ÚOOÚ letos rozdal pokuty za porušení GDPR již za půl milionu. V Evropě se platí spíše více

Image by Paweł Szymczuk from Pixabay

Po třiceti měsících od začátku platnosti obávaného unijního nařízení o ochraně osobních údajů (GDPR) se nenaplnily obavy z přísného postihu prohřešků a vysokých pokut ze strany Úřadu pro ochranu osobních údajů (ÚOOÚ). Vyniká to zejména ve srovnání s pokutami v jiných státech EU, které monitoroval server Finbold. Z průzkumu vyplývá, že v některých zemích rozdávají pokuty v řádu miliónů eur. Změna chování českého úřadu se nedá očekávat i proto, že dnes do jeho čela nastupuje nový předseda Jiří Kaucký, který se již vyjádřil proti drastickým pokutám.

Úřad na ochranu osobních údajů (ÚOOÚ), který dnes mění vedení, letos rozdal zatím osm pokut za porušení pravidel stanovených nařízením Evropské unie o ochraně osobních údajů (GDPR) v celkové výši 535 tisíc korun. „Pro srovnání, za celý minulý rok padlo za porušení GDPR osmnáct pokut při celkové výši 620.500 Kč,“ sdělil Ekonomickému deníku zástupce tiskového mluvčího ÚOOÚ Vojtěch Marcín.

Nejvíce chybovaly firmy, pak spolky

Z letošních osmi pokut se jich pět týkalo obchodních společností, dvě spolků a jedna podnikající fyzické osoby. Nejnižší z doposud udělených pokut ve výši 10.000 korun dostala půjčovna sportovního vybavení, která nezákonně skenovala občanské průkazy svých klientů. Stejně dopadl spolek, který zveřejnil neanonymizovaný trestní příkaz. Naopak nejpřísněji Úřad posuzoval situace, kdy se k osobním údajům mohli dostat cizí „čtenáři“. 180.000 korun tak musela zaplatit obchodní společnost, jejíž personální dokumentace byla nalezena na veřejnosti. Další spolek dostal pokutu 150.000 korun za to, že zveřejnil některé osobní údaje na svých webových stránkách.  Částkou 100.000 korun „ocenil“ Úřad i neochotu při kontrole spolupracovat. Mezi dalšími pokutovanými přestupky bylo například porušení práva na přístup k osobním údajům (50.000 korun) nebo nezabezpečení osobních údajů při převozu (15.000 korun).

Nejpřísnější je úřad v Itálii. Rozdal pokuty za 45 milionů eur z celkových 62

Zatím se tedy zdá, že se nenaplňují obavy veřejnosti z vysokých postihů prohřešků vůči pravidlům GDPR. Zvláště v evropském kontextu se pak ukazuje, že Úřad se zatím spíše drží „při zemi“. Podle analýzy serveru Finbold, která se zaměřila na výši letošních pokut udělených – a zveřejněných – úřady na ochranu osobních údajů v devatenácti evropských zemích (bez ČR), bylo v Evropě doposud rozdáno pokut za celkem 62,2 milionů eur.

Rekordmanem je podle analýzy Itálie, kde bylo uděleno třináct pokut za neuvěřitelných 45,6 milionů eur (zhruba 1,2 miliardy korun).

Daleko v závěsu za Italy je druhé Švédsko se svými čtyřmi pokutami za sedm milionů eur (zhruba 182 milionů korun) a třetí Nizozemí s třemi pokutami za dva miliony eur (zhruba 52 milionů korun).  Nejvíce pokut ze sledované skupiny zemí udělilo čtvrté Španělsko, a to 76 za celkových 1,9 milionů, naopak hned páté Německo udělilo pokutu jedinou, a to za 1,2 milionů eur (zhruba 31,2 milionů korun), Na posledním – devatenáctém – místě se umístilo Estonsko jednou pokutou za 500 euro (zhruba 13 tisíc korun).

ÚOOÚ je 2. v počtu pokut v Evropě za Španělskem

V tomto kontextu by se český ÚOOÚ se svými letošními, v přepočtu, zhruba 20.577 eury, umístil na 15. místě za Islandem, počtem pokut pak hned na druhém místě za již zmíněným Španělskem a před třetí Itálií.

Velké rozdíly mezi částkami, které evropské úřady na ochranu osobních údajů udělují, potvrzuje i letošní zpráva Evropské komise o uplatňování nových pravidel ochrany osobních údajů, která zkoumala období od června 2018 do listopadu 2019. Podle dokumentu úřady rozdávají správní pokuty  za porušení GDPR v rozmezí od několik tisíc do několika miliónů eur, a to v závislosti na závažnosti protiprávního jednání. Zpráva zmiňuje například pokuty ve výši 14,5 milionu eur za nezákonné uchovávání dat německou realitkou nebo 18 milionů eur u stejného přestupku pro rakouskou poštu. Závratně pak působí částka 50 milionů eur pro společnost Google udělená francouzskými úředníky za špatné nastavení uživatelského souhlasu.

Nový předseda chce více dbát na osvětu, v oprávněných případech však neváhá udělit pokuty

Nový předseda Úřadu pro ochranu osobních údajů, který se své funkce ujímá dnes, Jiří Kaucký, ještě před svým zvolením Ekonomickému deníku k tématu pokut za porušení GDPR řekl: „Nemá to být o tom, že první, kdo se spletl, dostane pokutu, aby si toho ostatní všimli. Řekne se, ano, máte od rodičů souhlas, že můžete na Facebook dávat fotky, jak děti vypadají na škole v přírodě? Nemáte? Tak to tam příště nedávejte. To je podobné pro všechny spolky.“ Zdůraznil však, že hlavní činností jeho úřadu by měla být ochrana občanů před zasahováním státu a velkých korporací do jejich soukromí a práv. „Firmy, které v podstatě žijí z toho, že agregují osobní údaje a pak dělají cílenou reklamu a další věci. Další velkou oblastí jsou zásahy státu do soukromí. To je velice důležitá oblast, které by se měl i předseda ÚOOÚ věnovat. Proto je náš úřad nezávislý, aby vzdoroval nadměrným zásahům státu do soukromí,“ dodal Kaucký. Upozornil však, že tam, kde to bude oprávněné a nezbytné, jsou úředníci připraveni sáhnout i k vysokým pokutám.

Helena Sedláčková, Jiří Reichl