MENU

Aktuality

ÚOOÚ pokutoval za porušení povinností GDPR

Novinky z OKsystemu

29. července 2019
OKmzdy   OKbase   GDPR  

Evropské nařízení (General Data Protection Regulation) je účinné od května 2018 a jeho dopad na správce osobních údajů se projevuje, a někdy dosti citelně. Pokuty uložil už také český Úřad pro ochranu osobních údajů.

I v českém případě se často správní trestání odvíjí od toho, že správci osobních údajů nevěnují pozornost, či ignorují ustanovení, jímž evropská legislativa posílila moc každé fyzické osoby nad vlastními osobními údaji a poskytla jí možnost neztrácet přehled o tom, kde a jak se její osobní údaje pohybují: Všem správcům osobních údajů proto striktně uložila informační povinnost – tj. povinnost informovat každého, jehož osobní údaje zpracovává, o tom, co se s jeho údaji děje. A v tom neexistuje žádný pardon. V článcích 13 a 14 GDPR jsou stanoveny a přesně určeny informace, které správce musí poskytnout, ať získává osobní údaje přímo od osoby, které náležejí, či je získal jiným způsobem.  Evidentní je, že nedostatečná komunikace správce osobních údajů vůči subjektu osobních údajů je často jádrem problému porušování GDPR. Můžeme vidět, že jak nedostatečné informování (např. při využívání služebního vozidla vybaveného GPS), tak ignorování žádosti zaměstnance ze strany zaměstnavatele o poskytnutí informace o zpracovávaných osobních údajích, znamená dle GDPR jistý správní postih – tedy pokutu. 

Příklady porušení GDPR v ČR:

Zveřejnění portrétu na Facebooku

Úřad pro ochranu osobních údajů uložil pokutu  za to, že nebyla odstraněna fotografie bývalé zaměstnankyně na facebookovém profilu zaměstnavatele. Úřad důrazně poukázal na to, že zveřejnění fotografie bývalého zaměstnance s uvedením jeho jména, příjmení a titulu je možné pouze na základě předchozího souhlasu a že jiný právní důvod nepřichází v úvahu.

 

Informační povinnost při využívání GPS

Úřad uložil pokutu za to, že v uzavřené smlouvě o zapůjčení vozidla vybaveného GPS nebyla majitelem vozidla uživateli vozidla poskytnuta informace vyžadovaná dle GDPR.

 

Smlouva se zpracovatelem osobních údajů

Správce osobních údajů osob zaregistrovaných na internetové adrese neuzavřel s pověřeným zpracovatelem osobních údajů smlouvu o zpracování. Vzhledem k tomu, že nezajistil osobní údaje hráčů internetové online hry, došlo po určitou dobu ke zveřejnění těchto údajů na internetové adrese a byla tudíž uložena pokuta.

 

Zabezpečení osobních údajů

Společnost byla pokutována, protože nezajistila osobní údaje klientů při zprostředkování úvěrů obsažených ve smlouvách, které byly po určitou dobu volně přístupné ve společných prostorách bytového domu.

 

Neposkytnutí informace o zpracovávaných osobních údajích

Spolek neposkytl své člence na její žádost informaci o jejich zpracovávaných osobních údajích a byla mu proto uložena pokuta.

 

Právo na informace o zpracovávaných údajích, právo na výmaz

Společnost byla pokutována, protože nereagovala na žádost klienta o informaci, kde byl získán jeho telefonický kontakt a jakým způsobem jsou zpracovávány jeho osobní údaje, a proto, že opakovaně využila telefonní číslo klienta, který požádal o jeho výmaz. Společnost nerespektovala práva klientů na přístup ke svým osobním údajům a žádost o výmaz telefonního čísla. Nenaplnila tak dané povinnosti uložené GDPR, a to ani po výzvě Úřadu pro ochranu osobních údajů, který ji společnosti adresoval na základě posouzení stížností, jež obdržel od klientů nereagující společnosti.

  

Uchovávání biometrického podpisu a záznamů telefonických rozhovorů

Společnosti byla uložena pokuta, protože při poskytování úvěru v elektronické podobě za účelem uzavření a uchování smluvní dokumentace a zjednodušení tohoto procesu vyžadovala též biometrický podpis klientů, který nebyl nezbytný pro uzavření příslušné smlouvy ani její plnění. Rovněž byla trestána za to, že uchovávala veškeré záznamy telefonních hovorů s klienty (kteří s ní měli uzavřenou rámcovou smlouvu), a to po celou dobu trvání smlouvy a dále po dobu dalších 10 let od splnění veškerých závazků klienta. Z hlediska GDPR nebyla zohledněna povinnost minimalizace údajů a časové omezení jejich uložení.

 

Neoprávněné použití osobních údajů

Společnost použila osobní údaje osoby, které měla k dispozici, jelikož tato osoba byla vedena jako statutární zástupce její klientské společnosti a založila této osobě osobní účet bez jejího vědomí. Porušila tak zásadu účelového omezení zpracování osobních údajů a zásadu zákonnosti, korektnosti a transpartentnosti.

 

Ignorování žádosti zaměstnance o poskytnutí informací o jeho zpracovávaných osobních údajích

Obecně prospěšná společnost neposkytla své zaměstnankyni elektronicky vyžádanou informaci o tom, že její  osobní údaje zpracovává. Zaměstnanci, jako každá fyzická osoba, má právo získat potvrzení, zda jsou její údaje zpracovávány, a pokud ano, mají právo ke svým údajům získat přístup.

zdroj: ÚOOÚ


Zpět na výpis aktualit