GDPR Novinky v ochraně osobních údajů

ÚOOÚ pokutoval za porušení povinností GDPR

29. 7. 2019

Evropské nařízení (General Data Protection Regulation) je účinné od května 2018 a jeho dopad na správce osobních údajů se projevuje, a někdy dosti citelně. Pokuty uložil už také český Úřad pro ochranu osobních údajů.

I v českém případě se často správní trestání odvíjí od toho, že správci osobních údajů nevěnují pozornost, či ignorují ustanovení, jímž evropská legislativa posílila moc každé fyzické osoby nad vlastními osobními údaji a poskytla jí možnost neztrácet přehled o tom, kde a jak se její osobní údaje pohybují: Všem správcům osobních údajů proto striktně uložila informační povinnost – tj. povinnost informovat každého, jehož osobní údaje zpracovává, o tom, co se s jeho údaji děje. A v tom neexistuje žádný pardon. V článcích 13 a 14 GDPR jsou stanoveny a přesně určeny informace, které správce musí poskytnout, ať získává osobní údaje přímo od osoby, které náležejí, či je získal jiným způsobem.  Evidentní je, že nedostatečná komunikace správce osobních údajů vůči subjektu osobních údajů je často jádrem problému porušování GDPR. Můžeme vidět, že jak nedostatečné informování (např. při využívání služebního vozidla vybaveného GPS), tak ignorování žádosti zaměstnance ze strany zaměstnavatele o poskytnutí informace o zpracovávaných osobních údajích, znamená dle GDPR jistý správní postih – tedy pokutu. 

Příklady porušení GDPR v ČR:

Zveřejnění portrétu na Facebooku

Úřad pro ochranu osobních údajů uložil pokutu  za to, že nebyla odstraněna fotografie bývalé zaměstnankyně na facebookovém profilu zaměstnavatele. Úřad důrazně poukázal na to, že zveřejnění fotografie bývalého zaměstnance s uvedením jeho jména, příjmení a titulu je možné pouze na základě předchozího souhlasu a že jiný právní důvod nepřichází v úvahu.

 

Informační povinnost při využívání GPS

Úřad uložil pokutu za to, že v uzavřené smlouvě o zapůjčení vozidla vybaveného GPS nebyla majitelem vozidla uživateli vozidla poskytnuta informace vyžadovaná dle GDPR.

 

Smlouva se zpracovatelem osobních údajů

Správce osobních údajů osob zaregistrovaných na internetové adrese neuzavřel s pověřeným zpracovatelem osobních údajů smlouvu o zpracování. Vzhledem k tomu, že nezajistil osobní údaje hráčů internetové online hry, došlo po určitou dobu ke zveřejnění těchto údajů na internetové adrese a byla tudíž uložena pokuta.

 

Zabezpečení osobních údajů

Společnost byla pokutována, protože nezajistila osobní údaje klientů při zprostředkování úvěrů obsažených ve smlouvách, které byly po určitou dobu volně přístupné ve společných prostorách bytového domu.

 

Neposkytnutí informace o zpracovávaných osobních údajích

Spolek neposkytl své člence na její žádost informaci o jejich zpracovávaných osobních údajích a byla mu proto uložena pokuta.

 

Právo na informace o zpracovávaných údajích, právo na výmaz

Společnost byla pokutována, protože nereagovala na žádost klienta o informaci, kde byl získán jeho telefonický kontakt a jakým způsobem jsou zpracovávány jeho osobní údaje, a proto, že opakovaně využila telefonní číslo klienta, který požádal o jeho výmaz. Společnost nerespektovala práva klientů na přístup ke svým osobním údajům a žádost o výmaz telefonního čísla. Nenaplnila tak dané povinnosti uložené GDPR, a to ani po výzvě Úřadu pro ochranu osobních údajů, který ji společnosti adresoval na základě posouzení stížností, jež obdržel od klientů nereagující společnosti.

  

Uchovávání biometrického podpisu a záznamů telefonických rozhovorů

Společnosti byla uložena pokuta, protože při poskytování úvěru v elektronické podobě za účelem uzavření a uchování smluvní dokumentace a zjednodušení tohoto procesu vyžadovala též biometrický podpis klientů, který nebyl nezbytný pro uzavření příslušné smlouvy ani její plnění. Rovněž byla trestána za to, že uchovávala veškeré záznamy telefonních hovorů s klienty (kteří s ní měli uzavřenou rámcovou smlouvu), a to po celou dobu trvání smlouvy a dále po dobu dalších 10 let od splnění veškerých závazků klienta. Z hlediska GDPR nebyla zohledněna povinnost minimalizace údajů a časové omezení jejich uložení.

 

Neoprávněné použití osobních údajů

Společnost použila osobní údaje osoby, které měla k dispozici, jelikož tato osoba byla vedena jako statutární zástupce její klientské společnosti a založila této osobě osobní účet bez jejího vědomí. Porušila tak zásadu účelového omezení zpracování osobních údajů a zásadu zákonnosti, korektnosti a transpartentnosti.

 

Ignorování žádosti zaměstnance o poskytnutí informací o jeho zpracovávaných osobních údajích

Obecně prospěšná společnost neposkytla své zaměstnankyni elektronicky vyžádanou informaci o tom, že její  osobní údaje zpracovává. Zaměstnanci, jako každá fyzická osoba, má právo získat potvrzení, zda jsou její údaje zpracovávány, a pokud ano, mají právo ke svým údajům získat přístup.

zdroj: ÚOOÚ


Splňují weby evropských institucí směrnici o zpracování osobních údajů?

8. 7. 2019

Evropský inspektor ochrany osobních údajů v kontextu svých avizovaných priorit (zaměření na digitální etiku a hlubší…

více

Vyjádření Ústavního soudu k data retention

5. 6. 2019

Úřad pro ochranu osobních údajů se vyjádřil k nálezu Ústavního soudu ve věci Data retention. Ústavní soud nezrušil napadenou právní úpravu, která dle názoru ÚOOÚ zvyšuje nároky na všechny účastníky procesu uchování provozních a lokalizačních…

více

GDPR: prezident podepsal návrh zákonů, Brexit a přenos osobních údajů

18. 4. 2019

Prezident republiky České republiky podepsal oba návrhy zákonů (Zákon o zpracování osobních údajů a Zákon, kterým se mění některé zákony v souvislosti s přijetím zákona o zpracování osobních údajů), které se váží k GDPR. Předpokládá se, že oba…

více

Vyjádření Evropského sboru k používání osobních údajů v průběhu volebních kampaní

28. 3. 2019

Evropský sbor pro ochranu osobních údajů zveřejnil výklad a soubor pravidel, které musí politické strany a kandidáti dodržovat s ohledem na ochranu osobních údajů při volebních kampaních. Vedou k tomu poznatky o rozšiřování technik zpracování…

více

Novinky z GDPR: Zbytečné udělení souhlasu a další dokument předložen k veřejnému připomínkování

11. 12. 2018

Na konferenci GDPR plus 180 dní zaznělo opakovaně důrazné upozornění Úřadu pro ochranu osobních údajů pro správce a zpracovatele osobních údajů, kteří požadují v rozporu s GDPR po svých klientech udělení…

více

Evropský inspektor ochrany údajů Buttarelli o digitální etice

21. 11. 2018

Evropský inspektor ochrany osobních údajů Giovani Buttarelliho vystoupil na 40. mezinárodní konferenci o bezpečnosti, která se konala za účasti víc než 1000 odborníků z celého světa. Buttarelli se mimo jiné věnoval nebezpečí technologických…

více

GDPR: Předávání osobních údajů do třetích zemí

22. 10. 2018

K otázce předávání osobních údajů do třetích zemí je možné nalézt přehled bezpečných zemí na webových stránkách

více

EDPB: Nový seznam operací, které podléhají GDPR

9. 10. 2018

Evropský Sbor pro ochranu osobních údajů (European Data Protection Board) zveřejnil svou pozici k seznamům druhů operací,…

více

GDPR z praxe: Chybná interpretace vyžadování souhlasu se zpracováním osobních údajů

4. 9. 2018

Předsedkyně Úřadu pro ochranu osobních údajů důrazně upozornila na chybné a zavádějící vyžadování poskytování souhlasu se zpracováním osobních údajů. ÚOOÚ tak chce upozornit veřejnost, že vyžadování souhlasu může…

více

ÚOOÚ vypsal další termín konzultací pro pověřence

2. 8. 2018

Úřad pro ochranu osobních údajů vyhlásil třetí pokračování konzultací pro pověřence, které je plánováno na 22. srpna 2018 od 9.30 do 13.00 h. Konzultace je určena výhradně pro jmenované pověřence…

více

Evropský sbor pro ochranu osobních údajů zahájil svoji činnost

13. 6. 2018

V pátek 25.5. 2018 zahájil svoji činnosti Evropský sbor pro ochranu osobních údajů, nezávislý evropský subjekt, který přispívá k jednotnému uplatňování pravidel ochrany údajů v celé Evropské unii a prosazuje spolupráci mezi úřady…

více

GDPR: konzultační hotline ÚOOÚ

28. 5. 2018

Od 25. 5. 2018 je účinné Obecné nařízení o ochraně osobních údajů (GDPR). V souvislosti s touto problematikou zavedl Úřad pro ochranu osobních údajů novou konzultační telefonní linku, na níž poskytuje základní…

více

ÚOOÚ: Cookies podle GDPR

24. 5. 2018

Úřad pro ochranu osobních údajů zveřejnil návrh pro využívání cookies ve světle GDPR, které právě vstupuje v účinnost. Návrh je předložen k veřejné diskuzi. Zapojte se do diskuze i vy! Doporučení ke zpracování…

více

Příručka MPO ČR pro přípravu na GDPR

9. 5. 2018

Ministerstvo průmyslu a obchodu zveřejnilo na svých webových stránkách užitečnou příručku k implementaci GDPR pro malé a střední podniky. Najdete v ní například informace o povinnostech správců s souvislosti s…

více
Tento web používá k poskytování služeb a analýze návštěvnosti soubory cookie. Používáním těchto stránek s tím souhlasíte.