TOP 6 GDPR pokut aktuálně: nedodržování může vyjít i na miliardu korun

Obecné nařízení o ochraně osobních údajů (General Dat Protection Regulation, GDPR) je účinné již dva a půl roku. Přijato bylo ještě o dva roky dříve, na jaře roku 2016, takže všechny organizace měly poměrně dost času na to, aby se novým pravidlům a postupům pro zpracování osobních dat připravily. 

Když hovoříme o novinkách, musíme dodat, že v pravidlech, právech a povinnostech přímo souvisejících se zpracování osobních údajů toho GDPR v porovnání s předchozí právní úpravou zase tolik nového nepřineslo.

GDPR však zavádí celou řadu nových procesů a institutů, které mají organizacím napomoci k dosažení souladu s danými pravidly, jako například posouzení dopadu do ochrany osobních údajů (data protection impact assessment), vedení záznamů o zpracování, řízení porušení zabezpečení dat či jmenování pověřence pro ochranu osobních údajů.


GDPR rovněž výrazně zvýšilo pokuty, které lze za porušení povinností v této oblasti uložit. Podle předchozího zákona č. 101/2000 Sb., o ochraně osobních údajů, bylo možné za příslušné delikty, například zpracování osobních údajů bez právního důvodu, jejich špatné zabezpečení atd., uložit pokutu do výše 10 milionů korun.

Úřad pro ochranu osobních údajů se za 18 let účinnosti tohoto zákona k horní hranici sankce nepřiblížil. Nejvyšší pokuty, které podle starého zákona uložil, se pohybovaly v rozmezí 2-3 milionů korun.

Podle GDPR, které je přímo účinné ve všech členských státech Evropské unie, lze za porušení především procesních nástrojů (posouzení dopadu, jmenování pověřence, řízení incidentů atd.) uložit pokut až 10 milionů EUR nebo až 2 % celkového ročního obratu podniku celosvětově za předchozí finanční rok, podle toho, která hodnota je vyšší.

V případě porušení základních pravidel a povinností pro zpracování dat, např. stanovení rozsahu, doby uchování, právního titulu ke zpracování nebo vyřizování podnětů dotčených osob (právo na přístup, právo na výmaz apod.) pak dotčené organizaci hrozí pokut až do výše 20 milionů EURO nebo 4 % celkového ročního obratu podniku celosvětově za předchozí finanční rok, podle toho, která z těchto hodnota je vyšší.

Řada evropských dozorových úřadů již neváhala a k vysoké pokutě sáhla. Na příkladu některých z nich udělených v poslední době si můžeme ukázat, v čem organizace při aplikaci GDPR v praxi chybují, resp. jaké případy porušení považují evropské dozorové úřady za nejvážnější.

Začněme jedním známým případem, únikem osobních údajů aerolinek British Airways. Těm v roce 2018 unikly osobní údaje více než 400.000 jejích klientů a to včetně jejich karetních dat. Britský dozorový úřad původně avizoval, že může uložit pokut až do výše 183 britských liber. Po složitém vyjednávání britský úřad aerolinkám před několika dny uložil pokutu 20 milionů liber (zhruba 600 milionů korun). 


Letošní podzim byl skutečně bohatý na vysoké pokuty. Hamburský úřad na ochranu dat uložil pokutu společnosti H&M ve výši 35,3 milionů EUR (zhruba 950 milionů korun) za protiprávní zpracování osobních údajů zaměstnanců. Společnost H&M poměrně intenzivně monitorovala zaměstnance svého servisního centra, včetně informací o jejich osobních a rodinných poměrech, zdravotním stavu či příznacích nemocí až po náboženské či filosofické přesvědčení.

Společnost tyto zjevně nadbytečné údaje systematicky zaznamenávala a využívala mj. při rozhodování, s kým ukončit pracovní poměr či dalších pracovněprávních změnách. Zajímavá je i okolnost, která přispěla k odhalení této praxe: v roce 2019 byly v důsledku technické chyby tyto detailní informace na několik hodin zpřístupněny v rámci firemní sítě…

Kromě základních pravidel, jako je zákonnost a přiměřenost zpracování osobních údajů či jejich zabezpečení, je dalším velkým tématem výkon práv dotčených osob, například práva na přístup, na opravu či na výmaz osobních údajů.

Nizozemský dozorový úřad uložil provozovateli úvěrového registru pokutu ve výši 830.000 EUR (cca 22,5 milionů korun) za to, že dotčeným osobám komplikoval výkon jejich práv. Provozovatel tohoto úvěrového registru zpoplatnil přístup zasílání elektronické kopie dat, které o subjektech údajů zpracovával, tedy jejich podklady k jejich kreditnímu skóre.

Informace bylo možné získat v papírové podobě, ovšem jen jednou ročně. Tento postup byl podle nizozemského úřadu zjevně v rozporu s GDPR, které naopak správcům údajům ukládá, aby výkon práv subjektu údajů v maximální možné míře usnadňovali a účtovali si případně pouze skutečně vynaložené náklady.


I vstřícný přístup při vyřizování požadavků subjektu údajů na přístup k datům však má své meze. Německý telekomunikační operátor 1&1 Telecom GmbH nastavil související proces tak, že postačilo, aby kdokoliv zavolal na jeho informační linku, uvedl jméno a datum narození klienta a bez jakéhokoliv dalšího ověření bylo možné získat poměrně detailní a citlivá klientská data. Německý federální úřad tuto přehnanou vstřícnost ocenil pokutou 9.550.000 EUR, tedy necelých 260 milionů korun. 

Podívejme se pro změnu na jih Evropy: Italský úřad uložil zdejšímu telekomunikačnímu operátorovi Wind Tre SpA pokutu ve výši 17 milionů EUR (cca 460 milionů korun) za porušení více pravidel při zpracování osobních údajů za marketingovými účely, jednalo se zejména o marketingové oslovování uživatelů bez jejich souhlasu a bez možnosti, jak snadno další komunikaci zabránit.

Za marketingovou komunikaci zasílanou v rozporu s příslušnou regulací uložil na naše poměry vysokou pokutu i český Úřad pro ochranu osobních údajů. Nejmenovanému prodejci ojetých aut dal pokutu 6 milionů korun právě za spamování jeho zákazníků.

V tomto kontextu je jistě zajímavé zmínit i to, že správní soud nedávno potvrdil přístup Úřadu, který za šíření nevyžádaných obchodních sdělení nepostihuje jen toho, kdo spam fakticky rozesílá, ale i toho, kdo si od něj rozesílku objedná, pokud nezavede konkrétní a účinné postupy pro kontrolu toho, zda rozesílatel postupuje správně. Nestačí tedy jen více či méně vágní smluvní ujednání, ale skutečný proces založený na zhodnocení rizik a přijetí dostatečných opatření. 

Je zjevné, že vysoké pokuty za porušení GDPR a souvisejících předpisů jsou již běžnou praxí ve velké řadě evropských států. Pokud se organizace působící v České republice podílí na přeshraničním zpracování osobních údajů, například je členem koncernu, jehož mateřská společnost sídlí v Německu, případnou kontrolu by vedl německý dozorový úřad.

Ty, jak jsme si výše na několika příkladech ukázali, se rozhodně nezdráhají sáhnout i k vysokým pokutám. A lze důvodně očekávat, že v případě závažných kontrolních zjištění se k nim připojí i náš ÚOOÚ. Investování do kontroly toho, jak daná organizace zpracovává osobní údaje a do případné nápravy nedostatků, se tedy jistě vyplatí.

GDPR Mapování Datasetů

Formou praktických cvičení se naučíte připravit správné datové mapy v celého životního cyklu osobních dat od vzniku, editaci, archivaci / likvidaci. Datové toky budete analyzovat na úrovni procesů, technologií a informačních systémů, ale i papírových kartoték. Další kroky vyřešíte s pomocí GDPR Dokumentace.

Jak na mapování datasetů

GDPR Implementace

Zcela nová verze workshopu. Unikátní případová studie vás podobně jako GDPR vzory dokumentů praktickým způsobem provedou celým projektem. Absolventi si poradí s povinnostmi, které přináší Obecné nařízení pro ochranu osobních údajů. Druhý den si účinnost ověříte na simulaci kontroly od ÚOOÚ.

Implementace s auditem ÚOOÚ

Chcete získat dárek k narozeninám?