GDPR pokuty se blíží k Česku (zatím jen geograficky) | Marwick.cz
Marwick.cz

GDPR pokuty se blíží k Česku (zatím jen geograficky)

Právo 5.4.2019 Kateřina Randlová, Ondřej Vykoukal
GDPR pokuty se blíží k Česku (zatím jen geograficky)
Minulý měsíc jsme psali o pokutě za porušování pravidel obecného nařízení pro ochranu osobních údajů (GDPR) ve výši 50 milionů eur, kterou dostala společnost Google ve Francii. Neuběhl ani měsíc a už se objevila další GDPR pokuta v řádu miliónů. Sice korun, ale i taková pokuta může byznys citelně zasáhnout.

Polský úřad pro ochranu osobních údajů (Urzad Ochrony Danych Osobowych) uložil minulý týden pokutu za nesplnění informační povinnosti. Předsedkyně úřadu uvedla, že uložení pokuty bylo nezbytné, jelikož správce přímo porušil povinnost, kterou mu stanoví GDPR.

V posuzovaném případě správce zpracovával osobní údaje více než šesti miliónů osob. Tyto údaje získal z veřejně dostupných zdrojů, mezi nimi např. z centrálního elektronického registru. Osobní údaje pak dále zpracovával pro obchodní účely. O zpracování údajů však informoval pouze ty subjekty osobních údajů, jejichž e-mailovou adresu měl k dispozici. Informační povinnost vůči ostatním subjektům navíc správce splnil pouze prostřednictvím webových stránek. Postup správce obhajoval tak, že u ostatních subjektů měl k dispozici jen jejich poštovní adresy a telefonní čísla a informování o zpracování by tudíž bylo velmi nákladné.

Podle GDPR je správce osobních údajů povinen informovat osobu, jejíž osobní údaje zpracovává, mj. o totožnosti a kontaktních údajích správce, o účelu zpracování a době uložení osobních údajů. Dále je povinen tuto osobu informovat o jejích jednotlivých právech, např. o právu na opravu, výmaz nebo omezení zpracování osobních údajů; o právu vznést námitku proti zpracování osobních údajů nebo podat stížnost u dozorového orgánu. Nesplnění informační povinnosti prakticky zbavuje subjekty osobních údajů možnosti uplatňovat jejich práva. Ty navíc ani neví, že jejich osobní údaje vůbec někdo zpracovává. Polský regulátor považoval porušení správce za závažné, protože ohrožovalo základní práva a svobody osob, jichž se toto jednání přímo dotýkalo. Úřad navíc uvedl, že z 90 000 osob, vůči kterým byla informační povinnost vůbec splněna, jich více než 12 000 zpracovávání svých osobních údajů jasně odmítlo.

Podle předsedkyně úřadu bylo takové splnění informační povinnosti nedostačující. Správce osobních údajů disponoval kontaktními údaji jednotlivých osob a mohl tedy svoji informační povinnost splnit jejich prostřednictvím. Z polského případu je zřejmé, že miliónové pokuty mohou padat nejen za porušení zabezpečení osobních údajů, tedy za různé úniky údajů do nepovolaných rukou, ale také za porušení informačních povinností. To platí zejména v případech jako je tento, kdy se porušení povinností podle GDPR týká značného množství subjektů údajů. 

autor
Kateřina Randlová, Ondřej Vykoukal
Nástrahy inteligentní domácnosti pohledem právníka

Nástrahy inteligentní domácnosti pohledem právníka

Kdo odpovídá za škodu způsobenou umělou inteligencí? Výrobce, majitel přístroje, nebo dodavatel dat? Také tento hlavolam zkouší vyřešit Evropská unie.

Google utržil další ránu za 2,42 mld. eur

Google utržil další ránu za 2,42 mld. eur

Společnost Google a její mateřská společnost Alphabet prohrály další spor s Evropskou komisí. Pokutu udělenou za zneužívání dominantního postavení na trhu potvrdil Tribunál Soudního dvora Evropské unie. Snaha Googlu zvrátit rozhodnutí Komise, které nejen že ukládá rekordní pokutu, ale zároveň naznačuje směr pro budoucí rozhodovací praxi, tak vyšla naprázdno.
Ladislav Karas: Pro přivýdělek ve stejném oboru je potřeba souhlas zaměstnavatele

Ladislav Karas: Pro přivýdělek ve stejném oboru je potřeba souhlas zaměstnavatele

Jak sladit přivýdělek s pracovní dobou je jedna věc. Jak ho sladit se zákoníkem práce, radí Ladislav Karas, advokát KPMG Legal.
Komise navrhla ambiciózní reformu digitálního prostoru

Komise navrhla ambiciózní reformu digitálního prostoru

Evropská komise chystá nová pravidla pro digitální služby. Měla by přinést největší změny od roku 2000.
EDPB a jeho „návod“ pro datové přenosy po rozhodnutí Schrems II

EDPB a jeho „návod“ pro datové přenosy po rozhodnutí Schrems II

V listopadu 2020 vydal Evropský sbor pro ochranu osobních údajů (European Data Protection Board – EDPB) dlouho očekávaná doporučení ohledně přenosu osobních údajů mimo EU. Navazují na přelomové rozhodnutí Soudního dvora EU známé jako „Schrems II (C-311/18)“.
Amazon opět v hledáčku Komise – tentokrát kvůli využití dat obchodníků na Marketplace

Amazon opět v hledáčku Komise – tentokrát kvůli využití dat obchodníků na Marketplace

Evropská komise informovala největšího internetového prodejce Amazon o svém předběžném zjištění o porušení antimonopolních pravidel EU. Údajně měl narušit hospodářskou soutěž na maloobchodních trzích provozovaných online. 
Návrh nařízení o správě dat unikl před zveřejněním a sklidil kritiku

Návrh nařízení o správě dat unikl před zveřejněním a sklidil kritiku

Podle uniklého návrhu je cílem vytvoření dobré infrastruktury pro sdílení dat, a přinést tak EU „digitální suverenitu“. 
Evropská regulace AI na obzoru

Evropská regulace AI na obzoru

Evropský parlament hlasoval v říjnu o návrzích pravidel pro umělou inteligenci (AI). Europoslanci přijali Etický rámec, zprávu o právech k duševnímu vlastnictví a především předběžný návrh nařízení o odpovědnosti za provoz systémů AI.