Stát loni přitvrdil u pokut za porušení ochrany osobních údajů, nejvyšší byla půl milionu

Pokuty od Úřadu pro ochranu osobních údajů nejčastěji obdržely firmy například za překlápění veřejných rejstříků do vlastní databáze, nebo za nedostatečnou ochranu práv subjektů, s jejichž údaji pracují.

Pokuty od Úřadu pro ochranu osobních údajů nejčastěji obdržely firmy například za překlápění veřejných rejstříků do vlastní databáze, nebo za nedostatečnou ochranu práv subjektů, s jejichž údaji pracují. Zdroj: Profimedia.cz

Ochrana soukromí podle GDPR - ilustrační foto
2
Fotogalerie

Úřad pro ochranu osobních údajů loni vystavil 57 pokut za porušení nařízení o ochraně osobních údajů označované jako GDPR v celkové výši 7,3 milionu korun. Oproti roku 2019 tak státní inspektoři výrazně přitvrdili. Většinou jde zatím o prvostupňová rozhodnutí, vůči kterým se mohou firmy odvolat. Předloni úřad trestal osmnáckrát, hříšníci by měli státnímu rozpočtu přispět celkem 620 tisíci. Výši průměrné sankce zečtyřnásobil z 34 tisíc na téměř 130 tisíc.

„Pokuty nejčastěji obdržely firmy například za překlápění veřejných rejstříků do vlastní databáze, nebo za nedostatečnou ochranu práv subjektů, s jejichž údaji pracují,“ řekl deníku E15 mluvčí úřadu Vojtěch Marcín.

V praxi to může znamenat, že si firma stáhne například adresy lidí či firem z katastru nemovitostí, nebo jiných veřejně přístupných registrů a využije je k vlastním účelům – třeba k posílání nevyžádané reklamy.

Firmy, veřejné instituce či některé osoby samostatně výdělečně činné, jichž se GDPR týká, také často oficiálně nestanovují pracovníka, který je za příslušnou agendu odpovědný. I tento přečin úřad trestá. Naopak kraje či obce jsou podle českého zákona nepostižitelné.

Právě za využití osobních údajů z veřejných rejstříků pro soukromé účely a neinformování dotčených osob padla nejvyšší, půlmilionová pokuta. Úřad ale odmítl sdělit, o jakou společnost se jedná. „Úřad subjektu již jednu sankci udělil a chce ho ušetřit ještě dalšího trestu ve formě uvedení jména v této souvislosti v médiích,“ uvedl Marcín. Zda se firma odvolala, neuvedl.

Podle nařízení GDPR lze teoreticky udělit pokutu až půlmiliardy, sankce ve stamilionové výši jsou však zamýšlené spíše pro nadnárodní společnosti. Naopak nejnižší loni udělované sankce úřadem začínaly na pětitisícových částkách.

Nařízení chránící osobní údaje Evropanů je platné v celé EU od května roku 2018. Během posledních dvou let úřad provedl 117 kontrol, které má na starosti dvacet inspektorů. Firmy ke kontrole si vybírá na základě stížností nebo hlášení, že mohlo dojít k ohrožení dat.

„Úřad dlouho přistupoval k podnikatelům zdrženlivě. I nyní se domnívám, že pokuta není ten cíl, který sleduje. Důležité je, aby podnikatelé věděli, kde udělali chybu a zároveň ji mohli napravit. Na druhou stranu nikdo nechce dostávat nevyžádanou poštu a poskytovat osobní údaje tam, kde nejsou zapotřebí,“ říká právní expertka Hospodářské komory Lucie Vojtíšková.

Ačkoliv se jedná o jednotné celoevropské nařízení, rozpětí ve výši udílených pokut se značně liší stát od státu, každý národní regulátor postupuje po svém. „Nařízení GDPR sice zajistilo větší ochranu dat, stále se ale ukazuje, že s ním mnoho firem neumí pracovat,“ domnívá se Vojtíšková.

„Firmy si navíc musejí zajistit dostatek financí na reálné zabezpečení dat a tyto peníze pak nemohou použít na investice do rozvoje,“ konstatovala Vojtíšková s tím, že se jedná hlavně o velkou administrativní zátěž. A ne poslední – Evropská unie chystá další návrh na ochranu dat, tentokrát zaměřený na soukromí elektronických komunikací. Náklady na zabezpečení dat se mohou pohybovat v řádu tisíců i milionů korun – záleží na velikosti dané společnosti.