky. Třetí osoba, poté co obdržela několik e-mailů, na chybu upozornila banku, ovšem ta toto upozornění nesprávně vyhodnotila jako reklamaci služeb a k nápravě chyby došlo až na základě kontroly ÚOOÚ.
  • I přes přijetí a realizaci dostatečně technicko-organizačních opatření k zajištění bezpečnosti zpracovávaných osobních údajů došlo v rámci zdravotnického zařízení k zaslání elektronické zprávy obsahující osobní údaje potencionálního klienta na e-mailovou adresu jiného klienta. Předmětný incident tedy nebyl způsoben absencí či nedostatečností opatření na straně zdravotnického zařízení, ale pochybením na straně zaměstnankyně (zaměstnankyně i přes zákaz zdravotnického zařízení vyřizovala dvě věci souběžně a v důsledku toho si otevřela dvě okna aplikace Outlook).
  • Odborníci na kyberbezpečnost ze společnosti SODAT analyzovali soubory na Ulož.to a zjistili, že mnohé z nich obsahují firemní přístupová hesla, pracovní smlouvy nebo rodná čísla. Tyto informace přitom na úložiště nahrávají sami zaměstnanci za účelem zálohování a sdílení.
  • Některé aplikace v iPhonech nahrávají data uživatelů – aplikace bez souhlasu a vědomí uživatelů nahrává displej telefonu a ukládá úkony, které na telefonu v rámci dané aplikace člověk provádí (telefon tak zaznamenává např. i hesla, čísla kreditní karty nebo cestovního pasu). Umožňuje to technologie session replay, která pořizuje screenshoty a následně je odesílá vývojářům z důvodu odhalení chyb a nefunkčních prvků v aplikaci (tímto postupem lze samozřejmě studovat i chování zákazníka). Problematické je pak především nedostatečné zabezpečení údajů, u nichž hrozí zneužití v případě, že se při odesílání nevyužije šifrování. Odesílání nezašifrovaných osobních údajů se netýká všech aplikací, ale problematické zůstává především to, že aplikace uživatele neinformují o tom, že jsou jejich činnosti nahrávány a odesílány vývojářům.

  • ÚOOÚ zveřejnil přehled o počtu a výši pravomocně udělených pokut za porušení GDPR od začátku jeho účinnosti. K listopadu 2019 bylo uděleno celkem 105 pokut v souhrnné výši 7.467.000,- Kč, z nichž nejvyšší pokuta je 250.000,- Kč. V rámci provedených kontrol ÚOOÚ zjistil, že většina společností / organizací neví, co je balanční test (test proporcionality) nebo nedodržují dostatečná technicko-organizační opatření při zpracování osobních údajů.
  • V Kosmonosech u Mladé Boleslavi byla v popelnici na tříděný odpad nalezena zdravotnická dokumentace – 50 složek obsahujících kompletní zdravotnické karty vč. jména, rodného čísla, adresy a diagnózy pacienta (zprávy lékařů s různou datací). Případem úniku osobních údajů se zabývá Policie ČR. Podle expertů by mohly být údaje ze zdravotních zpráv zneužitelné – tyto údaje patří do zvláštní kategorie osobních údajů, tj. jedná se o údaje, při kterých by měla být zvýšená míra zabezpečení při zpracování. V krajním případě by vyhození zdravotnických záznamů do popelnice mohlo být kvalifikované jako neoprávněné nakládání s osobními údaji, za které hrozí až pětiletý trest.
  • V prosinci 2019 napadl nemocnici v Benešově počítačový virus. Podle dosavadních informací se předpokládá, že se jednalo o specifický vir původem z Ruska zvaný Ryuk, který byl identifikován i v případě kybernetického útoku na doly OKD. Tento vir cílí na instituce a firmy pracující s citlivými daty. Vir neútočí okamžitě, ale nejdříve vše v počítači zanalyzuje – vir bez vědomí uživatele v počítači důkladně prozkoumá všechna data a dokumenty, a dokonce je schopen vypnout i antivirové programy. Když vše důkladně zanalyzuje, počítač zašifruje. Tato šifra je dostupnými technologiemi v podstatě neprolomitelná, klíč k ní totiž vlastní pouze ruská kriminální skupina, která Ryuk vytvořila. V některých případech pak skupina stojící za virem Ryuk s napadenou institucí vyjednává o ceně výkupného. Středočeský kraj (zřizovatel benešovské nemocnice) oznámil, že nemocnice nepřišla o velké množství dat. Incident řeší kraj jak s ÚOOÚ, tak i s NÚKIB. Obnova systémů v benešovské nemocnici zatím stála 40 mil. Kč (částka ještě není konečná). Skupina ruských hackerů virem Ryuk útočila v minulosti i v zahraničí, napadla např. americká vydavatelství novin, školy, ale i úřady na Floridě a ve Španělsku.
  • Úřad pro ochranu osobních údajů udělil v průběhu prvního roku účinnosti Nařízení GDPR osm pokut v celkové částce 370.000,- Kč (nejvyšší pokuta byla udělena bance a to ve výši 250.000,- Kč). Mezi nejčastější prohřešky patří nedobrovolné získávání souhlasu se zpracováním osobních údajů, nedostatečné zabezpečení dokumentace obsahující osobní údaje subjektů údajů a zveřejňování seznamu s osobními údaji na internetu.
  • ÚOOÚ při určování výše pokut za porušení GDPR zohledňuje konkrétní okolnosti případu – zohledňuje zejména počet dotčených subjektů údajů; délku trvání porušení; zda a jak správce reaguje na výzvy subjektu údajů a ÚOOÚ a jak s ním spolupracuje během kontroly.
  • Předmětem kontrolního plánu ÚOOÚ pro rok 2019 jsou následující obory, resp. typy správců:
    • zpracování související s rozvojem digitalizace služeb, které občanům poskytují orgány veřejné správy;
    • zpracování osobních údajů při používání cookies;
    • zabezpečení osobních údajů u zpracovatele osobních údajů;
    • zpracování osobních údajů společností vyvíjející a provozující mobilní aplikace;
    • zpracování osobních údajů prováděného buď přímo politickými subjekty, nebo za ně, a to se zaměřením jak na vlastní členskou základnu daného subjektu, tak na osoby stojící mimo ni;
    • plnění povinností při zpracování osobních údajů, včetně zvláštních kategorií údajů – otisků prstů při provozování hazardních her.
  • ÚOOÚ navrhl MPSV změny v zákoníku práce, a to konkrétně promítnutí zásad GDPR do oblasti zpracování biometrických údajů zaměstnanců. Zaměstnavatelé často zakládají zpracování některých biometrických údajů zaměstnanců pro účely kontroly vstupu, přítomnosti a přístupů na souhlasu zaměstnanců. Takové používání souhlasu ve vztahu zaměstnavatel – zaměstnanec je však nepřijatelné, a to s ohledem na právní úpravu GDPR. Dle stanoviska ÚOOÚ je třeba, aby pracovněprávní úprava zohlednila rozšíření biometrických technologií ve společnosti a současně byla jasně formulována s ohledem na základní požadavky ochrany osobních údajů.
  • Centrální registr dlužníků České republiky (CERD) ignoruje nařízení ÚOOÚ o přijetí nápravných opatření. CERD si zajistil nového poskytovatele služeb, kterým je indická společnost hostující pro systém CERD IP adresy na území Ruské federace. Z toho důvodu ÚOOÚ nyní nemá možnost ovlivnit stažení nebo znepřístupnění protiprávního obsahu. V současné době tak probíhá řízení o sankci za nepřijetí opatření k nápravě. Před činností systému CERD varoval ÚOOÚ už na začátku roku 2017. CERD totiž za úplatu poskytuje potvrzení o bezdlužnosti, aniž by byl zapojen do legálních dlužnických registrů. Vydaná potvrzení tak nejsou uznávána státními úřady ani finančními institucemi.
  • ÚOOÚ udělil pokutu 10.000,- Kč školskému zařízení za zveřejnění fotky bývalé zaměstnankyně na Facebooku. Škola navzdory opakovaným výzvám své bývalé zaměstnankyně neodstranila z facebookových stránek školy její fotografii, u které bylo uvedeno jméno, příjmení a titul.
  • Irská komise pro ochranu dat DPC zahájila první vyšetřování internetové společnosti Google. Podezřívá Google z neoprávněného nakládání s osobními údaji za účelem reklamy. Na činnost Googlu upozornil i provozovatel webového prohlížeče Brave – podle společnosti Brave některé firmy včetně Googlu poskytují osobní údaje o pohybu na webu svých uživatelů desítkám až stovkám firem za účelem cílené reklamy, aniž by o tom dotyční věděli.
  • Španělská fotbalová liga dostala pokutu 250 tis. eur za porušení Nařízení GDPR – trest se týká aplikace fotbalové soutěže La Liga, která měla pomáhat v boji s pirátským vysíláním zápasů, kvůli němuž La Liga ročně na vysílacích právech přijde o 400 milionů eur. Problém byl údajně v nedostatečném informováním uživatelů, že aplikace může sama zapnout mikrofon a vysílat informace o poloze zařízení.
  • Dánský úřad na ochranu osobních údajů Datatilsynet navrhnul pokutu ve výši 1,2 milionu dánských korun taxislužbě Taxa 4×35 za to, že nesmazala telefonní čísla, geolokační data a další informace týkající se bývalých zákazníků, na základě kterých bylo možné jednotlivé osoby identifikovat. Společnost mazala jen jména a příjmení svých bývalých zákazníků po dvou letech, ale zbytek informací uchovávala po dobu dalších tří let, a to s poukazem na to, že informační systém DDS Pathfinder neumožňuje smazat telefonní čísla zákazníků. Dánský dozorový úřad nemůže udělit pokutu přímo, ale může pouze uložení pokuty navrhnout policejním orgánům, které pak pokutu vymáhají prostřednictvím soudu.
  •  Italský úřad pro ochranu osobních údajů udělil americké internetové společnosti Facebooku pokutu ve výši jednoho milionu eur v důsledku aféry s britskou poradenskou firmou Cambridge Analytica. Tato společnost oficiálně vyvíjela program, který měl předpovídat preference voličů, ve skutečnosti však měla za cíl jejich rozhodnutí ovlivňovat. Pomocí aplikace získala privátní data z facebookových profilů desítek milionů uživatelů a na základě nich šířila cílenou politickou reklamu. Facebook tomuto masivnímu úniku dat nedokázal zabránit a navíc dostatečně neinformoval uživatele, jejichž data byla získána.
  • Úřad pro ochranu osobních údajů – na základě závěrů kontroly systému Centrálního registru dlužníků České republiky (CERD) provedené v polovině r. 2018 a následné reakce správce osobních údajů systému CERD, který neprovedl uložená opatření – zahájil řízení o sankci za nepřijetí opatření k nápravě a v současné době připravuje vydání rozhodnutí ve věci (více viz https://www.uoou.cz/vismo/dokumenty2.asp?id_org=200144&id=34474).
  • ÚOOÚ udělil pokutu ve výši 180 tis. Kč zaměstnavateli, který nadbytečně uchovával kopie dokladů svých zaměstnanců. Kontrola v personálních spisech našla kopie průkazů zdravotního pojištění, výpisy z evidence Rejstříku trestů, karty s čísly bankovních účtů i skenované fotografie a rodné listy dětí zaměstnanců.
  • Na základě stížnosti, jejímž předmětem bylo upozornění na vyžadování kopie občanského a řidičského průkazu při sepisování smlouvy o pronájmu osobního vozu, provedl ÚOOÚ kontrolu dodržování povinností v souvislosti s kopírováním osobních dokladů u pronajímatele vozidel. Kontrolou bylo zjištěno porušení § 5 odst. 1 písm. d), neboť kontrolovaný v rámci identifikace klienta pořizoval kopie celého občanského průkazu jako pramen verifikace, což vzhledem k účelu zpracování osobních údajů bylo vyhodnoceno jako nadbytečné a nepřiměřené. ÚOOÚ vydal na základě kontrolních zjištění příkaz na místě, kterým byla uložena pokuta ve výši 10 tis. Kč. Účastník řízení plně uznal své pochybení a pokutu neprodleně uhradil.
  • ÚOOÚ na základě provedených kontrol ochrany osobních údajů vydal pravomocná rozhodnutí či příkazy o pokutě vydané za porušení GDPR ve výši 5 tis. Kč až 250 tis. Kč. Tato anonymizovaná pravomocná rozhodnutí / příkazy o pokutě vydané za porušení GDPR zveřejnil ÚOOÚ na svých webových stránkách na základě žádostí o informace dle zákona č. 106/1999 Sb., o svobodném přístupu k informacím.
  • Odborníci na kyberbezpečnost ze společnosti SODAT letos analyzovali soubory na Ulož.to a zjistili, že mnohé z nich obsahují firemní přístupová hesla, pracovní smlouvy nebo rodná čísla. Tyto informace přitom na úložiště nahrávají sami zaměstnanci za účelem zálohování a sdílení. Našli zde data více než tisícovky firem a ze 112 záloh e-mailu byla chráněna heslem jen jedna.
  • Z aplikace WiFi Finder unikly dva miliony hesel – databáze aplikace WiFi Finder, která obsahuje přístupové informace k více než dvěma milionům sítí, unikla v nezašifrované podobě na internet. Po tom, co databáze unikla na internet, byla aplikace odstraněna z obchodu Google Play.
  • ÚOOÚ v 2. polovině roku 2018 provedl 34 kontrol podle zákona č. 101/2000 Sb., o ochraně osobních údajů,a to jak u společností, tak i u fyzických osob podnikajících. Kontrolní činnost podle zákona o ochraně osobních údajů provedl ÚOOÚ jak na základě svého kontrolního plánu, tak i na základě přijatých podnětů. Závěrem provedených kontrol je buď zjištění porušení zákona o ochraně osobních údajů, nebo uložení nápravných opatření či pokuty, nebo zahájení řízení o přestupku (více viz https://www.uoou.cz/kontrolni-cinnost-podle-zakona-o-ochrane-osobnich-udaju/ds-5359/archiv=0&p1=1277).
  • ÚOOÚ v 2. polovině roku 2018 provedl 11 kontrol v oblasti nevyžádaných obchodních sdělení, a to jak u fyzických osob podnikajících, tak i u společností. V rámci provedených kontrol ÚOOÚ zjistil, že kontrolované osoby svým jednáním porušili povinnosti stanovené v § 7 odst. 2 zákona č. 480/2004 Sb., tedy využít podrobnosti elektronického kontaktu za účelem šíření obchodních sdělení elektronickými prostředky pouze ve vztahu k uživatelům, kteří k tomu dali předchozí souhlas. ÚOOÚ dle závažnosti kontrolního zjištění buď uložil kontrolovaným osobám pokutu v řádu jednotek tisíce korun českých, nebo ve věci zahájil řízení o přestupku (více viz https://www.uoou.cz/kontrolni-cinnost-v-oblasti-nevyzadanych-obchodnich-sdeleni/ds-5360/archiv=0&p1=1277).
  • Cca 7 % všech zjištěných a řešených případů ÚOOÚ v roce 2018 bylo porušení ustanovení o zpracovatelské smlouvě a povin­nostech zpracovatele.
  • ÚOOÚ zveřejnil na svých webových stránkách dokument „K povinnosti správců provádět posouzení vlivu na ochranu osobních údajů (DPIA)“.Obecné nařízení požaduje, v některých případech, vypracování posouzení vlivu na ochranu osobních údajů – takové posouzení je nutné v situaci, kdy zpracování osobních údajů má za následek vznik vysokého rizika pro práva a svobody fyzických osob, a to s přihlédnutím k povaze, rozsahu, kontextu, účelům zpracování a využitím nových technologií.V dokumentuje uveden seznam druhů operací zpracování osobních údajů, které podléhají posouzení vlivu na ochranu osobních údajů (zařazení zpracování do seznamu vysoce rizikových pro práva a svobody subjektů údajů se provádí na základě deseti charakteristik popisujících každé zpracování osobních údajů).
  • Od ledna 2020 měla zmizet rodná čísla z nově vydávaných občanských průkazů – nahradit je měly identifikátory, z nichž by nebylo na první pohled jasné datum narození ani to, zda jde o muže nebo ženu. Zákon, který to umožňuje, byl schválen již před 9 lety, ale úřady stále nepodnikly patřičné kroky k zavedení těchto identifikátorů. V současné chvíli to tedy vypadá tak, že rodná čísla na občanských průkazech zůstanou další 3 roky, zatím není ani jasná finální podoba nových identifikátorů.
  • Cloud a GDPR – použití cloudu pro zpracování osobních dat je možné a v praxi velmi časté. Nařízení GDPR přitom pojem cloud vůbec nepoužívá – na poskytovatele cloudu je tedy třeba se dívat jako na zpracovatele (viz čl. 28 Nařízení GDPR).Podle některých názorů je výhodou cloudu to, že ochranu dat zajišťují profesionálové, kteří již většinou vydali prohlášení o shodě s GDPR. Ve skutečnosti bohužel řada poskytovatelů cloudu měla a má se zabezpečením dat značné problémy.
  • ÚOOÚ provádí i kontroly zpracování osobních údajů při využívání cloud computingu. Je tedy nezbytné, aby organizace / společnosti dostatečně ošetřily oblast nasazení cloudu jak z pohledu rizika úniku informací, tak rizik v oblasti automatizovaného zpracování (při výběru cloudu a sjednání jeho podmínek se zjednodušeně řečeno postupuje obdobně, jako by organizace / společnost chtěla data zpracovávat ve vlastní podnikové síti – viz požadavky čl. 25 a 32 Nařízení GDPR).
  • Francouzský úřad pro ochranu osobních údajů (CNIL – Commission Nationale de l’Informatique et des Libertés) vytvořil aplikaci k provádění posouzení vlivu na ochranu osobních údajů. Aplikace má i českou jazykovou mutaci (s drobnými nedostatky), a CNIL v prosinci 2018 vydal druhou verzi aplikace, jež má i webové rozhraní. Práce v uvedeném programu je velmi intuitivní a je zdarma. Aplikace CNIL obsahuje i rozdělení rolí, tudíž má Pověřenec pro ochranu osobních údajů vlastní přístup, jehož prostřednictvím komentuje konkrétní položky posouzení a dává k němu vlastní stanoviska.
  • Francouzský úřad pro ochranu osobních údajů (CNIL – Commission Nationale de l’Informatique et des Libertés) uložil společnosti Google rekordní pokutu 50 milionů eur za porušení pravidel ochrany osobních údajů v souvislosti se zobrazováním personalizované reklamy.Google nesplnil základní prvky zásady transparentnosti (stručnost, jasnost, srozumitelnost a snadná přístupnost), zakotvené v čl. 12 Nařízení GDPR, stejně jako požadavky na souhlas se zpracováním osobních údajů.
  • Facebook od roku 2012 ukládal hesla k účtům 200 až 600 milionů svých uži­vatelů na interních serverech v nezašifrované podobě. Přístup k nim tak mělo více než 20 tisíc zaměstnanců, veřejnost se však k nechráněným datům podle tvrzení Facebooku dostat nemohla. Nechráněné ukládání hesel bylo odhaleno bylo až v lednu 2019, když si bezpečnostní inženýři během revize nových kódů všimli, že se hesla ukládají v nezašifrované podobě.
  • Některé aplikace v iPhonech nahrávají data uživatelů – aplikace bez souhlasu a vědomí uživatelů nahrává displej telefonu a ukládá úkony, které na telefonu v rámci dané aplikace člověk provádí (telefon tak zaznamenává např. i hesla, čísla kreditní karty nebo cestovního pasu). Umožňuje to technologie session replay, která pořizuje screenshoty a následně je odesílá vývojářům z důvodu odhalení chyb a nefunkčních prvků v aplikaci (tímto postupem lze samozřejmě studovat i chování zákazníka). Problematické je pak především nedostatečné zabezpečení údajů, u nichž hrozí zneužití v případě, že se při odesílání nevyužije šifrování. Odesílání nezašifrovaných osobních údajů se netýká všech aplikací, ale problematické zůstává především to, že aplikace uživatele neinformují o tom, že jsou jejich činnosti nahrávány a odesílány vývojářům.
  • Evropský sbor pro ochranu osobních údajů vydal materiál, ve kterém zdůrazňuje několik klíčových bodů, které mají dodržovat politické strany, kandidující koalice a kandidáti, pokud v rámci svých volebních činností zpracovávají osobní údaje.Dokument, který je ke stažení na stránkách ÚOOÚ, reaguje na současnou praxi vysoce sofistikovaných profilovacích technik, které pro sledování a vytipovávání potenciálních voličů používají některé politické subjekty.
  • Evropský sbor pro ochranu osobních údajů přijal stanovisko o vztahu obecného nařízení a směrnice 2002/58/ES o soukromí a elektronických komunikacích. Dozorové orgány jednotlivých států mají podle jeho názoru vyžadovat plnění zásad ochrany osobních údajů i v rámci směrnice ePrivacy. (viz stanovisko 5/2019 k interakci mezi směrnicí ePrivacy a GDPR https://edpb.europa.eu/our-work-tools/our-documents/opinion-board-art-64/opinion-52019-interplay-between-eprivacy-directive_en).
  • Úřad pro ochranu osobních údajů (ÚOOÚ) provádí kontroly:
    • na základě kontrolního plánu, který je vypracováván ve spolupráci s předsedou ÚOOÚ a schvalován na každý kalendářní rok;
    • incidenční, které jsou prováděny na základě podnětů a stížností subjektů údajů nebo na základě jiných podnětů (např. předání od dozorových úřadů jiných členských států EU, soudů, policie, upozornění ve sdělovacích prostředcích apod.);
    • na základě podnětu předsedy ÚOOÚ.
  • Poslanecká sněmovna schválila nová pravidla ochrany soukromí, která navazují na evropské Nařízení GDPR. Nový zákon má hlavně zavést přípustné výjimky z evropských pravidel. Maximální sankce za porušení zákona zůstala pro orgány veřejné správy na 10 mil. Kč. Horní sazba pokut pro malé obce byla omezena na 15 tisíc Kč. Schválena byla zároveň úprava výjimek pro média, nebo vědecké, výzkumné a statistické účely. Poslanci naopak odmítli snížit pod 15 let navrhovanou věkovou hranici, po jejímž dosažení by děti mohly samy naplno využívat sociální sítě. Poslanci však souhlasili s tím, aby se ÚOOÚ stal odvolacím správním orgánem pro případy, kdy úřady nevyhoví žádostem podle zákona o svobodném přístupu k informacím. Nový zákon o zpracování osobních údajů, který nyní dostane k projednání Senát, nahradí dosavadní zákon o ochraně osobních údajů.
  • ÚOOÚ bylo doručeno více než 16.500 oznámení o jmenování Pověřence pro ochranu osobních údajů a přes 200 zpráv o změně Pověřence nebo kontaktu na něj. Zajímavostí je, že velký počet z nich ustanovili správci čistě na dobrovolné bázi, tedy že jim to zákon vzhledem k jejich činnosti ani neukládá.
  • Kontrola ÚOOÚ zaměřená na zpracování osobních údajů má za cíl především zjistit faktický stav věci, ne vždy musí kontrola končit uložením pokuty. Finanční postih nemusí automaticky přijít ani v případě, že ÚOOÚ nějaký závadný stav u správce osobních údajů odhalí. GDPR obsahuje řadu nápravných pravomocí, které lze v případě zjištěného porušení uložit, např. udělení napomenutí nebo nařízení, aby správce vyhověl žádosti subjektu údajů o výkon práva dle GDPR.
  • ÚOOÚ obdržel od účinnosti Nařízení GDPR do konce října 2018 1993 stížností (statistika podnětů a stížností za jednotlivá období je uvedena na stránkách ÚOOÚ www.uoou.cz). Úřad eviduje především podněty týkající se telemarketingu, upozornění na formu a způsob vyžadování souhlasu ze strany některých správců a stížnosti týkající se zpracování, zejména zveřejňování (již dříve zveřejněných) osobních údajů na internetu. Jedná se zejména o další publikování údajů o podnikatelské činnosti fyzických osob v rejstřících provozovaných soukromými subjekty. ÚOOÚ zveřejnil na svých stránkách návod dotčeným osobám (subjektům údajů), jakým způsobem uplatnit u provozovatele předmětných databází a internetových stránek práva daná obecným nařízením.
  • ÚOOÚ za porušení Nařízení GDPR dosud neudělil pokutu, udělil pouze sankce za přestupky spáchané před účinností Nařízení GDPR. Nejvyšší sankce činila 1.500.000,- Kč a nejnižší 5.000,- Kč nebo napomenutí.
  • ÚOOÚ bude nyní s největší pravděpodobností řešit pochybení České školní inspekce, která nezabezpečila testovací aplikaci InspIS – bylo tak možné se za určitých okolností dostat k desítkám tisíc jmen a příjmení žáků a také k informaci, zda mají nějaké zdravotní znevýhodnění. Podle vyjádření ČSI se jednalo o technickou chybu při úpravách systému InspIS, kterou následná kontrola neodhalila. Po zjištění chyby byla data okamžitě zablokována a chyba byla odstraněna.
  • Úřad britského komisaře pro informace (Information Commissioner´s Office – ICO) udělil Facebooku pokutu 500.000,- liber za závažné porušení zákona na ochranu osobních údajů (za zpracování osobních dat uživatelů nekorektním způsobem mezi lety 2007 až 2014). Facebook umožňoval vývojářům aplikací přístup k datům uživatelů, aniž by od nich získal dostatečně jasný a informovaný souhlas. Navíc Facebook osobní údaje dostatečně nezabezpečil, neboť nekontroloval aplikace a vývojáře využívající tuto platformu (např. jedna vývojářská společnost získala přístup k osobním datům 87 milionů lidí po celém světě bez jejich vědomí, část těchto údajů pak později sdílela s Cambridge Analytica, svojí mateřskou společností).
  • Hackeři vyvěsili na internet soukromé zprávy 81 tisíc uživatelů Facebooku. Prozatím není zcela jasné, jak se hackerům podařilo ke zprávám dostat – podle Facebooku totiž nedošlo k narušení jejich bezpečnostního systému. Údaje tak pravděpodobně unikly prostřednictvím škodlivých rozšíření internetových prohlížečů. Ty už Facebook ve spolupráci s vývojáři prohlížečů nechal zneaktivnit. Kromě zpráv se na webových stránkách objevily také fotografie z dovolených a u dalších 176 tisíců účtů jsou dostupné e-mailové a telefonní kontakty. Jde převážně o uživatele Facebooku z Ukrajiny, Ruska, Velké Británie, USA a Brazílie.
  • Evropský parlament schválil Nařízení o volném pohybu neosobních dat (tj. neosobní data se již nemusí skladovat pouze v zemi, ve které byla získána), které vstoupilo v platnost 1.12.2018. Volný pohyb neosobních dat se vztahuje pouze na ty údaje, jež nevedou k identifikaci osob a které nemají vliv na soukromí fyzických osob. Nové nařízení EU zároveň pouze doplňuje obecné nařízení o ochraně osobních údajů (Nařízení GDPR), které platí od 25.5.2018. Pokud budou osobní a neosobní data zpracovávána společně, bude se GDPR vztahovat pouze na část o osobních údajích, zatímco na část o neosobních datech se použije nové Nařízení o volném pohybu dat. Nařízení se proto nepřekrývají, ale vzájemně doplňují.
  • Bytový fond ve Vídni v souladu s Nařízením GDPR vymění do konce roku 2018 tisíce jmenovek na zvoncích za prostá čísla bytů (na základě posouzení výkladu GDPR a doporučení tohoto opatření Odborem magistrátu pro ochranu osobních údajů). Pokud nájemník bude chtít si jmenovku na zvonku ponechat, musí tak udělat z vlastní vůle až poté, co budou jmenovky vyměněny za čísla bytů.
  • Právní nejistota subjektu co do postavení správce osobních údajů nemůže vést k odmítnutí poskytnutí informace (přístup subjektu údajů k informacím). V situaci, kdy organizace prokazatelně předmětnými osobními údaji disponuje, je její povinností si své právní postavení vyjasnit a poskytnout požadované informace o zpracování osobních údajů.
  • Ministerstvo financí ČR na základě provedené kontroly ÚOOÚ upravilo parametry registrace hráče v rámci účtenkové loterie (dle zákona č. 112/2016 Sb., o evidenci tržeb) – v současné době již není nezbytné při registraci zadávat daňové identifikační číslo.
  • Finančnímu úřadu byla udělena pokuta ve výši 5.000,- Kč za doručení dokumentů osobě bez datové schránky do datové schránky jiného daňového subjektu. K záměně došlo z důvodu shody jména, příjmení a data narození u dvou daňových subjektů.
  • Městskému úřadu byla udělena pokuta ve výši 20.000,- Kč v souvislosti s pochybením při vydávání parkovacích karet městem (parkovací karty nepřenosné vydané pro jedno vozidlo a parkovací karty přenosné vydané na jméno a použitelné pro libovolné vozidlo). Na parkovacích kartách byly uvedeny nadbytečné osobní údaje – u nepřenosné parkovací karty jméno, příjmení a trvalé bydliště, u přenosné parkovací karty trvalé bydliště a registrační značka vozidla.
  • V rámci městského úřadu bylo zjištěno pochybení zaměstnance při doručování zprávy do datové schránky jiné osoby. Vzhledem ale k tomu, že městský úřad neprokázal, že by byl zaměstnanec řádně poučen o svých povinnostech v oblasti ochrany osobních údajů, nese odpovědnost za zpřístupnění osobních údajů doručením zásilky do datové schránky jiné osoby městský úřad.
  • Byla udělena pokuta ve výši 6.000,- Kč školskému zařízení z důvodu porušení zákona č. 101/2000 Sb., o ochraně osobních údajů – škola zpřístupnila osobní údaje studentů v souvislosti s prověřováním údajného incidentu mezi studenty (škola zaslala spolužákům elektronickou poštou výzvu k vyjádření, která obsahovala popis incidentu a identifikaci osob, které se jej měly zúčastnit), a to bez souhlasu dotčených studentů. Účelem zaslání předmětné výzvy bylo získání svědectví dalších osob v souvislosti se zahájením správního řízení o vyloučení studenta ze školy a šetřením rozporných tvrzení účastníků incidentu.
  • Mateřská škola zveřejnila na nástěnce v budově školky seznam dětí, které měly nedoplatky za předškolní vzdělávání a stravné, a seznam dětí, které se nedostavily k zápisu k předškolnímu vzdělávání (porušení § 5 odst. 2 zákona č. 101/2000 Sb.). Mateřská škola tedy zpřístupnila osobní údaje dětí i třetím osobám, tj. nepřijala taková opatření, aby nemohlo dojít k neoprávněnému nebo nahodilému přístupu k osobním údajům, k jejich změně, zničení či ztrátě, neoprávněným přenosům, k jejich jinému neoprávněnému zpracování, jakož i k jinému zneužití osobních údajů. ÚOOÚ od uložení pokuty upustil, protože mateřská škola závadný stav neprodleně napravila.
  • Mateřská škola nesprávně zpracovávala osobní údaje při vstupu osob do budovy – mateřská škola provozovala elektronický vstupní systém založený na systematickém snímání a zpracování otisků (biometrický údaj) a nedisponovala souhlasem ke zpracování předmětných osobních údajů. ÚOOÚ od uložení pokuty upustil, protože mateřská škola závadný stav neprodleně napravila.
  • Za účelem předcházení šikany, ochrany majetku školy, ochrany zdraví zaměstnanců a žáků provozovalo školské zařízení kamerový systém se záznamem, který byl nainstalovaný ve všech veřejných prostorách školy (vč. jednotlivých učeben) a byl provozovaný nepřetržitě, a to bez souhlasu subjektů údajů se zpracováním osobních údajů. ÚOOÚ při kontrole vyhodnotil, že školské zařízení provozuje kamerový systém v rozporu s povinností správce osobních údajů dle § 5 odst. 2 zákona č. 101/2000 Sb., neboť jí nesvědčí žádný z právních titulů opravňující ji ke zpracování osobních údajů. Přičemž i s ohledem na zjištěný rozsah monitorování a skutečnost, že u školského zařízení nedošlo k žádnému negativnímu jednání před ani po instalaci kamerového systému, byl v daném případě zásah do soukromí výrazně vyšší než deklarovaný účel zpracování osobních údajů. Školské zařízení tedy ukončilo nahrávání záznamů a kamerový systém provozuje pouze v on-line režimu.
  • Provozovateli centrálního registru dlužníků (CERD) bude uložena pokuta z důvodu nezákonného nakládání s osobními údaji. Kontrola ÚOOÚ identifikovala u systému CERD tato porušení:
    • zpracování nepřesných a nadbytečných osobních údajů, navíc v řadě případů i bez právního titulu;
    • absence zpracovatelské smlouvy mezi správcem osobních údajů a zpracovatelem osobních údajů;
    • subjekty údajů nejsou informovány dostatečným způsobem o tom, kdo je správce osobních údajů a jak mohou uplatňovat svá práva;
    • nepodání informace o zpracování osobních údajů;
    • nesplnění požadavku subjektu údajů na podání vysvětlení či na odstranění osobních údajů;
    • část systému CERD, která se týká překlápění insolvenčního rejstříku a vkládání nových, nikým neověřovaných dlužníků a dluhů, je neoprávněným zásahem do soukromého života jednotlivých subjektů údajů;
    • využití podrobností elektronického kontaktu za účelem šíření obchodních sdělení elektronickými prostředky pouze ve vztahu k uživatelům, kteří k tomu dali předchozí souhlas;
    • šíření obchodních sdělení, která nebyla jako obchodní sdělení řádně označena a která skrývala či utajovala totožnost odesílatele, jehož jménem se komunikace uskutečnila;
    • odeslání obchodních sdělení navíc probíhalo bez platné adresy, na kterou by adresát mohl přímo a účinně zaslat informaci o tom, že si nepřeje, aby mu tato sdělení byla dále zasílána.
  • Společnosti s ručením omezeným byla udělena pokutu ve výši 835.000,- Kč za porušení zákona č. 480/2004 Sb., o některých službách informační společnosti, jelikož adresáti obchodních sdělení nedali společnosti předchozí souhlas k využití jejich elektronického kontaktu za účelem šíření obchodních sdělení.
  • Soukromé společnosti byla udělena pokuta ve výši 2.000,- Kč za zaslání dopisů seniorům, kteří čerpali některé ze sociálních služeb, s nabídkou, že jim daná společnost bude doživotně poskytovat sociální služby (péče, stravování, doprovod apod.), pokud na ni převedou vlastnické právo k nemovité věci (osobní údaje seniorů společnost shromažďovala z katastru nemovitostí a dále je zpracovávala pro své obchodní účely).
  • Společnosti Internet Mall, a.s. byla udělena pokuta 1,5 mil. Kč za nezabezpečení osobních údajů nejméně 735.956 zákazníků v rozsahu jméno, příjmení, e-mailová adresa, heslo uživatelského účtu, příp. telefon, před neoprávněným přístupem v období minimálně od 31.12.2014 do srpna 2017. V důsledku toho došlo v době od 27.7.2017 do 25.8.2017 ke zpřístupnění uvedených osobních údajů na serveru Uložto.cz.
  • Twitter čelí prvnímu vyšetřování kvůli porušení GDPR. Irské úřady zahájily vyšetřování sítě, protože měla nedovoleně shromažďovat data přes svoji službu pro zkracování odkazů t.co.
  • Klient banky zapříčinil neoprávněné zasílání e-mailových zpráv (předávání bankovních informací mezi bankou a klientem) na adresu třetí osoby, když při uzavření smlouvy uvedl nesprávně svou e-mailovou adresu, přičemž tato e-mailová adresa patřila jiné osobě, která nebyla klientem banky. Třetí osoba, poté co obdržela několik e-mailů, na chybu upozornila banku, ovšem ta toto upozornění nesprávně vyhodnotila jako reklamaci služeb a k nápravě chyby došlo až na základě kontroly ÚOOÚ.
  • Zdravotnickému subjektu byla uložena pokuta ve výši 10.000,- Kč z důvodu nepřijetí dostatečných technicko-organizačních opatření k zabezpečení ochrany osobních údajů, a to zejména v souvislosti s přístupem osob k datové schránce a při ukládání dokumentů doručovaných do datové schránky.
  • I přes přijetí a realizaci dostatečně technicko-organizačních opatření k zajištění bezpečnosti zpracovávaných osobních údajů došlo v rámci zdravotnického zařízení k zaslání elektronické zprávy obsahující osobní údaje potencionálního klienta na e-mailovou adresu jiného klienta. Předmětný incident tedy nebyl způsoben absencí či nedostatečností opatření na straně zdravotnického zařízení, ale pochybením na straně zaměstnankyně (zaměstnankyně i přes zákaz zdravotnického zařízení vyřizovala dvě věci souběžně a v důsledku toho si otevřela dvě okna aplikace Outlook).
  • Byla udělena pokuta přes 800.000,- Kč za nevyžádanou reklamu.
  • Ústavní soud zrušil část zákona o EET a rozhodl, že DIČ se na účtenkách již nebude objevovat.
  • Britská základní škola porušila zabezpečení osobních údajů ztrátou flash disku, který obsahoval kompletní databázi více než 1.000 žáků.
  • Došlo k rozeslání až 2.500 výzev nesprávným adresátům jakožto výzva k zaplacení pokuty od pražského magistrátu za spáchání dopravního přestupku.
  • Po několika dnech GDPR v účinnosti čelí Facebook a Google žalobě za 200 miliard Kč.
  • Dle Soudního dvora EU je správce facebookové skupiny spoluodpovědný za zpracování údajů návštěvníků skupiny.
  • Praxe volání pacientů podle příjmení v čekárně není v rozporu s GDPR.

Kompletní informace z oblasti ochrany osobních údajů pro firmy naleznete zde a pro veřejnou správu zde.

Poznámka: Zdrojem výše uvedených informací jsou nejen znalosti a zkušenosti společnosti Equica, a.s. v oblasti ochrany osobních údajů, ale také webové stránky Úřadu pro ochranu osobních údajů (www.uoou.cz) a webové stránky Ministerstva vnitra České republiky (www.mvcr.cz).