Poskytnutá informace dne 24. října 2023
Na základě zákona č. 106/1999 Sb., o svobodném přístupu k informacím, ve znění pozdějších předpisů, poskytl Úřad pro ochranu osobních údajů dne 24. října 2023 požadované informace v tomto znění:
Ad 1) Nejvyšší pokutou uloženou Úřadem za porušení obecné nařízení o ochraně osobních údajů je ke dni 9. října 2022, tj. ke dni podání žádosti, pokuta ve výši 2.000.000 Kč, a to za spáchání přestupku podle § 62 odst. 1 písm. d) zákona č. 110/2019 Sb. o zpracování osobních údajů, pro nesplnění příkazu podle čl. 58 bod 2 obecné nařízení o ochraně osobních údajů. Společnost na svých webových stránkách zpracovávala osobní údaje ve formě jejich zveřejnění (překlopení) z veřejně dostupných rejstříků (insolvenčního rejstříku, obchodního rejstříku, rejstříku topografií, patentového rejstříku a rejstříku ochranných známek). Na základě výsledku kontroly provedené Úřadem byla společnosti uložena pokuta za toto zpracování a vydáno rozhodnutí o opatření k nápravě, kterým Úřad nařídil ukončení zpracování a následný výmaz zpracovávaných osobních údajů. Společnost nápravná opatření nesplnila, proto jí byla uložena pokuta ve výše uvedené výši.
Ad 2) Celková hodnota pravomocně uložených pokut dle GDPR je od 25. května 2018 do dne 9. října 2023, tj. do dne podání žádosti, 13.906.000 Kč.
Ad 3)
a) Porušení čl. 46 obecného nařízení o ochraně osobních údajů či rozhodnutí Schrems II nebylo konstatováno.
b) V jednom případě Úřad uložil pokutu a ve výroku rozhodnutí konstatoval, že obviněná jako správce osobních údajů osob navštěvujících její webové stránky podle čl. 4 bodu 7 obecného nařízení o ochraně osobních údajů nejméně v období ode dne 13. prosince 2020 do dne 31. prosince 2021 předávala osobní údaje subjektů údajů získané prostřednictvím datových informací do třetí země (Spojených států amerických), aniž by splnila podmínky pro předávání těchto osobních údajů, čímž porušila povinnost podle čl. 44 obecného nařízení o ochraně osobních údajů splnit v závislosti na dalších ustanoveních tohoto nařízení podmínky pro předání osobních údajů, které jsou předmětem zpracování nebo které jsou určeny ke zpracování po předání do třetí země nebo mezinárodní organizaci, a tím spáchala přestupek podle § 62 odst. 1 písm. a) zákona č. 110/2019 Sb., o zpracování osobních údajů.
Ad 4) Úřad v období 23. ledna 2023 do současnosti neuložil pokutu v souvislosti s porušením obecného nařízení o ochraně osobních údajů prostřednictvím umělé inteligence.
Ad 5) V rámci kritérií vymezených žádostí Úřad považoval za přitěžující tyto okolnosti (jedná se o kompletní výčet za dané období):
a) obviněná nepostupovala transparentně vůči velkému množství subjektů údajů;
b) porušení se týkalo i rodných čísel;
c) dotčeno velké množství subjektů údajů;
d) porušení se týkalo i zdravotních údajů jako zvláštní kategorie osobních údajů.
Ad 6) Úřadu bylo od 25. května 2018 do dne 9. října 2023, tj. do dne podání žádosti, celkem podáno 1865 ohlášení porušení zabezpečení osobních údajů.
Ad 7) Za období od 28. ledna 2023 do dne 9. října 2023, tj. do dne podání žádosti, bylo Úřadu podáno 249 ohlášení porušení zabezpečení osobních údajů.