Přejít k obsahu Přejít k hlavnímu menu
Kontakt
  1. Úvod
  2. Úřad
  3. Povinně zveřejňované informace
  4. Poskytování informací
  5. Informace poskytnuté na žádost
  6. Informace poskytnuté na žádost v roce 2021
  7. Poskytnutá informace dne 31. března 2021

Poskytnutá informace dne 31. března 2021

Na základě zákona č. 106/1999 Sb., o svobodném přístupu k informacím, ve znění pozdějších předpisů, poskytl Úřad pro ochranu osobních údajů dne 31. března 2021 požadovanou informaci:

Úřadu pro ochranu osobních údajů bylo v roce 2018 podáno celkem 260 ohlášení porušení zabezpečení osobních údajů dle nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů), včetně jejich doplnění. V roce 2019 bylo podáno celkem 416 ohlášení porušení zabezpečení osobních údajů, v roce 2020 bylo podáno celkem 292 ohlášení porušení zabezpečení osobních údajů a v roce 2021 (za období od 1. ledna do 29. března 2021, tj. do dne podání žádosti) bylo podáno celkem 69 ohlášení porušení zabezpečení osobních údajů.

Podle § 5 odst. 1 zákona č. 255/2012 Sb., o kontrole (kontrolní řád), ve znění pozdějších předpisů, Úřad pro ochranu osobních údajů zahajuje kontrolu z moci úřední.

Úřad pro ochranu osobních údajů sděluje, že kontroly se neukončují sankcí a případné uložené sankce ani přímo s kontrolou nesouvisejí. Dle § 18 zákona č. 255/2012 Sb., o kontrole (kontrolní řád), ve znění pozdějších předpisů, je kontrola ukončena 

  • marným uplynutím lhůty pro podání námitek nebo vzdáním se práva podat námitky,
  • dnem doručení vyřízení námitek kontrolované osobě, nebo
  • dnem, ve kterém byly námitky předány k vyřízení správnímu orgánu (§ 14 odst. 3). Kontrolní zákon tedy v tomto smyslu neupravuje ukládání sankcí.

Podle nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů), v letech 2018 až 2020 uložil Úřad pro ochranu osobních údajů za porušení GDPR pokuty v celkové výši 2 889 000 Kč (nejedná se o pokuty v návaznosti na ohlášení porušení zabezpečení osobních údajů).

V roce 2021 byly dosud uloženy pokuty v celkové výši 3 481 000 Kč.

K tomu Úřad pro ochranu osobních údajů uvádí, že pravomoc trestat podle GDPR mu nepřipadla dnem účinnosti GDPR, ale až dnem účinnosti adaptačního zákona č. 110/2019 Sb., o zpracování osobních údajů. Adaptační zákon zrušil trestání velké části veřejného sektoru, nejen malých obcí, ale také např. ministerstev a jiných ústředních úřadů. Podstatná částka letošních pokut je dána potrestáním spamování prostřednictvím datových schránek (tyto schránky byly dostupné zdarma a zneužity ke spamování v období mimořádné situace), což zvláštní zákon zakazuje. Úřad pro ochranu osobních údajů vedl řízení za porušení § 62 odst. 1 písm. b) a c) zákona č. 110/2019 Sb.

Podle nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů), byla ke dni 29. březnu 2021 nejvyšší uložená pokuta v České republice 666 000 Kč, Jednalo se o porušení povinnosti stanoveného čl. 6 odst. 1 nařízení (EU) 2016/679, tedy povinnosti zpracovávat osobní údaje pouze na základě některého právního důvodu upraveného v písm. a) až f) tohoto ustanovení, kdy obviněná právnická osoba bez jakéhokoliv právního titulu zpracovávala osobní údaje fyzických osob za účelem zasílání nevyžádaných nabídek prostřednictvím jejich datových schránek. Dále se jednalo o porušení práva subjektu údajů stanovené čl. 14 nařízení (EU) 2016/679, tedy práva na to, aby v případě, že osobní údaje nebyly získány od subjektu údajů, správce poskytl subjektu údajů zde uvedené informace, a to nejpozději v okamžiku, kdy poprvé dojde ke komunikaci se subjektem údajů, mají-li být osobní údaje použity pro účely této komunikace.