Informace pro zajímavost (z oblasti GDPR)

Ochrana soukromí při online levných nákupech

  • Některá globální eCommerce tržiště (např. Temu, Shein, Sinsay, Allegro atd.) lákají na nákupy módy, kosmetiky a dalšího zboží mimořádně nízkými cenami. Tyto levné nákupy mají bohužel dopad nejen na kvalitu zboží, ale také na ztrátu soukromí.
  • Mobilní aplikace některých globálních eCommerce tržišť sbírají o svých zákaznících řadu informací, které přenáší jak na servery dané společnosti, tak i na servery některých reklamních společností.
  • V případě, že nakupující chce chránit své soukromí, může si z důvodu realizace online levného nákupu vytvořit „druhou identitu“. Nakupující si založí novou e-mailovou adresu určenou pouze pro tyto online nákupy, koupí si předplacenou SIM kartu, kterou dá do starého telefonu, a místo na domácí adresu si zboží nechá poslat např. do zaměstnání. K platbě je vhodné použít jednorázovou virtuální kartu, která se po platbě zneplatní, nebo je doporučeno si založit druhý platební účet s kartou, na který si kupující převede vždy jen částku nutnou k zaplacení dané objednávky.

Pokuta udělená řecké bance za porušení GDPR

  • Na základě stížnosti zákazníka banky Alpha Bank udělil řecký úřad pro ochranu osobních údajů (DPA) bance pokutu ve výši 60 tis. EUR (cca 1,5 mil. Kč) za porušení zásady důvěrnosti osobních údajů a bankovního tajemství. V důsledku postupu banky v rozporu s Nařízením GDPR došlo totiž k zásahu do práva subjektu údajů na soukromí – banka bez souhlasu subjektu údajů (manžela) zpřístupnila historii jeho platebních transakcí manželce, která o těchto transakcích neměla vědět.
  • Alpha Bank na základě obdržené žádosti zpřístupnila manželce subjektu údajů informace o kreditní kartě a transakcích, které její manžel s touto kartou provedl za poslední čtyři měsíce. Poskytnutí těchto informací bez vědomí subjektu údajů mělo poměrně zásadní dopad na rodinný život a vztah obou manželů byl vážně narušen.
  • Podle DPA řecká banka pochybila, když řádným způsobem neověřila totožnost tazatele a skutečnost, zda má mít k takovým informacím skutečně přístup, a neinformovala manžela o zpřístupnění informací jeho manželce.

Google urovnal hromadnou žalobu za porušení ochrany soukromí

  • Koncem minulého roku společnost Google potvrdila souhlas s uzavřením dohody ohledně urovnání hromadné žaloby ve výši 5 mil. dolarů, která na ni byla podaná v roce 2022 ve Spojených státech amerických za porušování ochrany soukromí při vyhledávání informací v anonymním režimu prostřednictvím prohlížeče Chrome.
  • Hromadná žaloba tvrdila, že společnost Google klame uživatele a tvrdí jim, že při používání anonymního režimu nebude sledovat jejich internetovou aktivitu. Podle žalujících ale reklamní technologie Google a webové stránky třetích stran, které používaly službu Google Analytics nebo Google Ad Manager, nadále katalogizovaly podrobnosti o návštěvách a aktivitách uživatelů na stránkách a odesílaly tyto informace zpět na servery společnosti Google. Díky tomuto nastavení společnost Google shromažďovala o uživatelích anonymního módu velké množství informací.
  • Podmínky dohody vyrovnání hromadné žaloby nebyly zatím zveřejněny – předpokládá se, že konečná podoba dohody bude schválena federálním soudem v únoru 2024.

Prověřování TV Nova kvůli přenosu od soudu

  • Začátkem listopadu 2023 zpravodajský web TV Nova odvysílal v přímém přenosu internetového vysílání TN Live vyhlášení rozsudku v kauze Dominika Feriho, a to se všemi osobními údaji obětí a intimními detaily. Kvůli tomuto odvysílanému přenosu od soudu zahájil Úřad pro ochranu osobních údajů s TV Nova správní řízení pro podezření ze spáchání přestupku podle zákona č. 110/2019 Sb., o zpracování osobních údajů.
  • V rámci řešeného případu soudkyně nedala souhlas s pořizováním obrazových či zvukových přenosů a v průběhu celého hlavního líčení činila další opatření k ochraně identity a dalších údajů poškozených vč. požadavku, aby informace ze soudního jednání byly poskytovány bez možnosti ztotožnění poškozených.
  • TV Nova se hájí tím, že po celou dobu trvání procesu chránila soukromí obětí a respektovala pokyny soudkyně: „V případě, že nebylo umožněno přenášení či nahrávání, nic z toho jsme neprováděli. Rozsudek je ze zákona vždy vyhlašován veřejně. Předsedkyně senátu povolila i přítomnost kamer. Nemůžeme předjímat, co bude obsahem rozsudku.“ TV Nova dále zdůraznila, že přenos z TN Live se nearchivuje a není možné se k němu zpětně dostat a že žádné osobní údaje nepublikovala v jiném zpravodajském pořadu.

Pokuta udělená na udání anonyma

  • Chorvatský dozorový orgán udělil chorvatské společnost vymáhající pohledávky pokutu ve výši 5,4 mil. EUR za porušení Nařízení GDPR, konkrétně za zpracování citlivých údajů a masivní únik dat subjektů údajů. Na neoprávněné zpracování osobních údajů upozornil chorvatský dozorový orgán anonym, který k předloženému podnětu k prošetření přiložil USB disk obsahující osobní údaje téměř 182 tis. fyzických osob vč. celkem 294 nezletilých, vůči kterým odkoupila pokutovaná osoba pohledávky k dalšímu vymáhání.
  • Předpokládá se, že v rámci řešeného případu došlo i ke spáchání trestného činu, případ je tedy dále řešen i v rámci trestněprávního řízení.

Pokuta pro sociální síť TikTok za zpracování osobních údajů dětí

  • Na začátku září 2023 irský dozorový úřad (Data Protection Commission) uložil společnosti TikTok Technology Limited pokutu ve výši 345 mil. EUR (cca 8,5 miliardy Kč) za protiprávní zpracování osobních údajů dětských uživatelů sociální sítě TikTok.
  • Pokuta byla společnosti TikTok Technology Limited udělena na základě několika zásadních porušení Nařízení GDPR:
    • profily dětských uživatelů sociální sítě TikTok byly defaultně nastaveny jako veřejné, tedy jako přístupné všem ostatním uživatelům sociální sítě (porušení čl. 25 odst. 1 a 2, čl. 5 odst. 1 písm. c) a čl. 24 Nařízení GDPR);
    • dětský profil si do takzvané rodinné skupiny mohl přidat prakticky kterýkoliv dospělý uživatel bez ověření vztahu k dětskému uživateli (porušení čl. 5 odst. 1 písm. f) a čl. 25 odst. 1 Nařízení GDPR);
    • informace pro dětské uživatele o podmínkách aplikace TikTok a zpracování jejich osobních údajů byly ne­dostatečné (porušení čl. 12 odst. 1 a 13 odst. 1 písm. e) Nařízení GDPR);
    • používání manipulativní techniky (tzv. dark patterns), aby dětské uživatele dovedla k volbě variant s větším zásahem do jejich soukromí (porušení čl. 5 odst. 1 písm. a) Nařízení GDPR).
  • Irský dozorový úřad kromě udělené pokuty uložil společnosti TikTok Technology Limited i povinnost, aby se přizpůsobila požadavkům Nařízení GDPR tím, že odstraní popsané nezákonné praktiky.

Dvojnásobný nárůst kybernetických incidentů

  • Národní úřad pro kybernetickou a informační bezpečnost eviduje za poslední dva měsíce nárůst kybernetických incidentů. Poslední dobou převažují incidenty spadající do kategorie omezení dostupnosti služeb, převážná část z nich byla způsobena DDoS útoky (Distributed Denial of Service).
  • Za výrazným nárůstem kybernetických incidentů stojí zejména ruská hacktivistická skupina NoName057(16), která útočila na stránky českého bankovního sektoru. Skupina NoName057(16) je aktivní již od března loňského roku, bezpečnostní experti dávají její vznik do souvislosti s válkou na Ukrajině. Proruští hackeři totiž vedou útoky typu DDoS proti zemím, které Ukrajinu podporují.

Zpřístupnění osobních údajů klientů švédské pojišťovny

  • Švédská pojišťovna Trygg-Hansa nedostatečně zabezpečila osobní údaje statisíců svých klientů a vystavila je značnému riziku zpřístupnění těchto údajů. Na tuto skutečnost upozornil švédský dozorový úřad (IMY) subjekt údajů, který podal na pojišťovnu stížnost za porušení Nařízení GDPR.
  • Švédský dozorový úřad zjistil, že v období od října 2018 do února 2021 bylo možné získat přístup k údajům 650 tisíc zákazníků pojišťovny Trygg-Hansa. Pojišťovna neoprávněným osobám zpřístupnila dokumenty, které v některých případech obsahovaly osobní údaje vč. podrobných informací o zdravotním stavu, finanční údaje, kontaktní údaje, čísla sociálního pojištění a informace o pojištění.
  • Švédský dozorový úřad v rámci vyšetřování dospěl k závěru, že pojišťovna nepřijala vhodná technická opatření k zajištění úrovně zabezpečení, která by odpovídala danému riziku. Za porušení čl. 5 odst. 1 písm. f) a čl. 32 odst. 1 Nařízení GDPR byla společnosti Trygg-Hansa udělena pokuta ve výši 35 mil. švédských korun (cca 2,9 mil. EUR).

Pokuta za únik seznamu lidí určených k propuštění

  • Berlínský dozorový úřad udělil německé firmě pokutu v celkové výši 215 tis. EUR (cca 5,2 mil. Kč) za zpracovávání citlivých informací o zdravotním stavu svých zaměstnanců a o jejich možném zájmu na založení odborů. Tyto informace německá společnost zpracovávala v rozporu s pravidly stanovenými v Nařízení GDPR.
  • Berlínský dozorový úřad se o protiprávním jednání společnosti dozvěděl z médií a ze stížnosti podané dotčeným subjektem údajů. Během vyšetřování dozorový úřad zjistil, že v období od března do července 2021 si jeden z manažerů společnosti vedl na pokyn vedení společnosti seznam všech zaměstnanců ve zkušební době za účelem přípravy se na příp. ukončení pracovního poměru v průběhu zkušební doby zaměstnanců. Mezi důvody předmětného hodnocení byly uvedeny např. zdravotní údaje zaměstnanců, nebo okolnosti přímo nesouvisející s výkonem práce či informace o možném zájmu zaměstnance na založení odborů.
  • Kromě pokuty za porušení Nařízení GDPR byly společnosti uloženy další tři pokuty v celkové výši přibližně 40 tis. EUR za to, že tvorba daného seznamu zaměstnanců nebyla konzultována s Pověřencem pro ochranu osobních údajů působícím ve společnosti; za pozdní ohlášení porušení zabez­pečení osobních údajů a za neuvedení předmětného seznamu zaměstnanců v Záznamu společnosti o činnostech zpracování.

Únik citlivých údajů z Tesly

  • Americká společnost Tesla potvrdila, že za obří únik citlivých dat v květnu 2023 mohli bývalí zaměstnanci, kteří poskytli tajná data německému deníku Handelsblatt.
  • Deník Handelsblatt získal od dvou nespokojených zaměstnanců Tesly cca 100 GB citlivých interních dat automobilky. Jednalo se zejména o tabulky se jmény a kompletními údaji více než 75 tis. bývalých i současných zaměstnanců, včetně jejich soukromých e-mailových adres, telefonních čísel, platů a tajných údajů z výroby. Uniklá interní data dokazují, že Tesla dostává tisíce zákaznických stížností na funkčnost svých systémů autonomního řízení a její reakce jsou ve většině případů nestandardní. V souborech údajně byly i podrobné pokyny pro zaměstnance, jak reagovat na stížnosti. První zásadou bylo pokud možno nikdy neodpovídat písemně, vždy jen telefonicky.

Další pokuta pro sociální síť TikTok za zpracování osobních údajů dětí

  • Společnost TikTok Technology Limited provozující sociální síť TikTok čelí další pokutě za nakládání s osobními údaji dětí v Evropské unii.
  • Irský orgán pro ochranu údajů vydal rozhodnutí v návaznosti na realizované vyšetřování společnosti TikTok Technology Limited týkající se zpracování osobních údajů registrovaných uživatelů služby TikTok ve věku od 13 do 17 let, a některých otázek spojených se zpracováním osobních údajů dětí mladších 13 let. Rozhodnutí irského orgánu pro ochranu údajů potvrdil svým rozhodnutím i Evropský sbor pro ochranu osobních údajů (EDPB). Rozhodnutí o výši pokuty bude oznámeno v září 2023.
  • Společnosti TikTok Technology Limited byla v dubnu 2023 již udělena jedna pokuta ve výši 12,7 mil. liber, a to brit­ským úřadem pro ochranu osobních údajů za nezákonné zpracování údajů dětí.

Pokuta za zpracování zdravotních údajů a cookies

  • Francouzský dozorový orgán (CNIL) udělil společnosti Doctissimo dvě pokuty v celkové výši 380 tis. EUR (cca 9 mil. Kč) – pokutu ve výši 280 tis. EUR za porušení Nařízení GDPR, a to zejména za nedodržení povinnosti získat souhlas jednotlivců se shromažďováním a používáním jejich zdravotních údajů; a pokutu ve výši 100 tis. EUR za porušení pravidel týkajících se souborů cookies vyplývajících z francouzského zákona o ochraně údajů.
  • Při stanovení výše pokut CNIL zohlednil povahu a závažnost porušení, kategorie osobních údajů (údaje o zdravotním stavu) a počet dotčených fyzických osob, jakož i finanční situaci společnosti.

Pokuta pro španělskou personální agenturu

  • Španělský úřad pro ochranu údajů uložil pokutu 40 tis. EUR (cca 940 tis. Kč) personální agentuře za shromažďování údajů o etnickém původu a zdravotním postižení uchazečů z důvodu zlepšení vlastních služeb. Údaje o etnickém původu a zdravotním postižení personální agentura vyžadovala v rámci dotazníku, který byl sice dobrovolný, ale subjekty údajů neudělily s jeho zpracováním výslovný souhlas.
  • Personální agentura požadavkem na vyplnění takto formulovaného dotazníku porušila čl. 9 odst. 2 písm. j) Nařízení GDPR, protože se mimo jiné nemohla odvolávat na „účely vědeckého výzkumu“.

Zvýšení sankcí pro šiřitele neoprávněných obchodních sdělení

  • Na základě kontrol a zjištění provedených v roce 2022 v oblasti šíření obchodních sdělení ÚOOÚ navýšil sankce za neoprávněné šíření obchodních sdělení, protože někteří šiřitelé jsou nepoučitelní.
  • Dle zveřejněné statistiky ÚOOÚ ve druhém pololetí roku 2022 zdvojnásobil sankce uložené podnikatelům, kteří porušovali antispamová pravidla. Zatímco v prvním pololetí 2022 ÚOOÚ pravomocně ukončil 10 kontrol a rozdal pokuty ve výši 260 tis. Kč, ve druhém pololetí 2022 pravomocně ukončil 20 správních řízení a uložil pokuty za 568 tis. Kč.
  • Na základě provedených kontrol týkajících se šíření obchodních sdělení lze obecně konstatovat, že i přesto, že samotná legislativa týkající se rozesílky obchodních sdělení je jednoznačně definována, nejčastějším problémem je rozesílání obchodních sdělení vědomě subjektům, o nichž rozesílatelé vědí, že jim daná obchodní sdělení zasílat nemají.

Pokuta za neoprávněný sběr a uchovávání geolokačních údajů

  • Francouzský dozorový úřad (CNIL) udělil pokutu za porušení Nařízení GDPR ve výši 125 tis. EUR společnosti Cityscoot zabývající se sdílením elektroskútrů.
  • Pokuta byla společnosti Cityscoot udělala z důvodu neoprávněného sběru a uchovávání geolokačních údajů (údajů o poloze uživatelů elektroskútrů v intervalu 30 sekund) a předávání analytických dat společnosti Google. Dle rozhodnutí CNIL totiž předmětný rozsah zpracovávaných osobních údajů může potenciálně leccos prozradit o soukromém životě uživatelů, včetně jejich obvyklého denního režimu, často navštěvovaných místech či o veškerých zastávkách během dne.

Facebook, Google či Microsoft musí začít označovat obsah vytvořený AI

  • Velké on-line služby používající technologie umělé inteligence (AI) musí dle požadavku Evropské komise jasně označovat, zda obsah vytvořila umělá inteligence.
  • Provozovatelé, kteří ve svých službách využívají generativní AI, jako je např. Facebook od Mety, Bard od Googlu či Bing od Microsoftu, musí vybudovat dostatečné pojistky, aby nepřátelské strany nemohly tyto on-line služby používat k vytváření dezinformací.
  • Dle doporučení Evropské komise by provozovatelé on-line služeb, které mohou potenciálně šířit dezinformace vytvořené AI, měli implementovat technologie, které budou schopné takový obsah rozpoznat a jasně ho pro uživatele označit.

Pokuta udělená na základě procedury One-Stop-Shop

  • Společnosti KG COM, která provozuje několik internetových portálů zaměřených na poskytování on-line jasnovideckých služeb prostřednictvím chatu nebo telefonu, byly uděleny dvě pokuty v celkové výši 150 tis. EUR za nesplnění povinností podle Nařízení GDPR a francouzského zákona o ochraně dat (konkrétně za nedodržení pravidel při používání souborů cookies). Společnost KG COM shromažďovala nadměrné množství dat vč. citlivých údajů (např. zdravotní údaje, informace týkající se sexuální orientace klientů atd.), a to bez předchozího a výslovného souhlasu a nezajistila dostatečnou bezpečnost dat.
  • Společnost KG COM má zákazníky v několika členských státech Evropské unie, proto pokutu udělila francouzská národní komise pro informační svobody (CNIL) na základě spolupráce s dalšími evropskými dozorovými úřady v rámci procedury One-Stop-Shop (politika jednoho správního místa).

Rekordní pokuta za nezákonné předávání osobních údajů do USA

  • Společnost Meta IE provozující i sociální síť Facebook obdržela na základě rozhodnutí Evropského sboru pro ochranu osobních údajů pokutu ve výši 1,2 miliardy EUR (cca 28,4 miliardy Kč) za neoprávněné nakládání s daty Evropanů. Jedná se zatím o největší pokutu v oblasti GDPR.
  • Pokuta byla společnosti Meta IE udělena na základě šetření její služby Facebook ze strany irského úřadu pro ochranu údajů (IE DPA) za předávání osobních údajů do Spojených států amerických na základě standardních smluvních doložek (SCCs – Standard Contractual Clauses) z 16. července 2020. Porušení Nařízení GDPR společností Meta IE je velmi závažné, protože se týká převodů, které jsou systematické, opakující se a nepřetržité.
  • V rámci udělené pokuty bylo společnosti Meta IE nařízeno uvést své zpracovatelské operace / přenosy dat do souladu s Nařízením GDPR tím, že do šesti měsíců ukončí nezákonné zpracování osobních údajů evropských uživatelů vč. uchovávání těchto údajů v USA.

ÚOOÚ prověří videa pražské městské policie

  • Úřad pro ochranu osobních údajů prověří na základě jakých kritérií jsou pražskou městskou policií vybírána a publikována videa ze zásahů a incidentů a zda městská policie dostatečně používá techniky znemožňující identifikaci osob na publikovaných záznamech.
  • V březnu 2023 pražská městská policie na svém facebooku totiž zveřejnila video, ve kterém uživatelé sociálních sítí identifikovali moderátora České televize Jakuba Železného.
  • Dle vyjádření mluvčí pražské městská policie jsou videa ze zásahů a incidentů zveřejňována v souladu s právními předpisy o ochraně osobních údajů. V minulosti již byla pražská městská policie jako orgán veřejné moci kontrolována a je opětovně připravena pro případnou další kontrolu poskytnout potřebnou součinnost.

Poloha telefonu z pohledu GDPR

  • Rakouský spolkový správní soud vydal převratné rozhodnutí o provozu a poloze mobilních zařízení z pohledu ochrany osobních údajů. Dle rozhodnutí soudu jsou údaje o provozu a poloze mobilních zařízení obzvláště citlivými údaji, jež vyžadují speciální a dodatečnou ochranu, ale i přesto nemohou být samostatně jako takové považovány za osobní údaje.
  • Podle tohoto rozhodnutí může jeden z největších rakouských poskytovatelů mobilních služeb A1 odmítnout poskytování informací o provozu a poloze mobilních telefonů, neboť neexistuje validní a spolehlivý způsob, jak prokázat, že předmětné mobilní telefony nebyly užívány také jinou osobou.
  • Evropské centrum pro digitální práva NOYB s tímto rozhodnutím nesouhlasí a podá proti němu příslušný opravný prostředek. Na základě odvolání NOYB bude případ posuzovat rakouský Nejvyšší správní soud.

Ukradená data z LastPass

  • Společnost LastPass, která poskytuje službu správce hesel (password management), po půl roce přiznala, že jí byla odcizena zašifrovaná záloha hesel. LastPass informoval 33 miliónů svých uživatelů o odcizení řady důležitých a citlivých údajů.
  • Společnost LastPass radí svým uživatelům změnit všechna svá hesla uložená ve správci hesel, u důležitých účtů zapnout dvoufázové ověření a v případě nedůvěry v služby poskytované společností LastPass přejít na jinou službu správce hesel, např. 1Password, Bitwarden, Dashlane, Keeper nebo KeePassXC.

Itálie zakázala ChatGPT

  • Kvůli obavám z porušování ochrany osobních údajů Itálie jako první západní země zakázala s okamžitou platností chatovací robot ChatGPT, který je jedním z nejpoužívanějších chatovacích nástrojů na světě.
  • Italské úřady oznámily, že prošetří činnost americké společnosti OpenAI, která za programem ChatGPT stojí. Není totiž jasné, za jakých právních podmínek sbírá a shromažďuje osobní údaje uživatelů a zda jsou uživatelé o těchto podmínkách informováni.
  • ChatGPT je v současné době blokován v řadě zemí, např. v Číně, Íránu, Severní Koreji, Rusku atd.

Miliónová pokuta pro Ministerstvo vnitra

  • Předseda Úřadu pro ochranu osobních údajů potvrdil pokutu uloženou Ministerstvu vnitra ve výši 975 000 Kč za plošné zpracovávání údajů o osobách, kterým byla z důvodu prokázaného onemocnění COVID-19 nařízena izolace.
  • Případ se týkal přibližně 2 mil. lidí, kteří se onemocněním COVID-19 nakazili v období od 1. dubna 2021 do 8. března 2022. Policie ČR shromažďovala osobní údaje o zdravotním stavu osob plošně a preventivně bez vazby na konkrétní prošetřovaný případ, čímž překročila pravomoci, které jí pro nakládání s tímto typem osobních údajů stanovuje zákon č. 273/2008 Sb., o Policii České republiky.
  • V rámci posuzovaného případu ÚOOÚ upozornil i na porušení dalších povinností, které měla Policie ČR v souvislosti se zpracováním osobních údajů dodržet, např. nebyla řádně splněna informační povinnost ve vztahu k osobám, jejichž údaje byly v souvislosti s prokázaným onemocněním COVID-19 shromažďovány a zpracovávány.

Potvrzení udělené pokuty za šíření obchodních sdělení

  • Pokutu ve výši 1,4 mil. Kč uloženou rozhodnutím Úřadu pro ochranu osobních údajů v oblasti šíření obchodních sdělení potvrdil svým rozhodnutím Nejvyšší správní soud (viz https://www.uoou.cz/assets/File.ashx?id_org=200144&id_dokumenty=56829).
  • Nejvyšší správní soud definitivně potvrdil dlouhodobý výklad ÚOOÚ ohledně odpovědnosti za šíření obchodních sdělení, a to že odpovědnost za šíření obchodních sdělení nese kromě samotného rozesílatele i ten, kdo takovou rozesílku ve svůj prospěch inicioval – ať už objednáním služby, udělením příkazu či jiného pokynu, a to včetně využívání affiliate partnerů nebo prostřednictvím nástrojů lead marketingu apod.
  • Nejvyšší správní soud poznamenal, že odpovědnost je v tomto případě objektivní a osoba, v jejíž prospěch je obchodní sdělení šířeno tak odpovídá i za případný exces těchto rozesílatelů. Je proto nezbytné, aby si všichni šiřitelé obchodních sdělení, ať už jde o zadavatele (objednatele) či faktické rozesílatele, dostatečně ověřili, zda adresáti obchodních sdělení udělili pro takové zasílání souhlas, resp. v obecné rovině, zda rozesílka obchodních sdělení probíhá zákonným způsobem.

Pokuta pro komunikační platformu Discord

  • Za porušení pravidel GDPR udělil francouzský dozorový úřad (CNIL) komunikační platformě Discord pokutu 800 tis. EUR (cca 19,5 mil. Kč). Poskytovatelem této platformy je společnost Discord Inc. sídlící ve Spojených státech ame­rických.
  • CNIL provedl rozsáhlou kontrolu dodržování GDPR, v rámci které shledal několik porušení, a to porušení zásady zákonnosti, nedostatečnou ochranu soukromí, nesprávný způsob ukončování videohovorů, nevyžadování silného hesla při založení účtu a neprovedení posouzení vlivu na ochranu osobních údajů.

Výše pokut za porušení GDPR v roce 2022

  • V roce 2022 uložily evropské orgány dozoru nad ochranou osobních údajů v Evropě pokuty ve výši 2,92 miliardy EUR (cca 70 miliard Kč), což představuje 168 % nárůst oproti předchozímu roku.
  • Nejvyšší pokutu ve výši 405 mil. EUR (cca 9,7 miliard Kč) uložil irský komisař pro ochranu údajů společnosti Meta Platforms Ireland Limited za různá pochybení v oblasti ochrany osobních údajů dětí.
  • V České republice bylo v loňském roce nahlášeno celkem 301 porušení GDPR a byly uloženy pokuty ve výši téměř 600 tis. Kč. Od účinnosti Nařízení GDPR (květen 2018) Úřad pro ochranu osobních údajů uložil pokuty ve výši téměř 11 mil. Kč a bylo zaznamenáno celkem 1 573 oznámení případů porušení GDPR (průměrně cca 300 oznámení / rok).

ČTÚ udělil první pokutu za telemarketing

  • Koncem roku 2022 Český telekomunikační úřad (ČTÚ) udělil první pokutu ve výši 420 tisíc Kč za nevyžádaný telemarketing. Pokuta byla udělena jednomu subjektu za spáchání přestupku spočívajícího v obtěžování marketingovou reklamou, a to za 21 dílčích útoků (volání). Rozhodnutí zatím není pravomocné.
  • Zákaz nevyžádaných telefonátů, tzv. nevyžádaného telemarketingu platí od poloviny loňského roku, kdy vzešla v platnost novela zákona o elektronických komunikacích.
  • ČTÚ od 1.7.2022 obdržel přes 800 stížností na nevyžádané marketingové volání. Bohužel řešení přijatých stížností komplikuje řada okolností, jako např. nekompletní stížnosti podavatelů či prováděný telemarketing z anonymních předplacených karet nebo ze zahraničí. Za nevyžádaný telemarketing může ČTÚ udělit pokutu až ve výši 50 milionů Kč nebo do výše 10 procent z čistého obratu pachatele přestupku dosaženého za poslední ukončené účetní období.

Únik dat ze společnosti Microsoft

  • Společnost Microsoft zavinila obrovský únik dat, na který v říjnu 2022 upozornila antivirová společnost SOCRadar – došlo k úniku dat 65 tisíc obchodních společností, orgánů státní správy a dalších institucí v celkem 111 zemích světa. K bezpečnostnímu incidentu došlo v důsledku nesprávně nastaveného serveru Azure Blob spravovaného společností Microsoft.
  • Únik dat se týkal i českých obchodních společností, orgánů státní správy a dalších institucí, např. Ministerstva vnitra ČR, Ministerstva financí ČR, Armády ČR, Všeobecné zdravotní pojišťovny, společnosti T-Mobile a České spořitelny. Podle vyjádření České spořitelny a T-Mobilu nedošlo k úniku osobních údajů klientů. Ministerstvo financí ČR uvedlo, že došlo jenom k minimálnímu úniku veřejně dostupných údajů týkajících se samotného resortu, údaje však nejsou citlivé a podle ministerstva jsou již neplatné.

Pokuta pro Google za sledování polohy

  • Společnost Google obdržela pokutu ve výši 85 milionů dolarů (cca 2 miliardy Kč) za sledování polohy uživatelů systému Android v americkém státě Arizona. Google sledoval uživatele v Arizoně a dalších amerických státech (Texasu, Indianě a Washingtonu D.C) i přes to, že uživatelé měli sdílení polohy vypnuté, tj. odmítli ve svém zařízení polohové služby. Předpokládá se, že i ostatní „postižené“ členské státy USA udělí společnosti Google pokutu za neoprávněné sledování polohy.
  • Soudní rozhodnutí státu Arizona je průlomové a slouží jako varování i pro evropské země, neboť se dá předpokládat, že společnost Google provozuje nekalé praktiky i v evropských státech.

Pokuta společnosti Meta IE za behaviorální reklamu

  • Irský úřad pro ochranu údajů (IE DPA) udělil společnosti Meta Platforms Ireland Limited (Meta IE), která provozuje internetové sociální platformy Facebook a Instagram, pokutu ve výši 390 milionů EUR (pokuta pro Facebook 210 mil. EUR a pokuta pro Instagram 180 mil. EUR) za netransparentnost zpracování osobních údajů klientů pro tzv. behaviorální (zájmovou) reklamu. Tato pokuta byla udělena společnosti Meta IE na základě šetření stížností na aktivity Facebooku a Instagramu, a to zejména ve vazbě na zákonnost a transparentnost zpracování osobních údajů klientů pro behaviorální reklamu.
  • Evropský sbor pro ochranu osobních údajů (EDPB) přitom výši pokuty udělenou irským dozorovým úřadem ještě násobně navýšil. Dle vyjádření EDPB behaviorální reklama není nezbytná pro plnění domnělé smlouvy s uživateli Facebooku a Instagramu. Společnost Meta IE se nevhodně spoléhala na smlouvu jako právní základ pro zpracování osobních údajů v kontextu smluvních podmínek Facebooku a Instagramu pro účely behaviorální reklamy, protože to nebyl hlavní prvek služeb. Meta IE postrádala právní základ pro toto zpracování, a proto tyto údaje zpracovávala nezákonně.
  • Toto rozhodnutí EDPB může mít důležitý dopad i na další platformy, které mají behaviorální reklamy v centru jejich obchodního modelu.

Pokuta Ministerstvu vnitra ČR za neoprávněné shromažďování osobních údajů

  • Úřad pro ochranu osobních údajů uložil Ministerstvu vnitra ČR pokutu 975 000 Kč za přestupek, a to v souvislosti s aplikací Karanténa a shromažďováním dat o osobách v izolaci Policií ČR. Pokuta byla udělena Ministerstvu vnitra ČR na základě Hlavy III. zákona č. 110/2019 Sb., o zpracování osobních údajů, protože Policie ČR nemá právní subjektivitu.
  • Jednání, které bylo předmětem přestupku, spočívalo v neoprávněném zpracování údajů o zdravotním stavu osob Policií ČR, kterým byla nařízena izolace. Toto jednání bylo v rozporu s § 79 odst. 3 zákona o Policii ČR, podle kterého „shromažďovat údaje o rasovém nebo etnickém původu, náboženském, filosofickém nebo politickém přesvědčení, členství v odborové organizaci, zdravotním stavu, sexuálním chování nebo sexuální orientaci lze pouze tehdy, je-li to nezbytné pro účely šetření konkrétního trestného činu nebo přestupku, nebo při poskytování ochrany osob.
  • Plošným zpracováním osobních údajů o všech osobách v izolaci Policie ČR jednala v rozporu s tímto ustanovením.

Pokuta pro Google za nedodržení práva být zapomenut

  • Španělský dozorový úřad Agencia Española de Protección de Datos (AEPD) udělil společnosti Google pokutu 10 milionů EUR (cca 247 mil. Kč) za nedodržení práva být zapomenut a nařídil společnosti, aby své postupy uvedla do souladu s Nařízením GDPR.
  • Google pochybil při předávání informací bez platného právního základu třetí straně se sídlem v USA (organizaci Lumen). Tyto předané informace mohly být použity k identifikaci osob žádajících o vymazání svých osobních údajů podle práva EU, vč. jejich e-mailové adresy, adresy URL a uvedených důvodů.
  • Organizace Lumen je americký akademický projekt Harvardské univerzity, jehož cílem je studovat zákonné žádosti o odstranění on-line informací prostřednictvím shromažďování databáze žádostí o odstranění obsahu. Organizace Lumen prostřednictvím Google vyhověla žádosti AEPD a vymazala údaje uživatelů, u nichž bylo zjištěno, že jí byly sděleny bez právního základu.

Výzva pro klienty SHOPTET.CZ

  • Společnost Shoptet, a.s. je největším českým poskytovatelem krabicového řešení pro tvorbu e-shopu. Shoptet se specializuje na pronájem e-shopových řešení. V současné chvíli Shoptet, a.s. využívá 30 606 e-shopů, což je třetina všech internetových obchodů působících na českém a slovenském trhu. Také nabízí pokladní systém, který umožňuje správu e-shopu a kamenného obchodu v rámci jednoho on-line systému.
  • Úřad pro ochranu osobních údajů na základě ohlášení o porušení zabezpečení osobních údajů, které se mohlo dotknout části klientů společnosti Shoptet, a.s., vyzývá všechny klienty této společnosti, aby jako správci osobních údajů prověřili, zda u nich nedošlo k porušení zabezpečení osobních údajů spočívající v neoprávněném exportu dat. Týká se to zejména těch, kdo mají nebo v minulosti měli v rámci svých e-shopů nainstalovány doplňky „Souhrnný přehled“ nebo „Pokročilé statistiky“.
  • ÚOOÚ toto ohlášení porušení zabezpečení nyní vyhodnocuje, ale vzhledem k tomu, že mohlo dojít k porušení ochrany osobních údajů mnoha tisíc osob přistoupil k této veřejné výzvě.

Pokuty za porušení GDPR

  • Pokuty za porušení právních předpisů EU o ochraně osobních údajů v loňském roce vzrostly téměř sedminásobně na 1,25 miliardy USD (cca 26,8 miliardy Kč). O rok dříve pokuty činily 180 milionů USD.
  • Pokuty v rámci GDPR se loni týkaly zejména internetových firem. Úřad v Lucembursku např. vyměřil americké společnosti Amazon pokutu 746 milionů EUR, úřad v Irsku pak dal firmě WhatsApp ze skupiny Meta pokutu 225 milionů EUR. Obě firmy se proti pokutám odvolaly.

Pokuta za únik zdravotních údajů

  • Francouzský dozorový úřad CNIL (Commission Nationale de l’Informatique et des Libertés) uložil společnosti Dedalus Biologie pokutu ve výši 1,5 milionu EUR (cca 37 mil. Kč) z důvodu nedostatečného zabezpečení spravovaných osobních údajů. V únoru 2022 unikly na internet osobní údaje subjektu údajů, za jejichž bezpečné zpracování byla společnost Dedalus Biologie odpovědná. Jednalo se o jméno, příjmení, rodné číslo, jméno ošetřujícího lékaře, datum vyšetření a údaje o zdravotním stavu subjektů údajů (např. HIV status, informace o nádorových onemocněních, genetických onemocněních, těhotenství, medikamentózní léčbě či genetické údaje subjektů údajů).
  • Tímto rozhodnutím francouzského dozorového úřadu CNIL bylo potvrzeno, že neschopnost zabránit úniku osobních údajů může být považována za porušení Nařízení GDPR.

Společnost Meta dostala pokutu 17 mil. EUR

  • Po dosažení širšího konsenzu mezi evropskými dozorovými orgány v oblasti ochrany osobních údajů irská Komise pro ochranu osobních údajů uložila společnosti Meta Platforms Ireland Limited (dříve Facebook) pokutu ve výši 17 mil. EUR (cca 420 mil. Kč).
  • Kontrola byla zaměřena na to, jak společnost Meta plní své povinnosti s ohledem na zásadu integrity a důvěrnosti a na zabezpečení osobních údajů. Dle závěrů provedené kontroly společnost Meta neimplementovala vhodná technická ani organizační opatření a selhala taktéž v případě plnění zásady odpovědnosti, tj. schopnosti prokázat plnění svých povinností.

Samsung terčem kyberútoku

  • Jihokorejská společnost Samsung se stala cílem hackerů ze skupiny LAPSUS$, kteří prolomili servery Samsungu a ukradli data desítek miliónů uživatelů a další cenné informace. Ze serverů Samsung serverů zmizelo téměř 200 gigabajtů unikátních dat.
  • Hackeři se zmocnili kódů k bezpečnostní platformě KNOX, podrobností o firmwaru zařízení, biometrických dat, informací o Samsung účtech včetně uživatelských jmen a IP adres a několika cenných interních dokumentům. Odcizená data Samsungu se objevila volně na internetu, a to i včetně dat českých uživatelů.

Prošetření zveřejnění soukromých adres poslanců ČR

  • V médiích byla zveřejněna informace, že iniciativa Chcípl PES měla na sociální síti publikovat soukromé adresy bydlišť 70 poslanců, kteří hlasovali pro novelu pandemického zákona. Chcípl PES vyzval své příznivce, aby šli demonstrovat před obydlí těchto poslanců. Adresy bydlišť bez jmen konkrétních poslanců hnutí Chcípl PES smazalo ze sociální sítě asi po třech hodinách po jejich zveřejnění.
  • Na základě této informace zveřejněné v médiích Úřad pro ochranu osobních údajů prošetří, zda hnutí Chcípl PES tímto jednáním porušilo či neporušilo Nařízení GDPR při nakládání s osobními údaji. Na základě závěru z tohoto prošetření může ÚOOÚ příp. hnutí uložit pokutu za porušení ochrany osobních údajů.

Pokuty za porušení GDPR v roce 2021 přesáhly miliardu EUR

  • Evropské dozorové úřady v roce 2021 obdržely více než 130 tisíc oznámení o porušení zabezpečení osobních údajů. V České republice bylo ohlášeno celkem 241 případů porušení Nařízení GDPR, tj. o 14 % méně než v roce 2020. V přepočtu na počet obyvatel je Česká republika druhou nejméně oznamující zemí v Evropské unii.
  • Za porušení ochrany osobních údajů uložily evropské dozorové úřady v roce 2021 pokuty v celkové výši 1,1 miliardy EUR (cca 26 miliard Kč). Rekordní pokuty byly udělené Amazonu (746 milionů EUR) a WhatsAppu (225 milionů EUR) – proti těmto rozhodnutím o těchto sankcích však byly podány opravné prostředky, o nichž zatím nebylo rozhodnuto.

ÚOOÚ kontroloval fungování DPO ve státním sektoru

  • V rámci svých kontrol se Úřad pro ochranu osobních údajů zaměřil na postavení Pověřence pro ochranu osobních údajů (DPO) ve státním sektoru.
  • Identifikovaná pochybení při výkonu funkce Pověřence pro ochranu osobních údajů:
    • Formální jmenování Pověřence, tj. Pověřenec neplní svou zákonnou povinnost.
    • Jmenovaný Pověřenec nemá dostatečné profesní kvality a odborné znalosti práva a praxi v oblasti ochrany osobních údajů.
    • Pověřenec není dostatečně zapojen do interních procesů subjektu týkajících se ochrany osobních údajů.
    • Pověřenec nedostává od subjektu relevantní informace nezbytné pro výkon této funkce.
    • Pověřenec plní v rámci subjektu i jinou funkci a nemá dostatek času na plnění úkolů Pověřence.

Kontrola shromažďování osobních údajů obyvatel ČR v karanténě

  • Policie České republiky téměř dva roky shromažďuje osobní údaje obyvatel, kteří jsou v karanténě nebo v izolaci z důvodu nakažlivé nemoci COVID-19. Citlivá data dostává policie od několika institucí, např. od krajských hygienických stanic či Ústavu zdravotnických informací a statistiky. Policie zpracovává tyto osobní údaje pomocí zvláštní aplikace, do které mají přístup pouze vybraní policisté na operačních střediscích.
  • Podle zjištění Aktuálně.cz prověřuje Úřad pro ochranu osobních údajů, zda policie s evidencí nakládá podle zákona. Dle dostupných informací police při shromažďování těchto osobních údajů a tvorbě databáze nepostupovala vždy podle zákona.
  • Na základě výzvy Ministerstva vnitra ČR, kterému to nařídil ÚOOÚ prostřednictvím pravomocného příkazu, policie požádala ÚOOÚ o projednání databáze lidí v karanténě nebo v izolaci, jak jim to nařizuje zákon č. 110/2019 Sb., o zpracování osobních údajů. Cílem je zjistit, zda tato evidence neporušuje Nařízení GDPR a nepředstavuje nepřijatelný zásah do práv obyvatel České republiky.

Zamknutí registru s majetky veřejných činitelů

  • Centrální registr oznámení, který obsahuje majetková přiznání veřejných činitelů (poslanců, senátorů, náměstků ministra, ministrů atd.), byl uzamknut před veřejností Ministerstvem spravedlnosti ČR. K omezení poskytování těchto údajů došlo na základě doporučení Úřadu pro ochranu osobních údajů. Informace o majetku veřejných činitelů nebudou poskytovány ani na základě žádosti podané podle zákona č. 106/1999 Sb., o svobodném přístupu k informacím.
  • Problém s poskytováním informací o majetku veřejných činitelů by měla vyřešit novela zákona č. 159/2006 Sb., o střetu zájmů, o které bude sněmovna jednat v únoru 2022.

Fungování Google Analytics je pravděpodobně v rozporu s GDPR

  • Rakouský dozorový úřad (Datenschutzbehörde) a nizozemský dozorový úřad (Autoriteit Persoonsgegevens) dospěly k závěru, že používání analytického nástroje Google Analytics evropskými provozovateli webových stránek je v současné době v rozporu s Nařízením GDPR. Nizozemský úřad na ochranu osobních údajů dokonce doporučil provozovatelům webových stránek, ať nástroj Google Analytics nepoužívají, že bude brzo pravděpodobně zakázán.
  • Prostřednictvím analytického nástroje Google Analytics jsou sbírána data – statistické údaje o návštěvnících webových stránek, která nejsou zcela zabezpečena z pohledu GDPR. V současné době není ani transparentní cesta a místo ukládání sebraných dat (společnost Google sídlí v USA, subjekt tedy není evropský) – uzavření standardních smluvních doložek ani zásady zpracování osobních údajů společností Google nemohou zbavit povinnosti zpřístupnit osobní údaje americkým orgánům veřejné moci.
  • Předpokládá se, že pokud by byl Google Analytics v Evropě vyhodnocen jako nelegální, společnost Google by pravděpodobně jeho fungování upravila v souladu s Nařízením GDPR.

Společnost Meta zlepšuje přístup k soukromí na Facebooku

  • Americká společnost Meta provozující sociální síť Facebook postupně zprovozňuje centrum pro soukromí, v němž se uživatelé dozví, jak Facebook sbírá a používá informace týkající se jeho osoby. Toto centrum nabídne návody a odkazy na nastavení služby.
  • Centrum pro soukromí se v pilotním provozu, které se zobrazuje jen na některých účtech na desktopech v USA, věnuje pěti základním tématům – zabezpečení účtu, sdílení obsahu, sběr uživatelských dat, používání dat a zobrazování reklam.

Společnost Meta hrozí stažením Facebooku a Instagramu z Evropy

  • Vedení společnosti Meta uvedlo v podrobných záznamech o hospodaření, které předložilo americké komisi pro cenné papíry, že své služby Facebook a Instagram stáhne z Evropy, pokud nebude moci nadále přenášet data uživatelů na servery ve Spojených státech (nařízení o způsobu předávání evropských údajů do Spojených států upravují v současné době evropské regulační orgány).
  • Data Facebooku a Instagramu se nyní zpracovávají jak na amerických, tak i evropských serverech, což je klíčové pro cílení reklam a firmy, které na těchto sociálních sítích působí. Dle společnosti Meta by stažení Facebooku a Instagramu z Evropy mělo negativní dopad pro mnoho společností v Evropské unii, které se spoléhají na služby a reklamy, které Meta poskytuje.

Europol musí smazat velkou část své databáze osobních údajů

  • Deník The Guardian informoval o tom, že policejní agentura Evropské unie Europol bude muset smazat velkou část svého rozsáhlého úložiště osobních údajů. Podle unijního dozorčího orgánu je nashromáždila nezákonně.
  • Podle deníku The Guardian obsahuje mezipaměť Europolu nejméně čtyři petabajty dat, v systému Europolu jsou uložena citlivá data nejméně čtvrt milionu lidí. Europol získal osobní údaje prostřednictvím hlášení o trestných činech, ze zašifrovaných telefonních služeb nebo je vybral od žadatelů o azyl, kteří se nikdy žádného trestného činu nedopustili.
  • Europol má nařízeno smazat data, která v systému uchovává déle než po dobu šesti měsíců a v průběhu jednoho roku má vytřídit údaje, které lze uchovávat v souladu s aktuálně platnou legislativou. Europol jakákoliv pochybení odmítá, dozorčí orgán si podle něj vykládá stávající pravidla nesplnitelným způsobem.

Riziko sledování a sběru osobních údajů na olympijských hrách v Pekingu

  • Sportovci a jejich doprovod, novináři i diváci účastnící se olympijských her v Pekingu musí mít podle pokynů organizátorů ve svém chytrém telefonu nainstalovanou aplikaci MY2022, která monitoruje jejich zdravotní stav, zejména hodnoty související s možnou nákazou COVID-19. Do této aplikace se ale také zaznamenávají cestovní a osobní údaje, díky nimž se bude v případě onemocnění sledovat výskyt COVID-19.
  • Podle odborných analýz mohou tuto povinnou monitorovací aplikaci zneužívat čínské úřady či jiné subjekty. Např. dle analýzy provedené organizací Citizen Lab při Torontské univerzitě, která se zabývá sledováním kybernetické bezpečnosti, jsou v aplikaci trhliny. Aplikace má jednoduchou, ale zničující chybu, kdy lze triviálně obejít šifrování chránící hlasový zvuk a přenosy souborů uživatelů. Zranitelné jsou také zdravotnické celní formuláře, které přenášejí údaje o cestovním pasu, demografické informace a zdravotní a cestovní historii. Údaje a privátní informace by takto mohly unikat a nekontrolovatelně být shromažďovány nežádoucím příjemcem.
  • Na tato identifikovaná rizika Čína reagovala prostřednictvím státního listu Global Times vyjádřením, že všechny osobní údaje budou šifrovány, aby bylo zajištěno soukromí.
  • Většina národních olympijských výborů doporučila členům svých výprav vhodné protiopatření. Mezinárodní olympijský výbor se k této problematice vyjádřil neutrálně – podle jeho vyjádření mu nepřísluší komentovat rady, které může národní olympijský výbor poskytovat členům své delegace.

Pokuta za ponechání bankovních údajů bez ochrany

  • Francouzská společnost SLIMPAY poskytující platební služby obdržela na konci prosince 2021 od francouzského dozorového úřadu Commission Nationale de l’Informatique et des Libertés (CNIL) pokutu ve výši 180 tisíc eur (cca 4,4 mil. Kč) za ponechání bankovních údajů přibližně 12 milionů svých zákazníků bez ochrany po dobu delší než čtyři roky a za nesplnění povinnosti oznámit předmětné porušení zabezpečení osobních údajů subjektům údajů (tj. za porušení čl. 34 odst. 1 Nařízení GDPR).
  • Společnost SLIMPAY měla na serverech bez jakéhokoliv zabezpečení uložené osobní údaje zákazníků (jméno a příjmení, poštovní adresa, e-mailová adresa, telefonní číslo a informace o bankovním spojení – BIC / IBAN) z výzkumného projektu, který realizovala v roce 2015. Tyto osobní údaje byly volně přístupné z internetu. Společnost odhalila porušení zabezpečení osobních údajů až v únoru 2020 a rozhodla se o tomto incidentu neinformovat dotčené zákazníky.

Stěžejní chyby při předávání osobních údajů do třetích zemí a mezinárodním organizacím

  • I přesto, že jsou jasně definována pravidla a mechanismy ochrany pro předávání osobních údajů do třetích zemí a mezinárodním organizacím (viz čl. 44 – 50 Nařízení GDPR), dochází v praxi k častým chybám. Jedná se zejména o následující pochybení:
    • požadované záruky nejsou uzavřeny se všemi potenciálními zpracovateli osobních údajů, kteří jsou do zpracování předávaných osobních údajů zahrnuti;
    • do ochranného rámce nejsou zahrnuty všechny potenciální způsoby zpracování předávaných osobních údajů;
    • do ochranného rámce nejsou zahrnuty všechny lokace, kde mohou být předávané osobní údaje zpracovávány;
    • není uzavřená zpracovatelská smlouva;
    • je pozměněno znění standardních smluvních doložek, tj. dokument je zneplatněn (standardní smluvní doložky musí být uzavřeny v přesném originálním znění);
    • v rámci ochrany je využito rozhodnutí o odpovídající ochraně, které již není platné;
    • podniková pravidla či kodexy chování jsou zaměněny za interní či externí pravidla pro zpracování osobních údajů (nezávazné dokumenty typu podnikových pravidel či kodexů chování nenahrazují požadované mechanismy pro zajištění dostatečné úrovně ochrany osobních údajů).
  • Při předávání osobních údajů do třetích zemí a mezinárodním organizacím musí být vždy dodržena zásada odpovídající úrovně ochrany osobních údajů. Obecně se doporučuje překontrolovat aktuálnost a použitelnost zvoleného konkrétního mechanismu zabezpečení předání osobních údajů nejen před každým předáním osobního údaje, ale také pravidelně v jeho průběhu.

Britský nejvyšší soud zablokoval hromadnou žalobu proti Googlu

  • Začátkem listopadu 2021 britský nejvyšší soud zablokoval hromadnou žalobu proti Googlu za údajně nezákonné sledování osobních dat z milionů iPhonů. Účastníci hromadné žaloby požadovali odškodné 3,2 miliardy liber (cca 94,3 miliardy Kč). Podle soudu však stěžovatel neprokázal, že by shromažďováním údajů byla jednotlivcům způsobena škoda.
  • Společnost Google uvedla, že se již léta zaměřuje na produkty a infrastrukturu, které respektují a chrání soukromí lidí. Tato žaloba souvisela s událostmi, které se odehrály před deseti lety.

Pokuta za shromažďování databáze snímků obličeje

  • Australské společnosti Clearview AI, která se zabývá technologiemi pro rozpoznávání obličejů, hrozí pokuta ve výši 17 milionů liber (cca 515 mil. Kč) za nesprávné nakládání s osobními údaji ve Spojeném království. Úřad britského komisaře pro informace (ICO) má značné obavy z používání software společnosti Clearview AI pro rozpoznávání obličejů britskou policií. Úřad proto vyzval společnost, aby přestala zpracovávat britské osobní údaje a vymazala všechny, které má.
  • Systém Clearview AI umožňuje uživateli, který se snaží identifikovat podezřelého, nahrát fotografii obličeje a najít shodu v databázi miliard obrázků, které nástroj shromáždil z internetu a sociálních médií. Systém pak uživateli poskytne odkazy, na kterých se snímky objevily. Britský komisař ve svém prohlášení uvedl, že databáze společnosti Clearview AI pravděpodobně zahrnuje „podstatný počet lidí ze Spojeného království“, jejichž data mohla být shromážděna, aniž by o tom věděli.
  • Rozhodnutí ICO je zatím předběžné, Clearview AI zvažuje odvolání.

Společnost Airbnb čelí stížnosti ohledně porušení pravidel GDPR

  • Společnost Airbnb čelí stížnosti ohledně porušení ustanovení Nařízení GDPR upravující automatizované individuální rozhodování. Stížnost podala koncem prosince 2021 jménem jedné poskytovatelky ubytování rakouská nevládní nezisková organizace NOYB (European Center for Digital Rights) k německému dozorovému úřadu Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz. Předmětem stížnosti je využití automatizovaného individuálního rozhodnutí při výpočtu obdržených hodnocení od ubytovaných klientů.
  • Společnost Airbnb se ke stížnosti zatím nevyjádřila. Tisková zpráva o celém případu řešené stížnosti je dostupná na https://noyb.eu/en/gdpr-complaint-airbnb-hosts-mercy-algorithms.

Porušení zákona o ochraně údajů při rozesílání roušek

  • Při loňském hromadném rozesílání roušek seniorům či zdravotně handicapovaným Ministerstvo vnitra a Ministerstvo práce a sociálních věcí porušila zákon č. 110/2019 Sb., o zpracování osobních údajů. Ministerstva nechala Českou poštou rozeslat balíčky s pěti rouškami a respirátorem do milionů domácností.
  • Podle vyjádření ÚOOÚ zákon porušila obě ministerstva a také Česká správa sociálního zabezpečení, když k získání adres pro zaslání roušek použily údaje z evidence obyvatel. U všech případů ÚOOÚ dospěl k závěru, že byly porušeny povinnosti při zpracování osobních údajů, kdy zejména nebyl prokázán relevantní právní základ pro toto zpracování. ÚOOÚ informoval, že Česká pošta smazala svěřené osobní údaje, takže tyto údaje již nejsou dále zpracovávány.
  • Kvůli posílání roušek čelila kritice i Česká pošta, a to ze strany Státního ústavu pro kontrolu léčiv, podle kterého Česká pošta porušila zákonné požadavky na distribuci a technické normy zdravotnických prostředků.
  • Pokuta ministerstvům ani ČSSZ nehrozí, protože zákonodárci pokutování orgánů veřejné správy zakázali zákonem.

Výsledky kontrol ÚOOÚ za první pololetí roku 2021

  • Úřad pro ochranu osobních údajů zveřejnil na svých webových stránkách přehled a bližší informace o uzavřených kontrolách za první pololetí roku 2021 (viz https://www.uoou.cz/kontroly-za-rok-2021/ds-6737/archiv=0&p1=1277).
  • ÚOOÚ se v rámci provedených kontrol zaměřil na státní správu, obce, neziskový sektor, školství, finanční služby či služby prodeje elektřiny a zemního plynu.
  • Mezi výsledky kontrolních činností ÚOOÚ zařadil následující poznatky:
    • Nezrušení přístupového hesla do datové schránky společnosti ke dni rozvázání pracovního poměru (bývalý zaměstnanec společnosti měl přístup k datové schránce společnosti i po skončení pracovního poměru).
    • Společnost zpracovávala osobní údaje bez řádného právního titulu ve smyslu čl. 6 Nařízení GDPR.
    • Ústav ve své soukromoprávní databázi provozované na svých webových stránkách shromáždil a dále zveřejňoval osobní údaje subjektů údajů bez zákonného titulu.
    • Ústřední orgán státní správy aktivně nezapojil jmenovaného Pověřence pro ochranu osobních údajů do plnění k zabezpečení osobních údajů a k realizaci práv subjektů údajů. Pověřenec pro ochranu osobních údajů neobdržel nezbytné informace potřebné pro výkon této funkce a kromě plnění úkolů Pověřence mu byly systematicky ukládány další úkoly s touto funkcí nesouvisející.
    • Obec nedodržovala zásady minimalizace údajů při zpracování osobních údajů dle čl. 5 Nařízení GDPR.
    • Policie ČR porušila zásadu zpracování osobních údajů, neboť při vyhledání osobních údajů subjektu údajů v registru obyvatel nestanovila konkrétní účel zpracování ve smyslu § 25 odst. 1 písm. a) zákona č. 110/2019 Sb., o zpracování osobních údajů.
    • Poskytovatel ubytovacích služeb pořizoval skeny občanských a jiných průkazů totožnosti při uzavírání smluv o ubytování.
    • Poskytovatel ubytovacích služeb měl nedostatečně / neúplně zpracované Záznamy o činnostech zpracování podle čl. 30 Nařízení GDPR.
    • Mateřská škola umístila a provozovala kamery v prostorách šaten určených pro převlékání dětí bez zákonného titulu pro zpracování osobních údajů.
    • Zprostředkovatel prodeje elektřiny a zemního plynu oslovoval osoby bez zákonného titulu a nedodržoval interní směrnici k zabezpečení osobních údajů.
    • ÚOOÚ se v rámci prováděných kontrol zaměřil i na nevyžádaná obchodní sdělení, a to na základě přijatých stížností na rozesílání obchodních sdělení. V rámci těchto kontrol byla u některých kontrolovaných obchodních společností zjištěna tato pochybení:
    • Šíření obchodního sdělení elektronickými prostředky bez předchozího souhlasu adresátů, tj. bez právního titulu k rozesílkám na předmětné e-mailové adresy.
    • Rozesílaná obchodní sdělení neobsahovala informaci o totožnosti odesílatele, jehož jménem se komunikace uskutečňovala.
    • Rozesílání obchodních sdělení jménem dané společnosti zajišťoval tuzemský či zahraniční odesílatel formou affiliate marketingu, tj. formou plateb za přivedené zákazníky.
    • Obchodní společnost zpracovávala osobní údaje (telefonní číslo) subjektu údajů i po přijetí žádosti subjektu údajů o odstranění jeho osobních údajů a dokonce i po potvrzení o výmazu z databáze pro marketingové účely (k celkovému výmazu osobních údajů subjektu údajů došlo až za několik měsíců po obdržení žádosti o výmaz).
    • Zasílaná obchodní sdělení neobsahovala možnost odhlášení se z dalšího zasílání.

Průzkum americké vlády jak technologické společnosti zacházejí s daty spotřebitelů

  • List The Wall Street Journal (WSJ) s odkazem na informované zdroje uvedl, že americká vláda prozkoumá, jak velké technologické společnosti zacházejí s finančními a ostatními daty spotřebitelů. Podle zveřejněné informace Úřad pro ochranu finančních zájmů spotřebitelů (CFPB) prověří, jak s daty spotřebitelů zachází Amazon, Apple, Facebook, Google, firmy zabývající se finančními službami pro spotřebitele a další firmy mající ambice v tomto odvětví expandovat.
  • Očekává se, že CFPB vydá nařízení, která mu umožní od velkých technologických společností získat potřebné informace. Otázky připravovaného průzkumu budou široce pojaté – od toho, jak se data spotřebitelů využívají k rozhodnutí o úvěru, až po to, jak společnosti na jejich základě personalizují reklamu. Získané informace CFPB prý plánuje podrobit veřejné diskusi.

Index kyberbezpečnosti v rámci České republiky

  • Česká bankovní asociace každý rok měří tzv. Index kyberbezpečnosti, který vychází z tvrzení Čechů, jakým způsobem se chovají na internetu.
  • V roce 2020 dosáhl Index kyberbezpečnosti 61 % − většina občanů České republiky o kyberhrozbách ví, ale nedokáže je odhalit, např. nečtou informační zprávy od bank, nevěnují pozornost bezpečnostním upozorněním svého mobilního telefonu atd.
  • V případě zájmu si můžete vyzkoušet své znalosti o kyberbezpečnosti ve vědomostním Kybertestu (https://www.kybertest.cz/), jehož cílem je zjistit, zda respondenti v rolích klientů fiktivní Rodinné banky při reálně vypadajících simulacích rozpoznají, že jsou terčem on-line podvodníků.

Prošetření sdílení dat přes aplikaci Tečka

  • V rámci kontrol se Úřad pro ochranu osobních údajů zaměří i na aplikaci Tečka, která obsahuje informace o prodělané nemoci, očkování nebo výsledky testů na Covid-19.
  • Aplikace Tečka od září 2021 spustila pilotní provoz sdílení certifikátů se službami na webových stránkách při zakoupení vstupenek nebo při registraci na akci – po vyfocení speciálního QR kódu sdílení zobrazeného na webu externí služby nabídne aplikace Tečka výběr a odeslání certifikátu účastníka akce. Dojde tedy ke sdílení informace o bezinfekčnosti s prodejcem vstupenek, tj. externí služba tedy může dopředu ověřit aktuální stav Covid-19 a účastník akce již nemusí dokládat bezinfekčnost na místě (dojde ke zrychlení vstupu na akci). K poskytnutí osobních dat je potřebný souhlas klientů, a to hned dvakrát, než se informace zcela odešlou.

ČSSZ řeší problém se zveřejňováním osobních údajů

  • Na internetu jsou dostupné dokumenty s citlivými osobními údaji od České správy sociálního zabezpečení, které lze jednoduše vyhledat prostřednictvím vyhledávače (např. písemnosti o exekuční srážce ze mzdy apod.). Kromě tohoto problémů bylo zjištěno, že některé pobočky OSSZ zveřejňované materiály nesprávně anonymizují.
  • ČSSZ výše uvedené pochybení částečně připustila, podle ministryně práce a sociálních věcí Jany Maláčové nyní zveřejňování dokumentů prověřuje. Problém se zveřejněním osobních údajů na internetu prověřuje i Úřad pro ochranu osobních údajů.

Předání osobních údajů mezi M&M reality a distributory směnek

  • Úřad pro ochranu osobních údajů prošetřuje předání osobních údajů mezi realitní kanceláří M&M reality a distributory směnek investiční společnosti Arca Investments, které se mělo uskutečnilo v roce 2020, kdy se řešil kapitálový vstup společnosti Arca Investments do M&M reality, který se nakonec neuskutečnil.
  • Distributoři směnek získali data v podobě excelových tabulek, dostali též přístupy do interního informačního systému Stormm. Cílem bylo nabízet krátce před krachem společnosti Arca Investments její směnky lidem, kteří prodali nemovitost a měli tedy hotovost.
  • Majitel M&M reality Petr Morcinek popřel, že by společnost poskytla společnosti Arca Investments osobní údaje klientů. Realitní kancelář prý podala hlášení k Úřadu pro ochranu osobních údajů o tzv. bezpečnostním incidentu.

Vyšetřování TikToku

  • Irská Komise pro ochranu dat (DPC), která v Evropské unii reguluje většinu světových technologických firem, zahájila dvě vyšetřování čínské platformy pro sdílení krátkých videí TikTok.
  • DPC v prohlášení uvedla, že první vyšetřování se týká zpracování osobních údajů v souvislosti s nastavením platformy pro uživatele mladší 18 let a opatřeními pro ověření věku osob mladších 13 let, druhé vyšetřování se zaměří na přesun osobních údajů společností TikTok do Číny a na to, zda společnost při předávání osobních údajů do zemí mimo EU dodržuje unijní právní předpisy.

Pokuta za nesprávné provozování kamerového systému

  • Španělský dozorový úřad Agencia Española de Protección de Datos (AEPD) udělil společnosti Arriveda Damar SL pokutu v celkové výši 6 tisíc EUR (cca 152 tis. Kč) za porušení čl. 5 Nařízeni GDPR – principu minimalizace osobních údajů.
  • Společnost Arriveda Damar SL porušila princip minimalizace osobních údajů při provozování kamerového systému nadměrně zasahujícího do soukromí subjektů údajů. Společnost bez řádného důvodu instalovala čtyři kamery, které snímaly chodník vedle objektu společnosti nacházející se na veřejném prostranství, a to v celé šířce, a zároveň i auta zaparkovaná vedle něj. Informativní cedule o provozování kamerového systému nesplňovala požadavky na řádné informování subjektů údajů (čl. 13 Nařízení GDPR).

Výsledky průzkumu STEM / MARK o sdílení osobních údajů

  • Dle výsledků vyplývajících z realizovaného průzkumu STEM / MARK devadesát procent Čechů odmítá sdílet osobní údaje jako je rodné číslo, osobní doklad, údaje o platební kartě, obsah e-mailu či zprávy. Téměř polovina dotazovaných nemá ale problém poskytnout údaje o poloze, sdílet historii prohlížení, fotografie a kontakty.
  • Ochota sdílet své soukromé údaje klesá s rostoucím věkem. Obecně jsou ochotní osobní údaje sdílet především lidé z nejmladší generace a muži, u žen a starších lidí je patrná větší zdrženlivost.

Únik údajů z platebních karet ukradených mezi lety 2018 a 2019

  • Ruští hackeři zveřejnili na serveru All World Cards údaje z milionu platebních karet (čísla platebních karet, data platnosti, bezpečnostní kódy CVV atd.) ukradených mezi lety 2018 a 2019. V rámci zveřejněných údajů jsou i údaje z ještě funkčních platebních karet, a to i údaje o platebních kartách vydaných v České republice.
  • Podle časopisu Forbes útočníci tímto způsobem propagují svou databázi ukradených platebních karet, kterou mohou ostatní zločinci využít k on-line nákupům. Hackeři údaje o platebních kartách kradou prostřednictvím malwaru, nebo při přesměrování zákazníků na platební platformy e-shopů. Následně ukradené údaje z platebních karet přeprodávají dalším kybernetickým zločincům.
  • Skutečný počet ukradených údajů z platebních karet je mnohem vyšší než jeden milion – odhadem se jedná o cca 2,6 milionu ukradených údajů z platebních karet klientů bank z celého světa. Nejvyšší počet (cca 1,2 milionu) pochází ze Spojených států amerických.

British Airways zaplatí za únik osobních údajů kromě pokuty i vyrovnání klientům

  • Společnost British Airways zaplatí za porušení zabezpečení osobních údajů z roku 2018 kromě pokuty ve výši 20 mil. liber (cca 600 mil. Kč), kterou společnosti udělil britský dozorový úřad (Information Commissioner’s Office), i vyrovnání klientům. Společnost v červenci 2021 uzavřela dohodu o vyrovnání s klienty, jejichž osobní údaje jim v minulosti unikly.
  • V roce 2018 letecká společnost British Airways dostatečně neochránila osobní a finanční údaje více jak 400 tisíc klientů. Společnosti unikla řada klientských dat – přihlašovací údaje k účtům, historie platebních karet a přístupy k nim, podrobnosti o plánovaných cestách včetně jména, příjmení a adresy majitelů, a bankovní údaje.
  • Více než 16 tisíc dotčených klientů požadovalo po britské letecké společnosti náhradu újmy způsobené únikem jejich osobních údajů. Hromadnou žalobu připravovala jejich jménem advokátní kancelář PGMBM (Pogust, Goodhead, Mousinho, Bianchini and Martins).
  • Podrobnosti dohody British Airways s poškozenými klienty však nejsou veřejně přístupné. Není tedy zřejmé, jak vysoké odškodnění je poškozeným subjektům údajů poskytnuto. Odhaduje se, že porušení GDPR bude britské aerolinky stát cca 5 miliard Kč.

Pokuta za zveřejnění fotek dětí na Instagramu

  • Španělský dozorový úřad Agencia Española de Protección de Datos (AEPD) udělil gymnastickému klubu Club Gimnasia Rítmica San Antonio pokutu ve výši 5 tisíc EUR (cca 128 tisíc Kč) za zveřejnění fotografie dvou nezletilých dětí (ve věku 10 a 12 let) na instagramovém účtu klubu.
  • Gymnastický klub zveřejnil fotografie nezletilých dětí pořízené při cvičení i přes výslovný nesouhlas jejich matky. Matka dětí několikrát požádala gymnastický klub, aby nezveřejňoval fotografie jejích dvou dcer na sociálních sítích, a také dala jasně najevo, že nedává klubu oprávnění pořizovat jejich fotografie a videozáznamy.
  • Španělský dozorový úřad AEPD dospěl k závěru, že klub porušil ustanovení čl. 6 odst. 1 Nařízení GDPR upravující jednotlivé právní důvody zpracování osobních údajů, a to tím, že na svém instagramovém účtu zveřejnil fotografie dvou dětí, aniž by měl právní důvod k podobnému nakládání s jejich fotografiemi. Klub nebyl schopen prokázat, že měl k podobnému jednání právní důvod, jelikož nedisponoval souhlasem matky dětí (naopak mu byl znám její nesouhlas s pořízením fotografií a videozáznamů a jejich zveřejněním na sociálních sítích).

Rekordní pokuta pro Amazon

  • Společnost Amazon Europe Core S.à r.l. dostala v červenci 2021 od lucemburského úřadu pro ochranu osobních údajů (La Commission nationale pour la Protection des données) rekordní pokutu 756 milionů EUR (cca 18,9 miliard Kč) za porušení GDPR.
  • Pokuta byla Amazonu udělena na základě podnětu více než 10 tisíc stěžovatelů podaného prostřednictvím francouzského sdružení La Quadrature du Net (LQDN), jehož cílem je prosazovat a hájit základní práva a svobody jednotlivců v digitálním světě.
  • Lucemburský úřad pro ochranu osobních údajů prošetřoval v rámci společnosti Amazon způsob zpracovávání osobních údajů zákazníků. Na základě provedené kontroly bylo zjištěno porušení pravidel pro cílení reklamy, které bylo pravděpodobně prováděno bez řádného souhlasu. Bližší informace nejsou k dispozici, protože rozhodnutí není veřejně dostupné.
  • Společnost Amazon s udělenou pokutou nesouhlasí a chce se proti předmětnému rozhodnutí bránit.

Miliardová pokuta pro WhatsApp

  • Společnost WhatsApp spadající pod největší sociální síť Facebook dostala od Komise pro ochranu dat v Irsku (DPC) pokutu ve výši 225 milionů EUR (cca 5,74 miliard Kč) za znevažování osobních uživatelských dat a GDPR.
  • Podle usnesení DPC WhatsApp porušuje evropské Obecné nařízení na ochranu osobních údajů. WhatsApp o všech svých uživatelích sbírá citlivá osobní data (iniciály, telefonní číslo, adresu apod.), se kterými ale nevhodně zachází. WhatsApp sdílí informace o uživatelích nejen v celém systému Facebook, ale sdílí je i s dalšími firmami a službami.
  • Společnost WhatsApp považuje tuto pokutu za neadekvátní a chce se proti ní odvolat.

Vydání knihy Mindf*ck: Cambridge Analytica a plán na zničení

  • Whistleblower a bývalý ředitel výzkumu Cambridge Analytica Christopher Wylie vydal knihu „Mindf*ck: Cambridge Analytica a plán na zničení“, která odhaluje skutečný příběh britského referenda o vystoupení z Evropské unie, Bannonovy americké revoluce, ovlivňování amerických prezidentských voleb (volební kampaně Donalda Trumpa v roce 2016) a celosvětového zločinu proti demokracii. Kniha popisuje, jak je snadné s pomocí osobních dat, které o sobě lidé v online prostoru zveřejňují, nahlédnout do lidských myslí a prostřednictvím moderních technologií s nimi manipulovat.
  • Společnost Cambridge Analytica využila Facebooku ke zpracování milionů uživatelských profilů – spojila psychologický výzkum se soukromými facebookovými daty a vytvořila tak neviditelnou zbraň, která měla moc měnit to, co voliči považovali za realitu.
  • Christopher Wylie svým veřejným vystoupením odstartoval jedno z největších a nejrozsáhlejších mezinárodních vyšetřování datové kriminality v naší historii.

Pokuta za sledování zaměstnanců francouzské pobočky IKEA

  • Francouzská pobočka IKEA, respektive společnost Ingka Group, která je hlavním franšízantem vlastníka značky Inter IKEA Group, zaplatí za nezákonné sledování zaměstnanců pokutu jeden milion EUR. Důvodem udělené pokuty bylo neoprávněné sledování zaměstnanců – vedení firmy si např. prohlíželo záznamy o bankovních účtech zaměstnanců, v rámci tzv. mystery shoppingu sepisovalo zprávy o zaměstnancích atd.
  • Celý případ skončil v trestněprávní rovině – obviněno bylo 15 osob, z nichž pouze některým se podařilo částečně zprostit obvinění a dvě osoby byly shledány nevinnými v celém rozsahu. Mezi obviněnými byli i čtyři policisté, kteří se měli podílet na vynášení důvěrných informací z policejních spisů. Generální ředitel Jean-Louis Baiilot dokonce obdržel od soudu pokutu 50 tis. EUR a dvouletou podmínku trestu odnětí svobody.

Výroční zpráva ÚOOÚ za rok 2020

  • Senát Parlamentu České republiky vzal 10.6.2021 na vědomí Výroční zprávu Úřadu pro ochranu osobních údajů za rok 2020, kterou úřad zveřejnil v březnu 2021.
  • Výroční zpráva ÚOOÚ za loňský rok obsahuje podrobný přehled o kontrolní činnosti úřadu, a to zejména informace o provedených kontrolách v roce 2020 včetně konkrétních příkladů a z nich plynoucích poznatků, řešené stížnosti a podněty, informace o stavu v oblasti zpracování a ochrany osobních údajů v České republice a zhodnocení ostatní činnosti úřadu, a to včetně dozoru nad zpracováním osobních údajů podle zákona. č. 110/2019 Sb., o zpracování osobních údajů.
  • Výroční zpráva ÚOOÚ za rok 2020 je zveřejněna na webových stránkách úřadu https://www.uoou.cz/vismo/dokumenty2.asp?id_org=200144&id=49119&n=vyrocni%2Dzprava%2Duradu%2Dza%2Drok%2D2020.

Pokuta za porušení povinnosti jmenovat zástupce v EU

  • Nizozemský dozorový úřad (Autoriteit Persoonsgegevens) uložil provozovateli platformy Locatefamily.com pokutu ve výši 525 tisíc EUR za nesplnění povinnosti jmenovat zástupce v Evropské unii (tedy za porušení čl. 27 Nařízení GDPR). Jedná se o první rozhodnutí, kdy byla uložena pokuta za nejmenování zástupce v EU.
  • Nizozemskému dozorovému úřadu se však nepovedlo (ani s pomocí dalších evropských i mimoevropských dozorových úřadů) zjistit, kde přesně provozovatel platformy Locatefamily.com sídlí, a proto je obtížné uloženou pokutu vymoci.

Pokuta pro Amazon

  • Dle listu The Wall Street Journal hrozí americkému internetovému obchodu Amazon v Evropské unii nejvyšší pokuta, jaká byla dosud v rámci GDPR vyměřena. Výše navržené pokuty je cca 425 mil. dolarů, což zhruba odpovídá dvěma procentům loňského čistého zisku společnosti Amazon.
  • Navržená pokuta se týká neoprávněného způsobu shromažďování a využívání osobních údajů osob společností Amazon. Pokutu navrhnul lucemburský úřad pro ochranu osobních údajů CNPD, návrh pokuty musí ještě schválit úřady pro ochranu osobních údajů v ostatních členských zemích EU.

Soudní dvůr EU porušil Nařízení GDPR

  • Evropský inspektor ochrany údajů při kontrole zjistil, že Soudní dvůr EU měl na svých webových stránkách nedostatečné informace o zpracování osobních údajů, a to v podobě skutečností, že cookie banner uživatelům webových stránek neumožňoval odmítnout použití souborů cookies a zároveň pokud bude uživatel souhlasit s používáním cookies webových stránek, budou se ukládat také cookies YouTube.
  • Z tohoto důvodu Evropský inspektor ochrany údajů konstatoval závěr, že webové stránky Soudního dvora EU porušovaly několik ustanovení Nařízení GDPR.

Snížení pokuty německým soudem

  • Německé společnosti provozující mimo jiné také call centrum, které slouží pro potřeby zákazníkům, byla uložena německým dozorovým úřadem pokuta ve výši 9 550 000 EUR, a to z důvodu, že nezajistila přiměřenou úroveň ochrany osobních údajů. Jednalo se o skutečnost, kdy byly rodinným příslušníkům zákazníka sdělovány osobní údaje pro potvrzení kontaktních údajů uvedených ve smlouvě. Tímto bylo omylem pracovníkem call centra sděleno telefonní číslo ex-partnera bývalé přítelkyni.
  • Pokuta byla ve výsledku snížena na 900 000 EUR z důvodu nízkého rizika plynoucí pro subjekty údajů, neboť byly zpracovávány „pouze“ kontaktní údaje nikoliv citlivé osobní údaje.

Co nejčastěji způsobuje pokuty v oblasti ochrany osobních údajů

  • Dle statistik z uplynulých let a různých koutů EU je nyní možné nalézt několik oblastí, kde dochází k zanedbání ochrany osobních údajů, což může způsobit v případě kontrol dozorových úřadů nemalé pokuty. Jedná se o:
    • Transparentnost – každý subjekt zpracovávající osobní údaje musí poskytovat jasné a srozumitelné informace o tom, jak a proč jsou dané osobní údaje zpracovávány. Také by tyto informace měly být dostupné na jednom místě.
    • Právní základ – pokud dochází ke zpracování osobních údajů, musí se toto zpracování opírat alespoň o jeden pilíř: zákon, smlouva, oprávněný zájem, veřejný zájem, souhlas a životně důležité zájmy.
    • Zabezpečení – zpracovávané osobní údaje musí být dostatečně zabezpečené fyzicky, organizačně a technicky. Mělo by docházet k řízení přístupů k datům, sledovat na jakých místech jsou data ukládána, šifrovat údaje, mít silné přihlašovací heslo, logování nezdařených přihlášení atd.
    • Minimalizace dat – většinou je zpracováváno mnohem více údajů než je potřebné k naplnění účelu, dané činnosti.

Kybernetických útoků přibývá

  • Během posledních měsíců došlo k rapidnímu nárůstu zaznamenaných kybernetických útoků nejen s cílem získat osobní údaje a hesla.
  • Národní úřad pro kybernetickou a informační bezpečnost varuje, že v souvislosti s aktuálním děním v Rusku můžeme nyní očekávat větší aktivitu v podobě špionážních kybernetických operací. Týká se to zejména informačních systémů veřejné správy, ale riziko stouplo i u jiných systémů.

Falešná aplikace WhatsApp

  • V nedávné minulosti se pro telefony se systémem Android zrodila falešná „růžová“ aplikace WhatsApp, která však slouží k hackerským účelů. Rozhodně se nejedná o dámskou verzi klasické chatovací aplikace. Instalací tohoto škodlivého software může docházet k povolení přístupu hackerům k osobním údajům, jako jsou telefonní čísla, obsahy zpráv, hesla a platební údaje.
  • V případě, že si chcete aplikaci WhatsApp pořídit, použijte k tomu oficiální obchod GooglePlay či AppStore.

Nástroj Mailchimp porušuje GDPR

  • Dle bavorského dozorového úřadu porušuje tento americký marketingový nástroj na rozesílání newsletterů či hromadných emailů Nařízení GDPR a to z důvodu, že dochází k předávání osobních údajů do USA. Provozování tohoto nástroje se totiž řídí podle amerických předpisů, konkrétně FISA702 (50 U.S.C. § 1881), který Mailchimp kategorizuje jako poskytovatele služeb elektronických komunikací. Což znamená, že veškeré emailové adresy používané v tomto nástroji mohou být zpřístupněny amerických zpravodajským službám (FBI, CIA, Národní bezpečností agentura).

Žaloba aplikace TikTok

  • Známá aplikace pro sdílení krátkých videí TikTok od čínské společnosti ByteDance je obžalována ze shromažďování a využívání údajů o dětech. Žalobu podala bývalá dětská komisařka pro Anglii Anne Longfieldová, která jménem milionů dětí z Velké Británie a Evropské unie požaduje odškodnění ve výši několika miliard liber.
  • Důvodem je údajně skutečnost, že aplikace shromažďuje bez dostatečného upozornění nebo souhlasu zákonných zástupců osobní údaje dětí. Dále údajně není jasně řešeno, jak bude s těmito daty nakládáno.

Španělská letecká společnost nedodržela termín pro ohlášení porušení ochrany osobních údajů

  • Dle Nařízení GDPR má správce osobních údajů povinnost ohlásit porušení ochrany osobních údajů na ÚOOÚ bez zbytečného prodlení, nejpozději však do 72 hodin o zjištění porušení. Jestliže nenastane riziko pro práva a svobody fyzických osob, není ohlášení nutné.
  • Tuto lhůtu nedodržela španělská letecká společnost, která porušení ohlásila až po 41 dnech od zjištění a zároveň toto prodlení neodůvodnila. Za takové pochybení jí byla španělským dozorových úřadem uložena pokuta 100 tisíc EUR.
  • Zároveň byla této společnosti uložena pokuta za nedostatečné zabezpečení osobních údajů, neboť došlo k neoprávněnému přístupu ke kontaktním údajům a údajům týkajícím se bankovních účtů asi 489 tisíc osob.

Sběr dat aplikacemi

  • Je všeobecně známo, že veškeré aplikace, které v mobilních telefonech používáme, o nás sbírají konkrétní data. Níže bezpečností společnost Clario Tech Limited zpracovala přehled nejpoužívanějších aplikací a jaké informace o uživatelích ukládá.

Zdroj: https://www.uoou.cz/assets/File.ashx?id_org=200144&id_dokumenty=48155

Hra o bezpečném chování na síti

  • Olomoucká pedagogická fakulta vytvořila pro žáky základních škol novou on-line hru, pomocí které se mají uživatelé trénovat v bezpečném chování na internetu. Hra nauku prezentuje prostřednictvím akčních soubojů a hlavolamů, které mají zábavnou a atraktivní cestou vzdělávat v zabezpečení mobilních telefonů a počítačů, dále v oblasti ochrany osobních údajů, autorských právech či kyberšikaně, kybergroomingu nebo sextingu.
  • Hru je možné jednoduše spustit na odkaze http://www.internethighway.cz/.

Společnosti IKEA ve Francii hrozí pokuta

  • Koncem března byl ve Francii zahájen soud s bývalým vedením IKEA za špehování svých zaměstnanců. Jedná se konkrétně o skutečnost, kdy IKEA nechávala své zaměstnance a uchazeče o zaměstnání prověřovat bezpečností agenturou, zda v minulosti neměli problémy s krádežemi, zda aktivně nevystupovali proti globalizaci, jestli od nich hrozí riziko ekoterorismu nebo proč se zásadně změnily jejich požadavky vůči zaměstnavateli.
  • Společnosti IKEA za výše uvedené hrozí pokuta až 3,75 milionu EUR (98 milionů Kč).

Seznamovací aplikace Grindr

  • Společnost provozující seznamovací aplikaci Grindr čelí pokutě od Norského úřadu pro ochranu osobních údajů. Výše pokuty může být až 251 milionů Kč a to za neoprávněné sdílení osobních údajů uživatelů aplikace se třetími stranami pro marketingové účely.
  • Jednalo se konkrétně o data týkající se polohy uživatele (GPS signál), dále data uvedená na profilech uživatelů a informaci, zda dotyčný používá samotnou aplikaci.
  • Aplikace sice měla snahu na poskytování těchto osobních údajů sbírat potřebné souhlasy, ty však nesplňovaly požadavky GDPR, ale zejména nebylo možné udělení daného souhlasu odmítnout. Každý uživatel tedy musel marketingový souhlas udělit, pokud chtěl aplikaci využívat.

Ukradená data z Facebooku

  • Již v roce 2019 došlo v rámci sociální sítě Facebook k odcizení osobních údajů více jak půl miliardy uživatelů ze 106 zemí, mezi kterými bylo více jak 1,4 milionu profilů Čechů. Facebook sice v srpnu téhož roku přijal potřebná opatření, ale data už byla ukradena a škody napáchány. Jednalo se o osobní údaje jako telefonní číslo, jméno uživatele, email, datum narození a geolokační údaj.
  • Až nyní, o dva roky později, se ukradená data objevila na internetu. Během celé doby mohlo docházet k jejich zneužívání, které mohlo vést až ke krádeži identity nebo peněz. V současné době ani případná změna hesla u dotčených profilů nic nezmění. Jediná možnost, jak dalšímu odcizení zabránit je účty natvrdo zrušit a smazat.

Statistiky v ochraně osobních údajů

  • Dle statistiky společnosti DLA Piper bylo za pokuty v EU za minulý rok uděleno více jak 4 miliardy korun, což je o přibližně 40 % více než tomu bylo rok před tím. Za celkovou účinnost GDPR se tak rozdaly pokuty ve výši cca 7 miliard korun. Česká republika se na tomto čísle podílela „pouhými“ necelými třemi miliony Kč tvořící 0,04 % celkové částky.
  • Celkem náš Úřad pro ochranu osobních údajů zaznamenal 7 179 podnětů a stížností a zahájil 144 kontrol.
  • Nejvyšší pokuta byla uložena ve Francii společnosti Google ve výši 50 milionů EUR. Druhá nejvyšší pokuta byla udělena v Německu a to společnosti H&M ve výši 35,26 milionů EUR. Třetí největší pokutu 27,8 milionů EUR dostal v Itálii telekomunikační operátor TIM SpA.

Únik osobních údajů

  • Litevská policie prošetřuje únik více jak 100 000 osobních údajů, které byly v roce 2018 odcizeny společnosti provozující sdílení automobilů. Mezi daty byly osobní údaje také několika ministrů a starosty hlavního města. Jednalo se o odcizení identifikačních čísel z nezabezpečené zálohy, která jsou obdobou našich rodných čísel. Data následně hacker nabídl k prodeji za 1 000 dolarů. Tamní úřad na ochranu osobních údajů nyní vyšetřuje dostatečnost zabezpečení dat a případně přistoupí k pokutě.

Pokuta za spam do datových schránek

  • V souvislosti s vyhlášeným nouzovým stavem způsobeným pandemií Covid-19 bylo v České republice zavedeno zaslání zpráv datovou schránkou zdarma pro zjednodušení a urychlení komunikace s úřady. Podmínkou však bylo, že společnosti tohoto zavedení nebudou zneužívat posíláním nevyžádaných nebo jinak obtěžujících sdělení.
  • Na podnět několika desítek stížností Úřad pro ochranu osobních údajů udělil pokutu 11 společnostem v celkové výši přes 3 miliony Kč, které disponovaly a používaly databáze tisíců kontaktů datových schránek k rozesílání nejrůznějších nabídek zboží a služeb, aniž by disponovaly např. zákaznickým či jiným obdobným vztahem, jež by je ospravedlňoval k zasílání sdělení tohoto typu z titulu oprávněného zájmu.

Únik osobních údajů v Nizozemsku

  • V rámci dvou útoků byly ukradeny osobní údaje tisíců nakažených lidí koronavirem z hlavního trasovacího systému. Jednalo se o data jako je jméno, bydliště, telefon, číslo pojištěnce a výsledek testu. Ukradená data byla následně nabídnuta na internetu ke koupi.

Pokuta pro Google a Amazon

  • Koncem minulého roku udělil francouzský úřad na ochranu osobních údajů CNIL zatím největší pokutu ve výši 100 milionů EUR pro Google a 35 milionů EUR pro společnost Amazon. Obě společnosti se provinily tím, že porušily ochranu osobních údajů v souvislosti s používáním cookies a dalších sledovačů používaných k cílenému zobrazování reklamy na svých webových stránkách. Dále byly obě společnosti vyzvány k okamžité nápravě, přičemž každý den prodlevy se odrazí v pokutě 100 000 EUR denně.

Pokuta pro společnost Twitter

  • Společnost Twitter International Company sídlící v Dublinu dostala v prosinci 2020 pokutu 450 000 EUR za porušení GDPR. Jednalo se nejen o nedodržení lhůty 72 hodin pro ohlášení porušení zabezpečení osobních údajů dozorovému úřadu a to od chvíle zjištění takové situace, ale také za samotné porušení zabezpečení ochrany osobních údajů. Pokud si uživatel změnil email propojený s účtem na Twitter, jejich tweety se následně staly nechráněné a byly tedy k nahlédnutí široké veřejnosti, ne pouze jejich followerům.

Nedostatečné zabezpečení seznamu testovaných na COVID-19

  • Jedna z českých laboratoří nedostatečně zabezpečila osobní údaje žadatelů o test na COVID-19. Pouhým přepsáním adresního řádku mohl kdokoliv nahlížet na žádanku obsahující kromě jména, příjmení a adresy také další choulostivé údaje, jako je rodné číslo, číslo občanského průkazu a kontaktní údaje. Dle ÚOOÚ se jedná o jisté pochybení. Vedení laboratoře problém obratem začalo řešit.

SMS s aplikací eRouška

  • V říjnu 2020 dostali tři největší operátoři v České republice pokyn od hygieničky Jarmily Rážové k rozeslání sedmi milionů SMS zpráv obsahující informaci ke stažení aplikace eRouška. Podle expertů na kyberbezpečnost je však zvolená forma zaslaného sdělení vysoce riziková, neboť hrozí možné zneužití hackery. Důvodem je skutečnost, že uvedená webová stránka na stažení aplikace není dostatečně zabezpečena protokolem HTTPS a je tedy velice snadné odkaz přesměrovat na nebezpečné servery.
  • O2 zároveň sledoval, kdo z příjemců SMS na odkaz ve zprávě klikl, avšak účel tohoto sběru dat nevysvětlil.

Osobní údaje zveřejněné v Centrálním registru dlužníků České republiky (CERD)

  • Úřad pro ochranu osobních údajů provedl v r. 2018 kontrolu Centrálního registru dlužníků České republiky (CERD) a v r. 2019 zahájil řízení o sankci za nepřijetí opatření k nápravě. Správce osobních údajů systému CERD uložená opatření neprovedl, a proto se ÚOOÚ obrátil na poskytovatele služeb pro systém CERD, díky kterému se podařilo znepřístupnit web CERDu. Správce osobních údajů systému CERD si ale zajistil nového poskytovatele služeb – indickou společnost, která IP adresy pro registr hostuje na území Ruské federativní republiky.
  • ÚOOÚ tedy přišel o možnost ovlivnit stažení nebo znepřístupnění protiprávního obsahu registru. Správce osobních údajů registru nyní s odkazem na svobodu shromažďování informací čeká na zrušení rozhodnutí ÚOOÚ.
  • Provozovatel CERDu k tomu na webu napsal: „Transparentní protikorupční linka je pozastavena do doby zrušení Úřadu na ochranu osobních údajů. ÚOOÚ podalo opakovanou námitku proti zveřejnění příspěvků třetích stran ve formě veřejného fóra, kde se přispěvatelé snaží poukázat na podezření překračující zákon. Z důvodu možných budoucích sankcí za umožněné zveřejnění příspěvků doplněné poučením o možné irelevantnosti příspěvků je zveřejňování oznámení zastaveno. ÚOOÚ svým právním výkladem znemožnilo do budoucna zpětnou veřejnou kontrolu v rámci prověřování protikorupčních oznámení. Protikorupční systém je založen na legislativě USA, která nebrání přístupu k informacím a šíření svobodného názoru… Zveřejněné údaje nespadají do jurisdikce České publiky, neboť jsou data primárně uložena mimo území ČR a nejsou z důvodu ochrany vkladatele spojeny s českým rezidentem či provozovatelem.“
  • Poznámka: CERD není součástí žádného zákonného registru, potvrzení registru banky nepřijímají a sám registr upozorňuje, že za data neručí. Registrem dlužníků v ČR je Solus a další bankovní i nebankovní firmy, stát provozuje insolvenční rejstřík a Exekutorská komora vede ze zákona Centrální evidenci exekucí.

Pokuta pro British Airways za únik dat

  • Britský úřad na ochranu osobních údajů udělil pokutu ve výši 20.000.000 liber (cca 600 mil. Kč) letecké společnosti British Airways, která v roce 2018 dostatečně neochránila osobní a finanční údaje více jak 400 tisíc zákazníků. Důvodem výše této pokuty je skutečnost, že společnost sama útok nezaznamenala a byla na něj upozorněna až dva měsíce poté třetí stranou.

Pokuta pro společnost H&M

  • Na podzim byla udělena dosud nevyšší pokuta ve výši 35,3 mil EUR (cca 950 mil. Kč) a to společnosti Hennes & Mauritz (H&M). Pokutu udělil německý dozorový úřad za zásadní porušení pravidel ochrany osobních údajů, kdy společnost záměrně sledovala soukromí stovek zaměstnanců servisního centra. Jednalo se o jejich intenzivní monitorování s cílem analyzovat osobní a rodinné poměry, zdravotný stav či jejich náboženské nebo filozofické přesvědčení. Zjištěné údaje pak společnost využívala například při rozhodování o ukončení pracovního poměru nebo dalších pracovněprávních změnách.

EU vyšetřuje aplikaci Instagram

  • Irská Komise na ochranu dat zahájila vyšetřování proti sociální platformě Instagram, která je součástí společnosti Facebook. Důvodem je podezření, kdy Instagram porušuje GDPR nedostatečným zabezpečením dat, primárně dat dětí a mladistvých. V případě, že regulační orgány zjistí porušení může být uložena pokuta přesahující i 20 milionů EUR (cca 545 mil. Kč).

Zjištěná porušení ochrany osobních údajů

  • Statutární město bylo uznáno vinným ze spáchání přestupku, když omylem odeslalo datovou schránkou seznam 10 112 dlužníků určený pro Finanční úřad neoprávněné osobě jisté společnosti.
  • Statutární město předalo osobní údaje 150 členů Společenství vlastníků domů nájemci nebytových prostor u tohoto společenství za účelem získání souhlasu členů se změnou užívání jím pronajatých prostor.
  • Univerzita v rámci přijímacího řízení zpracovávala rodné číslo pro účel přihlášení uchazeče o studium do informačního systému a dále nestanovila jednoznačný účel a právní základ pro zpracování osobních údajů v rozsahu občanství, místo narození, informace, odkud se uchazeč hlásí a soukromý e-mail.

Nejvyšší pokuta ÚOOÚ

  • V září udělil ÚOOÚ doposud nejvyšší pokutu 6 mil. Kč společnosti, která se zabývá prodejem ojetých automobilů. Důvodem bylo opakované rozesílání nevyžádaných obchodních sdělení. Emaily byly doručovány půl milionu adres a to i osobám, které k tomu neudělily souhlas. Nevyžádanými sděleními společnost porušila zákon č. 480/2004 Sb., o některých službách informační společnosti.

Sankce za kybernetické útoky

  • Na konci července 2020 Evropská unie poprvé uvalila sankce za kybernetické útoky, a to za útok namířený proti Organizaci pro zákaz chemických zbraní (OPCW) a útoky známé pod označením WannaCry, NotPetya a Operation Cloud Hopper.
  • Postiženo má být celkem šest osob a tři subjekty pocházející z Ruska, Severní Koreje a Číny. Omezující opatření zahrnují zákaz cestování a zmrazení majetku. Osoby a subjekty z EU kromě toho nesmí osobám a subjektům zařazeným na sankční seznam zpřístupňovat finanční prostředky.

Pokuta pro Google za porušení práva být zapomenut

  • Belgický dozorový úřad udělil společnosti Google pokutu ve výši 600.000 EUR (cca 16 mil. Kč) za nedostatečnou aplikaci práva být zapomenut, tj. práva na odstranění odkazů z výsledků vyhledávání. Konkrétně se jednalo o neodstranění internetových odkazů, které mohou poškodit jistého veřejně činného jednotlivce, z výsledků internetového vyhledávání na standardní vyhledávací dotaz. Společnost Google s rozhodnutím belgického dozorového úřadu nesouhlasí a bude se proti němu dále bránit.

Pokuta pro Twitter za nekalé nakládání se soubory cookies

  • Španělský dozorový úřad udělil pokutu ve výši 30.000 EUR (cca 800 tis. Kč) společnosti Twitter za chybné získávání souhlasů s ukládáním souborů cookies. Společnost se provinila tím, že ihned po vstupu uživatele na webové stránky nainstalovala do přístupového zařízení soubory cookies, které však nebyly pro správné fungování Twitteru potřebné. Další výtka dozorového úřadu se týkala vyskakujícího banneru, který bez možnosti volby rovnou uvádí, že využíváním služeb Twitteru návštěvník automaticky souhlasí s pravidly společnosti pro zpracování souborů cookies.

Únik osobních údajů uživatelů Moje eZdravie

  • Na Slovensku mohlo dojít k úniku osobních údajů až 390 tisíc uživatelů aplikace Moje eZdravie, kteří byli testování na přítomnost viru v souvislosti s Covid-19. Aplikace, která obsahuje formulář, pomocí kterého je možné požádat o vyšetření, je provozována státní příspěvkovou organizací Národné centrum zdravotníckych informácií (NCZI).
  • NCZI použilo při vytváření aplikace nezabezpečené rozhraní, do kterého mohl kdokoliv vstoupit a zároveň nebylo zajištěno šifrování dat. Bezpečnostní společnost tedy získala veškeré osobní údaje testovaných osob – jméno, datum narození, adresu, klinické příznaky, informace o odběru s výsledkem testu.

Příklady porušení ochrany osobních údajů vyplývající z kontrol provedených ÚOOÚ v 1. pololetí roku 2020

Níže je uvedeno shrnutí stěžejních chyb v oblasti ochrany osobních údajů identifikovaných v rámci kontrol provedených ÚOOÚ v 1. pololetí roku 2020:

  • Veřejná vysoká škola vyžadovala při přihlašování uchazečů ke studiu nadbytečné údaje, bez jejichž vyplnění nebylo možné elektronickou přihlášku do přijímacího řízení na vysokou školu odeslat. Pro přihlášení do informačního systému, v němž byla elektronická přihláška ke studiu vyplňována a podávána, bylo nezákonně vyžadováno rodné číslo v kombinaci s iniciálami jména a příjmení uchazeče.
  • V rámci exekutorského úřadu bylo zjištěno pochybení zaměstnance při doručování zprávy do datové schránky jiné osoby. Zaměstnanci, který porušil správcem stanovený pracovní postup, byla chyba vytknuta a byla přijata příslušná opatření k eliminaci selhání lidského faktoru.
  • ÚOOÚ udělil několika obchodním společnostem pořádkovou pokutu (ve výši 25 – 300 tis. Kč) za neposkytnutí součinnosti při realizaci kontroly dodržování ochrany osobních údajů (kontroly provedené z důvodu podezření na neoprávněné předávání osobních údajů v rámci nákupu na e-shopu, nezákonného rozesílání nevyžádaných obchodních sdělení atd.).
  • Organizace měla nesprávně nastaven postup pro udělení souhlasu s cookies na svých webových stránkách − souhlas se zpracováním osobních údajů nebyl právoplatně udělen, protože ukládání informací v koncovém zařízení uživatele internetových stránek prostřednictvím souborů cookies bylo povoleno předem zaškrtnutým políčkem, jehož zaškrtnutí by musel uživatel k odmítnutí svého souhlasu zrušit.
  • Společnost zaměřená na půjčování sportovního vybavení nezákonně kopírovala občanské průkazy klientů − společnost neměla řádně udělený souhlas pro zpracování osobních údajů a klienti nebyli dostatečně informováni, proč jsou jejich doklady kopírovány a jak bude s jejich osobními údaji nakládáno.
  • Společnost pochybila při formulaci souhlasu zaměstnanců se zpracováním osobních a biometrických údajů za účelem provozování docházkového systému s technologií umožňující rozpoznání otisků prstů, a sledování zaměstnanců prostřednictvím kamerového systému, při práci s počítačem a pomocí GPS umístěných ve služebních vozech. Udělený souhlas nesplňoval zákonné požadavky, neboť informace a poučení subjektu údajů o účelu, způsobech a době zpracování biometrického údaje (otisku prstu) nebyly zcela jednoznačně formulovány / nebyly transparentní.
  • Obchodní společnost nezákonně rozesílala nevyžádaná obchodní sdělení elektronickými prostředky, která obsahovala nabídky zboží a služeb různých internetových obchodů a rovněž vybízela k návštěvě internetových stránek určených k přímé podpoře nabízeného zboží a služeb.
  • Společnost nezákonně zpracovávala osobní údaje za účelem uskutečňování nevyžádaných telefonických marketingových hovorů. Společnost pochybila i při zpracování osobních údajů klientů, kteří projevili souhlas se zpracováním pouze ústně – telefonicky, protože projevený souhlas nebyl nikterak zaznamenán či archivován.

Zneužití dat uživatelů antivirové ochrany Avast

  • Česká antivirová společnost Avast Software s.r.o. obchodovala s daty, která získává o svých klientech. Americké magazíny Vice a PCMag jako první popsaly, jak Avast prodává data o vyhledávání stovek milionů svých klientů po celém světě globálním společnostem jako Google, Microsoft, Pepsi nebo Tripadvisor.
  • Společnost Avast Software s.r.o. měla prostřednictvím své dceřiné společnosti Jumpshot prodávat data o aktivitách uživatelů antivirové ochrany. Jumpshot nabízela klientům různé balíky dat vč. takzvaného „All Clicks Feed“, který do detailu sleduje chování uživatele, jeho kliky, pohyb mezi weby i na jednotlivých stránkách. Někteří odběratelé podle získaných smluv platili za data částky v milionech dolarů.
  • Na základě zveřejněných informací popisujících praktiky společnosti Avast Software s.r.o. zahájil ÚOOÚ prošetření případu. Výrobce antivirů Avast – dle vyjádření vedení společnosti − přestane prodávat veškerá data, která získal od svých zákazníků, nabízet nebude ani anonymizované údaje a zavře dceřinou společnost Jumpshot sídlící v San Franciscu.

Zneužití dat z Katastrálního úřadu firmou Nexter Company

  • Společnost Nexter Company na svém webu Atlas cen zveřejnila data o 70 tisících nemovitostí prodaných v loňském roce, včetně ceny, za kterou byly prodány, kontaktů na majitele a fotek z původních inzerátů. Všechny tyto údaje, jež firma získala od Katastrálního úřadu a zaplatila za ně celkem 380 250 Kč, byly na webových stránkách přístupné bezplatně a bez nutnosti registrace. Společnost informace získané z Katastru nemovitostí tedy nevyužila pouze pro vlastní účely, ale šířila je i dál.
  • Podle ÚOOÚ jde o největší zneužití cenových údajů z Katastru nemovitostí. Společnost se brání, že zveřejnění informací nebylo v rozporu s katastrálním zákonem, nicméně ze své webové stránky nejdříve odstranila fotky nemovitostí a nyní celý web reviduje.

Pochybení při zpracování osobních údajů politickými stranami

  • V rámci kontrol provedených v roce 2019 ÚOOÚ prověřoval dvě politické strany – SPD a TOP 09, a to kvůli zpracování osobních dat jejich členů, příznivců a dárců.
  • Porušení pravidel odhalil ÚOOÚ především u hnutí SPD. Hnutí zpracovávalo osobní údaje o svých dárcích v rozsahu, který nebyl nezbytně nutný (nadbytečně o dva roky prodloužilo lhůtu, v níž se uchovávaly data dárců). Hnutí mělo podle výsledků kontroly ÚOOÚ také nepřiměřeně dlouhou lhůtu pro vymazání osobních údajů nepřijatých zájemců o členství.
  • Strana TOP 09 porušila ustanovení GDPR o vedení záznamů zpracování osobních údajů. Záznamy neobsahovaly všechny požadované náležitosti, např. zájemce o zasílání newsletteru strany. Strana toto pochybění neprodleně napravila.

Telefony Xiaomi odesílají data o svých uživatelích do Číny

  • Rumunský softwarový inženýr Gabriel Cîrlig při testování telefonů čínské značky Xiaomi zjistil, že tato zařízení sledují aktivitu svých uživatelů a data následně odesílají na čínský server, který vlastní společnost Alibaba. Firma Xiaomi nepopírá, že data sbírá a odesílá, ale tvrdí, že se tomu děje pouze v anonymizované podobě. Toto tvrzení Gabriel Cîrlig odmítá, podle něj je možné informace na serveru snadno propojit s konkrétními osobami. V reakci na toto zjištění firma Xiaomi slíbila, že do příští aktualizace svého webového prohlížeče zahrne možnost sběru dat vypnout.
  • V České republice používá telefony značky Xiaomi např. Úřad vlády, policie a některá zdravotnická zařízení, pro nadcházející sčítání lidu je nakoupil i Český statistický úřad.
  • Kromě mobilních telefonů Xiaomi představují nebezpečí i softwarové produkty od této firmy, např. webové prohlížeče Mi Browser Pro a Mint Browser.

Pokuta pro MV ČR za uchovávání DNA profilů

  • Ministerstvo vnitra ČR neuspělo s kasační stížností proti pokutě 240.000,- Kč od ÚOOÚ. Nejvyšší správní soud potvrdil loňské stanovisko Městského soudu v Praze. Důvodem pokuty bylo nadbytečné uchovávání DNA profilů lidí, kteří nebyli pravomocně odsouzeni, příp. se dopustili činů s nízkou závažností a společenskou škodlivostí, třeba maření výkonu úředního rozhodnutí.
  • Podle ÚOOÚ nelze úmyslné spáchání trestného činu akceptovat jako výhradní kritérium pro další zpracování citlivých údajů. Postačí jen pro sběr dat, při jejich dalším uchování je ale nutné zohlednit i kriminální minulost a další okolnosti.

Kybernetický útok na brněnskou fakultní nemocnici v Bohunicích a dětskou nemocnici a porodnici na Obilním trhu

  • V první polovině března 2020 byly brněnská fakultní nemocnice v Bohunicích a dětská nemocnice a porodnice na Obilním trhu napadeny virem, který ochromil jejich počítačové systémy, omezil fungování nemocnice, omezil přístup k databázím a webovým stránkám nemocnice, došlo i k výpadku telefonních linek. Případ vy­šetřují odborníci z Národního úřadu pro kybernetickou a informační bezpečnost.

Shrnutí činností ÚOOÚ za rok 2019

  • Úřad pro ochranu osobních údajů ve své Výroční zprávě za rok 2019 uvádí počty poskytnutých konzultací, řešených dotazů, podnětů a stížností a provedených kontrol.
  • ÚOOÚ obdržel v roce 2019 celkem 1 836 dotazů a poskytl 2 667 konzultací přes GDPR telefonní linku.
  • ÚOOÚ přijal 2 482 podnětů a stížností směřujících proti postupu správců osobních údajů, z toho bylo 560 vyřízeno upozorněním správce na možné porušení a 145 předáno ke kontrole nebo jinému řízení. Většina podnětů a stížností se týkala zejména zpracování osobních údajů pro marketingové účely, nerespektování práv subjektů údajů ze strany správců (např. práva na přístup k osobním údajům), neplnění nebo nedostatečné plnění správcovy informační povinnosti o zpracování osobních údajů, zpracování osobních údajů s podvodným úmyslem (vymáhání plateb po registraci na webovém portále nebo e-shopu, vymáhání pokut za porušení obchodních podmínek), zveřejnění adresních údajů žadatelů při zveřejnění poskytnuté informace podle zákona č. 106/1999 Sb., o svobodném přístupu k informacím, zveřejnění neanonymizovaných záznamů (případně zápisů) z jednání Zastupitelstva obce nebo Rady města na internetu, provozování kamer atd.
  • ÚOOÚ přijal 416 ohlášení porušení zabezpečení osobních údajů ve smyslu čl. 33 Nařízení GDPR – nejvíce ohlášení se týkalo kybernetického incidentu, který zasáhl i zpracovávané osobní údaje (zejména se jednalo o napadení škodlivým programem, tzv. ransomwarem), dálo se jednalo o jednorázové nedbalostní pochybení zaměstnanců správců spočívající např. v mylném zaslání osobních údajů jiným než zamýšleným adresátům, zaslání e-mailové komunikace adresátům v „neskrytých kopiích“, ztrátě zařízení obsahujícím osobní údaje, ztrátě nebo odcizení osobních údajů v listinné podobě.
  • ÚOOÚ zahájil 63 kontrol a ukončil jich 75 (z toho 32 kontrol bylo z předchozích let) − kontroly byly úřadem zahájeny jak z poznatků ze stížnostní agendy, tak na základě vypracovaného kontrolního plánu pro rok 2019. Bylo uloženo 19 opatření k nápravě a 4 pokuty za neposkytnutí součinnosti v kontrole.
  • ÚOOÚ obdržel 2 007 podnětů k problematice obchodních sdělení podle zákona č. 480/2004 Sb., o některých službách informační společnosti. Úřad zahájil 5 kontrol a ukončil jich 17 (z toho 13 kontrol bylo z předchozích let). Bez zahájení kontroly upozorněním subjektu na možné porušení povinností bylo vyřízeno 390 podnětů. Úřad vedl s 28 subjekty správní řízení, jehož výsledkem bylo uložení sankce.

Shrnutí stěžejních zajímavostí a identifikovaných chyb v oblasti ochrany osobních údajů z roku 2019:

  • Městskému úřadu byla udělena pokuta v souvislosti s pochybením při vydávání parkovacích karet městem. Na parkovacích kartách byly uvedeny nadbytečné osobní údaje – jméno, příjmení a trvalé bydliště.
  • V rámci městského úřadu bylo zjištěno pochybení zaměstnance při doručování zprávy do datové schránky jiné osoby. Vzhledem ale k tomu, že městský úřad neprokázal, že by byl zaměstnanec řádně poučen o svých povinnostech v oblasti ochrany osobních údajů, nesl odpovědnost za zpřístupnění osobních údajů doručením zásilky do datové schránky jiné osoby městský úřad.
  • Zaměstnanec organizace nezabezpečil listiny s osobními údaji jejich ponecháním ve vozidle. Obviněný poukazoval na uzamčení vozidla, zaparkování vozidla ve frekventované části města, vědomost o kamerovém systému města. Podle rozhodnutí ÚOOÚ se nejedná o vynaložení veškerého úsilí, které bylo možno požadovat – vozidlo není běžným místem pro uložení dokumentů s osobními údaji.
  • Zaměstnavatel organizace neoprávněně nadbytečně uchovával kopie dokladů svých zaměstnanců. Kontrola v personálních spisech našla kopie průkazů zdravotního pojištění, výpisy z evidence Rejstříku trestů, karty s čísly bankovních účtů i skenované fotografie a rodné listy dětí zaměstnanců.
  • Finančnímu úřadu byla udělena pokuta za doručení dokumentů osobě bez datové schránky do datové schránky jiného daňového subjektu. K záměně došlo z důvodu shody jména, příjmení a data narození u dvou daňových subjektů.
  • V informačním systému Vězeňské služby došlo k nedostatečnému zabezpečení osobních údajů (v rámci přístupových oprávnění zaměstnanců) – k fotografiím jednotlivých vězňů měl přístup každý zaměstnanec, který je povinen pracovat s daty vězněných osob. Nahlížení bylo regulováno interním předpisem, což není dostatečné opatření v případě, kdy přístup není nezbytný k výkonu práce. Pouhé vymezení povinností, zákazů a oprávnění při práci s informačním systémem ve vnitřním předpise nelze považovat za veškeré možné úsilí, které mohl účastník řízení vynaložit k tomu, aby zabránil neoprávněnému přístupu k osobním údajům.
  • Česká školní inspekce nezabezpečila testovací aplikaci InspIS – bylo tak možné se za určitých okolností dostat k desítkám tisíc jmen a příjmení žáků a také k informaci, zda mají nějaké zdravotní znevýhodnění. Podle vyjádření ČSI se jednalo o technickou chybu při úpravách systému InspIS, kterou následná kontrola neodhalila. Po zjištění chyby byla data okamžitě zablokována a chyba byla odstraněna.
  • Výzva k zaplacení pokuty od pražského magistrátu za spáchání dopravního přestupku byla rozeslána nesprávným adresátům – jednalo se přibližně o 2.500 nesprávně rozeslaných výzev.
  • Za účelem předcházení šikany, ochrany majetku školy, ochrany zdraví zaměstnanců a žáků provozovalo školské zařízení kamerový systém se záznamem, který byl nainstalovaný ve všech veřejných prostorách školy (vč. jednotlivých učeben). Kamerový systém byl provozovaný nepřetržitě, a to bez souhlasu subjektů údajů se zpracováním osobních údajů.
  • Školské zařízení neoprávněně zpřístupnilo osobní údaje studentů v souvislosti se zahájením správního řízení o vyloučení studenta ze školy a šetřením rozporných tvrzení účastníků incidentu za účelem získání svědectví dalších osob. Škola zaslala žákům elektronickou poštou výzvu k vyjádření, která obsahovala popis incidentu a identifikaci osob, které se jej měly zúčastnit, a to bez souhlasu dotčených studentů.
  • Mateřská škola provozovala elektronický vstupní systém založený na systematickém snímání a zpracování otisků (biometrický údaj) a při tom nedisponovala souhlasem ke zpracování předmětných osobních údajů.
  • Mateřská škola zveřejnila na nástěnce v budově školky seznam dětí, které měly nedoplatky za předškolní vzdělávání a stravné, a seznam dětí, které se nedostavily k zápisu k předškolnímu vzdělávání (porušení § 5 odst. 2 zákona č. 101/2000 Sb.). Mateřská škola tedy zpřístupnila osobní údaje dětí i třetím osobám, tj. nepřijala taková opatření, aby nemohlo dojít k neoprávněnému nebo nahodilému přístupu k osobním údajům, k jejich změně, zničení či ztrátě, neoprávněným přenosům, k jejich jinému neoprávněnému zpracování, jakož i k jinému zneužití osobních údajů.
  • Soukromé společnosti využívali údajů z Katastru nemovitostí k nabídce obchodu a služeb, i přesto, že údaje z Katastru nemovitostí nelze využívat k jinému než zákonem stanovenému účelu.
  • Společnosti byla udělena pokuta za zaslání dopisů seniorům, kteří čerpali některé ze sociálních služeb, s nabídkou, že jim daná společnost bude doživotně poskytovat sociální služby, pokud na ni převedou vlastnické právo k nemovité věci (osobní údaje seniorů společnost shromažďovala z Katastru nemovitostí a dále je zpracovávala pro své obchodní účely).
  • Klient banky zapříčinil neoprávněné zasílání e-mailových zpráv (předávání bankovních informací mezi bankou a klientem) na adresu třetí osoby, když při uzavření smlouvy uvedl nesprávně svou e-mailovou adresu, přičemž tato e-mailová adresa patřila jiné osobě, která nebyla klientem banky. Třetí osoba, poté co obdržela několik e-mailů, na chybu upozornila banku, ovšem ta toto upozornění nesprávně vyhodnotila jako reklamaci služeb a k nápravě chyby došlo až na základě kontroly ÚOOÚ.
  • I přes přijetí a realizaci dostatečně technicko-organizačních opatření k zajištění bezpečnosti zpracovávaných osobních údajů došlo v rámci zdravotnického zařízení k zaslání elektronické zprávy obsahující osobní údaje potencionálního klienta na e-mailovou adresu jiného klienta. Předmětný incident tedy nebyl způsoben absencí či nedostatečností opatření na straně zdravotnického zařízení, ale pochybením na straně zaměstnankyně (zaměstnankyně i přes zákaz zdravotnického zařízení vyřizovala dvě věci souběžně a v důsledku toho si otevřela dvě okna aplikace Outlook).
  • Odborníci na kyberbezpečnost ze společnosti SODAT analyzovali soubory na Ulož.to a zjistili, že mnohé z nich obsahují firemní přístupová hesla, pracovní smlouvy nebo rodná čísla. Tyto informace přitom na úložiště nahrávají sami zaměstnanci za účelem zálohování a sdílení.
  • Některé aplikace v iPhonech nahrávají data uživatelů – aplikace bez souhlasu a vědomí uživatelů nahrává displej telefonu a ukládá úkony, které na telefonu v rámci dané aplikace člověk provádí (telefon tak zaznamenává např. i hesla, čísla kreditní karty nebo cestovního pasu). Umožňuje to technologie session replay, která pořizuje screenshoty a následně je odesílá vývojářům z důvodu odhalení chyb a nefunkčních prvků v aplikaci (tímto postupem lze samozřejmě studovat i chování zákazníka). Problematické je pak především nedostatečné zabezpečení údajů, u nichž hrozí zneužití v případě, že se při odesílání nevyužije šifrování. Odesílání nezašifrovaných osobních údajů se netýká všech aplikací, ale problematické zůstává především to, že aplikace uživatele neinformují o tom, že jsou jejich činnosti nahrávány a odesílány vývojářům.

  • ÚOOÚ zveřejnil přehled o počtu a výši pravomocně udělených pokut za porušení GDPR od začátku jeho účinnosti. K listopadu 2019 bylo uděleno celkem 105 pokut v souhrnné výši 7.467.000,- Kč, z nichž nejvyšší pokuta je 250.000,- Kč. V rámci provedených kontrol ÚOOÚ zjistil, že většina společností / organizací neví, co je balanční test (test proporcionality) nebo nedodržují dostatečná technicko-organizační opatření při zpracování osobních údajů.
  • V Kosmonosech u Mladé Boleslavi byla v popelnici na tříděný odpad nalezena zdravotnická dokumentace – 50 složek obsahujících kompletní zdravotnické karty vč. jména, rodného čísla, adresy a diagnózy pacienta (zprávy lékařů s různou datací). Případem úniku osobních údajů se zabývá Policie ČR. Podle expertů by mohly být údaje ze zdravotních zpráv zneužitelné – tyto údaje patří do zvláštní kategorie osobních údajů, tj. jedná se o údaje, při kterých by měla být zvýšená míra zabezpečení při zpracování. V krajním případě by vyhození zdravotnických záznamů do popelnice mohlo být kvalifikované jako neoprávněné nakládání s osobními údaji, za které hrozí až pětiletý trest.
  • V prosinci 2019 napadl nemocnici v Benešově počítačový virus. Podle dosavadních informací se předpokládá, že se jednalo o specifický vir původem z Ruska zvaný Ryuk, který byl identifikován i v případě kybernetického útoku na doly OKD. Tento vir cílí na instituce a firmy pracující s citlivými daty. Vir neútočí okamžitě, ale nejdříve vše v počítači zanalyzuje – vir bez vědomí uživatele v počítači důkladně prozkoumá všechna data a dokumenty, a dokonce je schopen vypnout i antivirové programy. Když vše důkladně zanalyzuje, počítač zašifruje. Tato šifra je dostupnými technologiemi v podstatě neprolomitelná, klíč k ní totiž vlastní pouze ruská kriminální skupina, která Ryuk vytvořila. V některých případech pak skupina stojící za virem Ryuk s napadenou institucí vyjednává o ceně výkupného. Středočeský kraj (zřizovatel benešovské nemocnice) oznámil, že nemocnice nepřišla o velké množství dat. Incident řeší kraj jak s ÚOOÚ, tak i s NÚKIB. Obnova systémů v benešovské nemocnici zatím stála 40 mil. Kč (částka ještě není konečná). Skupina ruských hackerů virem Ryuk útočila v minulosti i v zahraničí, napadla např. americká vydavatelství novin, školy, ale i úřady na Floridě a ve Španělsku.
  • Úřad pro ochranu osobních údajů udělil v průběhu prvního roku účinnosti Nařízení GDPR osm pokut v celkové částce 370.000,- Kč (nejvyšší pokuta byla udělena bance a to ve výši 250.000,- Kč). Mezi nejčastější prohřešky patří nedobrovolné získávání souhlasu se zpracováním osobních údajů, nedostatečné zabezpečení dokumentace obsahující osobní údaje subjektů údajů a zveřejňování seznamu s osobními údaji na internetu.
  • ÚOOÚ při určování výše pokut za porušení GDPR zohledňuje konkrétní okolnosti případu – zohledňuje zejména počet dotčených subjektů údajů; délku trvání porušení; zda a jak správce reaguje na výzvy subjektu údajů a ÚOOÚ a jak s ním spolupracuje během kontroly.
  • Předmětem kontrolního plánu ÚOOÚ pro rok 2019 jsou následující obory, resp. typy správců:
    • zpracování související s rozvojem digitalizace služeb, které občanům poskytují orgány veřejné správy;
    • zpracování osobních údajů při používání cookies;
    • zabezpečení osobních údajů u zpracovatele osobních údajů;
    • zpracování osobních údajů společností vyvíjející a provozující mobilní aplikace;
    • zpracování osobních údajů prováděného buď přímo politickými subjekty, nebo za ně, a to se zaměřením jak na vlastní členskou základnu daného subjektu, tak na osoby stojící mimo ni;
    • plnění povinností při zpracování osobních údajů, včetně zvláštních kategorií údajů – otisků prstů při provozování hazardních her.
  • ÚOOÚ navrhl MPSV změny v zákoníku práce, a to konkrétně promítnutí zásad GDPR do oblasti zpracování biometrických údajů zaměstnanců. Zaměstnavatelé často zakládají zpracování některých biometrických údajů zaměstnanců pro účely kontroly vstupu, přítomnosti a přístupů na souhlasu zaměstnanců. Takové používání souhlasu ve vztahu zaměstnavatel – zaměstnanec je však nepřijatelné, a to s ohledem na právní úpravu GDPR. Dle stanoviska ÚOOÚ je třeba, aby pracovněprávní úprava zohlednila rozšíření biometrických technologií ve společnosti a současně byla jasně formulována s ohledem na základní požadavky ochrany osobních údajů.
  • Centrální registr dlužníků České republiky (CERD) ignoruje nařízení ÚOOÚ o přijetí nápravných opatření. CERD si zajistil nového poskytovatele služeb, kterým je indická společnost hostující pro systém CERD IP adresy na území Ruské federace. Z toho důvodu ÚOOÚ nyní nemá možnost ovlivnit stažení nebo znepřístupnění protiprávního obsahu. V současné době tak probíhá řízení o sankci za nepřijetí opatření k nápravě. Před činností systému CERD varoval ÚOOÚ už na začátku roku 2017. CERD totiž za úplatu poskytuje potvrzení o bezdlužnosti, aniž by byl zapojen do legálních dlužnických registrů. Vydaná potvrzení tak nejsou uznávána státními úřady ani finančními institucemi.
  • ÚOOÚ udělil pokutu 10.000,- Kč školskému zařízení za zveřejnění fotky bývalé zaměstnankyně na Facebooku. Škola navzdory opakovaným výzvám své bývalé zaměstnankyně neodstranila z facebookových stránek školy její fotografii, u které bylo uvedeno jméno, příjmení a titul.
  • Irská komise pro ochranu dat DPC zahájila první vyšetřování internetové společnosti Google. Podezřívá Google z neoprávněného nakládání s osobními údaji za účelem reklamy. Na činnost Googlu upozornil i provozovatel webového prohlížeče Brave – podle společnosti Brave některé firmy včetně Googlu poskytují osobní údaje o pohybu na webu svých uživatelů desítkám až stovkám firem za účelem cílené reklamy, aniž by o tom dotyční věděli.
  • Španělská fotbalová liga dostala pokutu 250 tis. eur za porušení Nařízení GDPR – trest se týká aplikace fotbalové soutěže La Liga, která měla pomáhat v boji s pirátským vysíláním zápasů, kvůli němuž La Liga ročně na vysílacích právech přijde o 400 milionů eur. Problém byl údajně v nedostatečném informováním uživatelů, že aplikace může sama zapnout mikrofon a vysílat informace o poloze zařízení.
  • Dánský úřad na ochranu osobních údajů Datatilsynet navrhnul pokutu ve výši 1,2 milionu dánských korun taxislužbě Taxa 4×35 za to, že nesmazala telefonní čísla, geolokační data a další informace týkající se bývalých zákazníků, na základě kterých bylo možné jednotlivé osoby identifikovat. Společnost mazala jen jména a příjmení svých bývalých zákazníků po dvou letech, ale zbytek informací uchovávala po dobu dalších tří let, a to s poukazem na to, že informační systém DDS Pathfinder neumožňuje smazat telefonní čísla zákazníků. Dánský dozorový úřad nemůže udělit pokutu přímo, ale může pouze uložení pokuty navrhnout policejním orgánům, které pak pokutu vymáhají prostřednictvím soudu.
  •  Italský úřad pro ochranu osobních údajů udělil americké internetové společnosti Facebooku pokutu ve výši jednoho milionu eur v důsledku aféry s britskou poradenskou firmou Cambridge Analytica. Tato společnost oficiálně vyvíjela program, který měl předpovídat preference voličů, ve skutečnosti však měla za cíl jejich rozhodnutí ovlivňovat. Pomocí aplikace získala privátní data z facebookových profilů desítek milionů uživatelů a na základě nich šířila cílenou politickou reklamu. Facebook tomuto masivnímu úniku dat nedokázal zabránit a navíc dostatečně neinformoval uživatele, jejichž data byla získána.
  • Úřad pro ochranu osobních údajů – na základě závěrů kontroly systému Centrálního registru dlužníků České republiky (CERD) provedené v polovině r. 2018 a následné reakce správce osobních údajů systému CERD, který neprovedl uložená opatření – zahájil řízení o sankci za nepřijetí opatření k nápravě a v současné době připravuje vydání rozhodnutí ve věci (více viz https://www.uoou.cz/vismo/dokumenty2.asp?id_org=200144&id=34474).
  • ÚOOÚ udělil pokutu ve výši 180 tis. Kč zaměstnavateli, který nadbytečně uchovával kopie dokladů svých zaměstnanců. Kontrola v personálních spisech našla kopie průkazů zdravotního pojištění, výpisy z evidence Rejstříku trestů, karty s čísly bankovních účtů i skenované fotografie a rodné listy dětí zaměstnanců.
  • Na základě stížnosti, jejímž předmětem bylo upozornění na vyžadování kopie občanského a řidičského průkazu při sepisování smlouvy o pronájmu osobního vozu, provedl ÚOOÚ kontrolu dodržování povinností v souvislosti s kopírováním osobních dokladů u pronajímatele vozidel. Kontrolou bylo zjištěno porušení § 5 odst. 1 písm. d), neboť kontrolovaný v rámci identifikace klienta pořizoval kopie celého občanského průkazu jako pramen verifikace, což vzhledem k účelu zpracování osobních údajů bylo vyhodnoceno jako nadbytečné a nepřiměřené. ÚOOÚ vydal na základě kontrolních zjištění příkaz na místě, kterým byla uložena pokuta ve výši 10 tis. Kč. Účastník řízení plně uznal své pochybení a pokutu neprodleně uhradil.
  • ÚOOÚ na základě provedených kontrol ochrany osobních údajů vydal pravomocná rozhodnutí či příkazy o pokutě vydané za porušení GDPR ve výši 5 tis. Kč až 250 tis. Kč. Tato anonymizovaná pravomocná rozhodnutí / příkazy o pokutě vydané za porušení GDPR zveřejnil ÚOOÚ na svých webových stránkách na základě žádostí o informace dle zákona č. 106/1999 Sb., o svobodném přístupu k informacím.
  • Odborníci na kyberbezpečnost ze společnosti SODAT letos analyzovali soubory na Ulož.to a zjistili, že mnohé z nich obsahují firemní přístupová hesla, pracovní smlouvy nebo rodná čísla. Tyto informace přitom na úložiště nahrávají sami zaměstnanci za účelem zálohování a sdílení. Našli zde data více než tisícovky firem a ze 112 záloh e-mailu byla chráněna heslem jen jedna.
  • Z aplikace WiFi Finder unikly dva miliony hesel – databáze aplikace WiFi Finder, která obsahuje přístupové informace k více než dvěma milionům sítí, unikla v nezašifrované podobě na internet. Po tom, co databáze unikla na internet, byla aplikace odstraněna z obchodu Google Play.
  • ÚOOÚ v 2. polovině roku 2018 provedl 34 kontrol podle zákona č. 101/2000 Sb., o ochraně osobních údajů,a to jak u společností, tak i u fyzických osob podnikajících. Kontrolní činnost podle zákona o ochraně osobních údajů provedl ÚOOÚ jak na základě svého kontrolního plánu, tak i na základě přijatých podnětů. Závěrem provedených kontrol je buď zjištění porušení zákona o ochraně osobních údajů, nebo uložení nápravných opatření či pokuty, nebo zahájení řízení o přestupku (více viz https://www.uoou.cz/kontrolni-cinnost-podle-zakona-o-ochrane-osobnich-udaju/ds-5359/archiv=0&p1=1277).
  • ÚOOÚ v 2. polovině roku 2018 provedl 11 kontrol v oblasti nevyžádaných obchodních sdělení, a to jak u fyzických osob podnikajících, tak i u společností. V rámci provedených kontrol ÚOOÚ zjistil, že kontrolované osoby svým jednáním porušili povinnosti stanovené v § 7 odst. 2 zákona č. 480/2004 Sb., tedy využít podrobnosti elektronického kontaktu za účelem šíření obchodních sdělení elektronickými prostředky pouze ve vztahu k uživatelům, kteří k tomu dali předchozí souhlas. ÚOOÚ dle závažnosti kontrolního zjištění buď uložil kontrolovaným osobám pokutu v řádu jednotek tisíce korun českých, nebo ve věci zahájil řízení o přestupku (více viz https://www.uoou.cz/kontrolni-cinnost-v-oblasti-nevyzadanych-obchodnich-sdeleni/ds-5360/archiv=0&p1=1277).
  • Cca 7 % všech zjištěných a řešených případů ÚOOÚ v roce 2018 bylo porušení ustanovení o zpracovatelské smlouvě a povin­nostech zpracovatele.
  • ÚOOÚ zveřejnil na svých webových stránkách dokument „K povinnosti správců provádět posouzení vlivu na ochranu osobních údajů (DPIA)“.Obecné nařízení požaduje, v některých případech, vypracování posouzení vlivu na ochranu osobních údajů – takové posouzení je nutné v situaci, kdy zpracování osobních údajů má za následek vznik vysokého rizika pro práva a svobody fyzických osob, a to s přihlédnutím k povaze, rozsahu, kontextu, účelům zpracování a využitím nových technologií.V dokumentuje uveden seznam druhů operací zpracování osobních údajů, které podléhají posouzení vlivu na ochranu osobních údajů (zařazení zpracování do seznamu vysoce rizikových pro práva a svobody subjektů údajů se provádí na základě deseti charakteristik popisujících každé zpracování osobních údajů).
  • Od ledna 2020 měla zmizet rodná čísla z nově vydávaných občanských průkazů – nahradit je měly identifikátory, z nichž by nebylo na první pohled jasné datum narození ani to, zda jde o muže nebo ženu. Zákon, který to umožňuje, byl schválen již před 9 lety, ale úřady stále nepodnikly patřičné kroky k zavedení těchto identifikátorů. V současné chvíli to tedy vypadá tak, že rodná čísla na občanských průkazech zůstanou další 3 roky, zatím není ani jasná finální podoba nových identifikátorů.
  • Cloud a GDPR – použití cloudu pro zpracování osobních dat je možné a v praxi velmi časté. Nařízení GDPR přitom pojem cloud vůbec nepoužívá – na poskytovatele cloudu je tedy třeba se dívat jako na zpracovatele (viz čl. 28 Nařízení GDPR).Podle některých názorů je výhodou cloudu to, že ochranu dat zajišťují profesionálové, kteří již většinou vydali prohlášení o shodě s GDPR. Ve skutečnosti bohužel řada poskytovatelů cloudu měla a má se zabezpečením dat značné problémy.
  • ÚOOÚ provádí i kontroly zpracování osobních údajů při využívání cloud computingu. Je tedy nezbytné, aby organizace / společnosti dostatečně ošetřily oblast nasazení cloudu jak z pohledu rizika úniku informací, tak rizik v oblasti automatizovaného zpracování (při výběru cloudu a sjednání jeho podmínek se zjednodušeně řečeno postupuje obdobně, jako by organizace / společnost chtěla data zpracovávat ve vlastní podnikové síti – viz požadavky čl. 25 a 32 Nařízení GDPR).
  • Francouzský úřad pro ochranu osobních údajů (CNIL – Commission Nationale de l’Informatique et des Libertés) vytvořil aplikaci k provádění posouzení vlivu na ochranu osobních údajů. Aplikace má i českou jazykovou mutaci (s drobnými nedostatky), a CNIL v prosinci 2018 vydal druhou verzi aplikace, jež má i webové rozhraní. Práce v uvedeném programu je velmi intuitivní a je zdarma. Aplikace CNIL obsahuje i rozdělení rolí, tudíž má Pověřenec pro ochranu osobních údajů vlastní přístup, jehož prostřednictvím komentuje konkrétní položky posouzení a dává k němu vlastní stanoviska.
  • Francouzský úřad pro ochranu osobních údajů (CNIL – Commission Nationale de l’Informatique et des Libertés) uložil společnosti Google rekordní pokutu 50 milionů eur za porušení pravidel ochrany osobních údajů v souvislosti se zobrazováním personalizované reklamy.Google nesplnil základní prvky zásady transparentnosti (stručnost, jasnost, srozumitelnost a snadná přístupnost), zakotvené v čl. 12 Nařízení GDPR, stejně jako požadavky na souhlas se zpracováním osobních údajů.
  • Facebook od roku 2012 ukládal hesla k účtům 200 až 600 milionů svých uži­vatelů na interních serverech v nezašifrované podobě. Přístup k nim tak mělo více než 20 tisíc zaměstnanců, veřejnost se však k nechráněným datům podle tvrzení Facebooku dostat nemohla. Nechráněné ukládání hesel bylo odhaleno bylo až v lednu 2019, když si bezpečnostní inženýři během revize nových kódů všimli, že se hesla ukládají v nezašifrované podobě.
  • Některé aplikace v iPhonech nahrávají data uživatelů – aplikace bez souhlasu a vědomí uživatelů nahrává displej telefonu a ukládá úkony, které na telefonu v rámci dané aplikace člověk provádí (telefon tak zaznamenává např. i hesla, čísla kreditní karty nebo cestovního pasu). Umožňuje to technologie session replay, která pořizuje screenshoty a následně je odesílá vývojářům z důvodu odhalení chyb a nefunkčních prvků v aplikaci (tímto postupem lze samozřejmě studovat i chování zákazníka). Problematické je pak především nedostatečné zabezpečení údajů, u nichž hrozí zneužití v případě, že se při odesílání nevyužije šifrování. Odesílání nezašifrovaných osobních údajů se netýká všech aplikací, ale problematické zůstává především to, že aplikace uživatele neinformují o tom, že jsou jejich činnosti nahrávány a odesílány vývojářům.
  • Evropský sbor pro ochranu osobních údajů vydal materiál, ve kterém zdůrazňuje několik klíčových bodů, které mají dodržovat politické strany, kandidující koalice a kandidáti, pokud v rámci svých volebních činností zpracovávají osobní údaje.Dokument, který je ke stažení na stránkách ÚOOÚ, reaguje na současnou praxi vysoce sofistikovaných profilovacích technik, které pro sledování a vytipovávání potenciálních voličů používají některé politické subjekty.
  • Evropský sbor pro ochranu osobních údajů přijal stanovisko o vztahu obecného nařízení a směrnice 2002/58/ES o soukromí a elektronických komunikacích. Dozorové orgány jednotlivých států mají podle jeho názoru vyžadovat plnění zásad ochrany osobních údajů i v rámci směrnice ePrivacy. (viz stanovisko 5/2019 k interakci mezi směrnicí ePrivacy a GDPR https://edpb.europa.eu/our-work-tools/our-documents/opinion-board-art-64/opinion-52019-interplay-between-eprivacy-directive_en).
  • Úřad pro ochranu osobních údajů (ÚOOÚ) provádí kontroly:
    • na základě kontrolního plánu, který je vypracováván ve spolupráci s předsedou ÚOOÚ a schvalován na každý kalendářní rok;
    • incidenční, které jsou prováděny na základě podnětů a stížností subjektů údajů nebo na základě jiných podnětů (např. předání od dozorových úřadů jiných členských států EU, soudů, policie, upozornění ve sdělovacích prostředcích apod.);
    • na základě podnětu předsedy ÚOOÚ.
  • Poslanecká sněmovna schválila nová pravidla ochrany soukromí, která navazují na evropské Nařízení GDPR. Nový zákon má hlavně zavést přípustné výjimky z evropských pravidel. Maximální sankce za porušení zákona zůstala pro orgány veřejné správy na 10 mil. Kč. Horní sazba pokut pro malé obce byla omezena na 15 tisíc Kč. Schválena byla zároveň úprava výjimek pro média, nebo vědecké, výzkumné a statistické účely. Poslanci naopak odmítli snížit pod 15 let navrhovanou věkovou hranici, po jejímž dosažení by děti mohly samy naplno využívat sociální sítě. Poslanci však souhlasili s tím, aby se ÚOOÚ stal odvolacím správním orgánem pro případy, kdy úřady nevyhoví žádostem podle zákona o svobodném přístupu k informacím. Nový zákon o zpracování osobních údajů, který nyní dostane k projednání Senát, nahradí dosavadní zákon o ochraně osobních údajů.
  • ÚOOÚ bylo doručeno více než 16.500 oznámení o jmenování Pověřence pro ochranu osobních údajů a přes 200 zpráv o změně Pověřence nebo kontaktu na něj. Zajímavostí je, že velký počet z nich ustanovili správci čistě na dobrovolné bázi, tedy že jim to zákon vzhledem k jejich činnosti ani neukládá.
  • Kontrola ÚOOÚ zaměřená na zpracování osobních údajů má za cíl především zjistit faktický stav věci, ne vždy musí kontrola končit uložením pokuty. Finanční postih nemusí automaticky přijít ani v případě, že ÚOOÚ nějaký závadný stav u správce osobních údajů odhalí. GDPR obsahuje řadu nápravných pravomocí, které lze v případě zjištěného porušení uložit, např. udělení napomenutí nebo nařízení, aby správce vyhověl žádosti subjektu údajů o výkon práva dle GDPR.
  • ÚOOÚ obdržel od účinnosti Nařízení GDPR do konce října 2018 1993 stížností (statistika podnětů a stížností za jednotlivá období je uvedena na stránkách ÚOOÚ www.uoou.cz). Úřad eviduje především podněty týkající se telemarketingu, upozornění na formu a způsob vyžadování souhlasu ze strany některých správců a stížnosti týkající se zpracování, zejména zveřejňování (již dříve zveřejněných) osobních údajů na internetu. Jedná se zejména o další publikování údajů o podnikatelské činnosti fyzických osob v rejstřících provozovaných soukromými subjekty. ÚOOÚ zveřejnil na svých stránkách návod dotčeným osobám (subjektům údajů), jakým způsobem uplatnit u provozovatele předmětných databází a internetových stránek práva daná obecným nařízením.
  • ÚOOÚ za porušení Nařízení GDPR dosud neudělil pokutu, udělil pouze sankce za přestupky spáchané před účinností Nařízení GDPR. Nejvyšší sankce činila 1.500.000,- Kč a nejnižší 5.000,- Kč nebo napomenutí.
  • ÚOOÚ bude nyní s největší pravděpodobností řešit pochybení České školní inspekce, která nezabezpečila testovací aplikaci InspIS – bylo tak možné se za určitých okolností dostat k desítkám tisíc jmen a příjmení žáků a také k informaci, zda mají nějaké zdravotní znevýhodnění. Podle vyjádření ČSI se jednalo o technickou chybu při úpravách systému InspIS, kterou následná kontrola neodhalila. Po zjištění chyby byla data okamžitě zablokována a chyba byla odstraněna.
  • Úřad britského komisaře pro informace (Information Commissioner´s Office – ICO) udělil Facebooku pokutu 500.000,- liber za závažné porušení zákona na ochranu osobních údajů (za zpracování osobních dat uživatelů nekorektním způsobem mezi lety 2007 až 2014). Facebook umožňoval vývojářům aplikací přístup k datům uživatelů, aniž by od nich získal dostatečně jasný a informovaný souhlas. Navíc Facebook osobní údaje dostatečně nezabezpečil, neboť nekontroloval aplikace a vývojáře využívající tuto platformu (např. jedna vývojářská společnost získala přístup k osobním datům 87 milionů lidí po celém světě bez jejich vědomí, část těchto údajů pak později sdílela s Cambridge Analytica, svojí mateřskou společností).
  • Hackeři vyvěsili na internet soukromé zprávy 81 tisíc uživatelů Facebooku. Prozatím není zcela jasné, jak se hackerům podařilo ke zprávám dostat – podle Facebooku totiž nedošlo k narušení jejich bezpečnostního systému. Údaje tak pravděpodobně unikly prostřednictvím škodlivých rozšíření internetových prohlížečů. Ty už Facebook ve spolupráci s vývojáři prohlížečů nechal zneaktivnit. Kromě zpráv se na webových stránkách objevily také fotografie z dovolených a u dalších 176 tisíců účtů jsou dostupné e-mailové a telefonní kontakty. Jde převážně o uživatele Facebooku z Ukrajiny, Ruska, Velké Británie, USA a Brazílie.
  • Evropský parlament schválil Nařízení o volném pohybu neosobních dat (tj. neosobní data se již nemusí skladovat pouze v zemi, ve které byla získána), které vstoupilo v platnost 1.12.2018. Volný pohyb neosobních dat se vztahuje pouze na ty údaje, jež nevedou k identifikaci osob a které nemají vliv na soukromí fyzických osob. Nové nařízení EU zároveň pouze doplňuje obecné nařízení o ochraně osobních údajů (Nařízení GDPR), které platí od 25.5.2018. Pokud budou osobní a neosobní data zpracovávána společně, bude se GDPR vztahovat pouze na část o osobních údajích, zatímco na část o neosobních datech se použije nové Nařízení o volném pohybu dat. Nařízení se proto nepřekrývají, ale vzájemně doplňují.
  • Bytový fond ve Vídni v souladu s Nařízením GDPR vymění do konce roku 2018 tisíce jmenovek na zvoncích za prostá čísla bytů (na základě posouzení výkladu GDPR a doporučení tohoto opatření Odborem magistrátu pro ochranu osobních údajů). Pokud nájemník bude chtít si jmenovku na zvonku ponechat, musí tak udělat z vlastní vůle až poté, co budou jmenovky vyměněny za čísla bytů.
  • Právní nejistota subjektu co do postavení správce osobních údajů nemůže vést k odmítnutí poskytnutí informace (přístup subjektu údajů k informacím). V situaci, kdy organizace prokazatelně předmětnými osobními údaji disponuje, je její povinností si své právní postavení vyjasnit a poskytnout požadované informace o zpracování osobních údajů.
  • Ministerstvo financí ČR na základě provedené kontroly ÚOOÚ upravilo parametry registrace hráče v rámci účtenkové loterie (dle zákona č. 112/2016 Sb., o evidenci tržeb) – v současné době již není nezbytné při registraci zadávat daňové identifikační číslo.
  • Finančnímu úřadu byla udělena pokuta ve výši 5.000,- Kč za doručení dokumentů osobě bez datové schránky do datové schránky jiného daňového subjektu. K záměně došlo z důvodu shody jména, příjmení a data narození u dvou daňových subjektů.
  • Městskému úřadu byla udělena pokuta ve výši 20.000,- Kč v souvislosti s pochybením při vydávání parkovacích karet městem (parkovací karty nepřenosné vydané pro jedno vozidlo a parkovací karty přenosné vydané na jméno a použitelné pro libovolné vozidlo). Na parkovacích kartách byly uvedeny nadbytečné osobní údaje – u nepřenosné parkovací karty jméno, příjmení a trvalé bydliště, u přenosné parkovací karty trvalé bydliště a registrační značka vozidla.
  • V rámci městského úřadu bylo zjištěno pochybení zaměstnance při doručování zprávy do datové schránky jiné osoby. Vzhledem ale k tomu, že městský úřad neprokázal, že by byl zaměstnanec řádně poučen o svých povinnostech v oblasti ochrany osobních údajů, nese odpovědnost za zpřístupnění osobních údajů doručením zásilky do datové schránky jiné osoby městský úřad.
  • Byla udělena pokuta ve výši 6.000,- Kč školskému zařízení z důvodu porušení zákona č. 101/2000 Sb., o ochraně osobních údajů – škola zpřístupnila osobní údaje studentů v souvislosti s prověřováním údajného incidentu mezi studenty (škola zaslala spolužákům elektronickou poštou výzvu k vyjádření, která obsahovala popis incidentu a identifikaci osob, které se jej měly zúčastnit), a to bez souhlasu dotčených studentů. Účelem zaslání předmětné výzvy bylo získání svědectví dalších osob v souvislosti se zahájením správního řízení o vyloučení studenta ze školy a šetřením rozporných tvrzení účastníků incidentu.
  • Mateřská škola zveřejnila na nástěnce v budově školky seznam dětí, které měly nedoplatky za předškolní vzdělávání a stravné, a seznam dětí, které se nedostavily k zápisu k předškolnímu vzdělávání (porušení § 5 odst. 2 zákona č. 101/2000 Sb.). Mateřská škola tedy zpřístupnila osobní údaje dětí i třetím osobám, tj. nepřijala taková opatření, aby nemohlo dojít k neoprávněnému nebo nahodilému přístupu k osobním údajům, k jejich změně, zničení či ztrátě, neoprávněným přenosům, k jejich jinému neoprávněnému zpracování, jakož i k jinému zneužití osobních údajů. ÚOOÚ od uložení pokuty upustil, protože mateřská škola závadný stav neprodleně napravila.
  • Mateřská škola nesprávně zpracovávala osobní údaje při vstupu osob do budovy – mateřská škola provozovala elektronický vstupní systém založený na systematickém snímání a zpracování otisků (biometrický údaj) a nedisponovala souhlasem ke zpracování předmětných osobních údajů. ÚOOÚ od uložení pokuty upustil, protože mateřská škola závadný stav neprodleně napravila.
  • Za účelem předcházení šikany, ochrany majetku školy, ochrany zdraví zaměstnanců a žáků provozovalo školské zařízení kamerový systém se záznamem, který byl nainstalovaný ve všech veřejných prostorách školy (vč. jednotlivých učeben) a byl provozovaný nepřetržitě, a to bez souhlasu subjektů údajů se zpracováním osobních údajů. ÚOOÚ při kontrole vyhodnotil, že školské zařízení provozuje kamerový systém v rozporu s povinností správce osobních údajů dle § 5 odst. 2 zákona č. 101/2000 Sb., neboť jí nesvědčí žádný z právních titulů opravňující ji ke zpracování osobních údajů. Přičemž i s ohledem na zjištěný rozsah monitorování a skutečnost, že u školského zařízení nedošlo k žádnému negativnímu jednání před ani po instalaci kamerového systému, byl v daném případě zásah do soukromí výrazně vyšší než deklarovaný účel zpracování osobních údajů. Školské zařízení tedy ukončilo nahrávání záznamů a kamerový systém provozuje pouze v on-line režimu.
  • Provozovateli centrálního registru dlužníků (CERD) bude uložena pokuta z důvodu nezákonného nakládání s osobními údaji. Kontrola ÚOOÚ identifikovala u systému CERD tato porušení:
    • zpracování nepřesných a nadbytečných osobních údajů, navíc v řadě případů i bez právního titulu;
    • absence zpracovatelské smlouvy mezi správcem osobních údajů a zpracovatelem osobních údajů;
    • subjekty údajů nejsou informovány dostatečným způsobem o tom, kdo je správce osobních údajů a jak mohou uplatňovat svá práva;
    • nepodání informace o zpracování osobních údajů;
    • nesplnění požadavku subjektu údajů na podání vysvětlení či na odstranění osobních údajů;
    • část systému CERD, která se týká překlápění insolvenčního rejstříku a vkládání nových, nikým neověřovaných dlužníků a dluhů, je neoprávněným zásahem do soukromého života jednotlivých subjektů údajů;
    • využití podrobností elektronického kontaktu za účelem šíření obchodních sdělení elektronickými prostředky pouze ve vztahu k uživatelům, kteří k tomu dali předchozí souhlas;
    • šíření obchodních sdělení, která nebyla jako obchodní sdělení řádně označena a která skrývala či utajovala totožnost odesílatele, jehož jménem se komunikace uskutečnila;
    • odeslání obchodních sdělení navíc probíhalo bez platné adresy, na kterou by adresát mohl přímo a účinně zaslat informaci o tom, že si nepřeje, aby mu tato sdělení byla dále zasílána.
  • Společnosti s ručením omezeným byla udělena pokutu ve výši 835.000,- Kč za porušení zákona č. 480/2004 Sb., o některých službách informační společnosti, jelikož adresáti obchodních sdělení nedali společnosti předchozí souhlas k využití jejich elektronického kontaktu za účelem šíření obchodních sdělení.
  • Soukromé společnosti byla udělena pokuta ve výši 2.000,- Kč za zaslání dopisů seniorům, kteří čerpali některé ze sociálních služeb, s nabídkou, že jim daná společnost bude doživotně poskytovat sociální služby (péče, stravování, doprovod apod.), pokud na ni převedou vlastnické právo k nemovité věci (osobní údaje seniorů společnost shromažďovala z katastru nemovitostí a dále je zpracovávala pro své obchodní účely).
  • Společnosti Internet Mall, a.s. byla udělena pokuta 1,5 mil. Kč za nezabezpečení osobních údajů nejméně 735.956 zákazníků v rozsahu jméno, příjmení, e-mailová adresa, heslo uživatelského účtu, příp. telefon, před neoprávněným přístupem v období minimálně od 31.12.2014 do srpna 2017. V důsledku toho došlo v době od 27.7.2017 do 25.8.2017 ke zpřístupnění uvedených osobních údajů na serveru Uložto.cz.
  • Twitter čelí prvnímu vyšetřování kvůli porušení GDPR. Irské úřady zahájily vyšetřování sítě, protože měla nedovoleně shromažďovat data přes svoji službu pro zkracování odkazů t.co.
  • Klient banky zapříčinil neoprávněné zasílání e-mailových zpráv (předávání bankovních informací mezi bankou a klientem) na adresu třetí osoby, když při uzavření smlouvy uvedl nesprávně svou e-mailovou adresu, přičemž tato e-mailová adresa patřila jiné osobě, která nebyla klientem banky. Třetí osoba, poté co obdržela několik e-mailů, na chybu upozornila banku, ovšem ta toto upozornění nesprávně vyhodnotila jako reklamaci služeb a k nápravě chyby došlo až na základě kontroly ÚOOÚ.
  • Zdravotnickému subjektu byla uložena pokuta ve výši 10.000,- Kč z důvodu nepřijetí dostatečných technicko-organizačních opatření k zabezpečení ochrany osobních údajů, a to zejména v souvislosti s přístupem osob k datové schránce a při ukládání dokumentů doručovaných do datové schránky.
  • I přes přijetí a realizaci dostatečně technicko-organizačních opatření k zajištění bezpečnosti zpracovávaných osobních údajů došlo v rámci zdravotnického zařízení k zaslání elektronické zprávy obsahující osobní údaje potencionálního klienta na e-mailovou adresu jiného klienta. Předmětný incident tedy nebyl způsoben absencí či nedostatečností opatření na straně zdravotnického zařízení, ale pochybením na straně zaměstnankyně (zaměstnankyně i přes zákaz zdravotnického zařízení vyřizovala dvě věci souběžně a v důsledku toho si otevřela dvě okna aplikace Outlook).
  • Byla udělena pokuta přes 800.000,- Kč za nevyžádanou reklamu.
  • Ústavní soud zrušil část zákona o EET a rozhodl, že DIČ se na účtenkách již nebude objevovat.
  • Britská základní škola porušila zabezpečení osobních údajů ztrátou flash disku, který obsahoval kompletní databázi více než 1.000 žáků.
  • Došlo k rozeslání až 2.500 výzev nesprávným adresátům jakožto výzva k zaplacení pokuty od pražského magistrátu za spáchání dopravního přestupku.
  • Po několika dnech GDPR v účinnosti čelí Facebook a Google žalobě za 200 miliard Kč.
  • Dle Soudního dvora EU je správce facebookové skupiny spoluodpovědný za zpracování údajů návštěvníků skupiny.
  • Praxe volání pacientů podle příjmení v čekárně není v rozporu s GDPR.

Kompletní informace z oblasti ochrany osobních údajů pro firmy naleznete zde a pro veřejnou správu zde.

Poznámka: Zdrojem výše uvedených informací jsou nejen znalosti a zkušenosti společnosti Equica, a.s. v oblasti ochrany osobních údajů, ale také webové stránky Úřadu pro ochranu osobních údajů (www.uoou.cz) a webové stránky Ministerstva vnitra České republiky (www.mvcr.cz).