Kontroly dodržování GDPR aktuálně
Aktivita Úřadu pro ochranu osobních údajů (ÚOOÚ) se za téměř 4 měsíce od nabytí účinnosti GDPR významně zvýšila. ÚOOÚ v rámci dozorové činnosti řeší případy významného společenského zájmu podle vypracovaného kontrolního plánu, zároveň však zahajuje též ad-hoc kontroly na základě podnětu či stížnosti subjektů údajů. V rámci kontroly musí ÚOOÚ posoudit nejen rozsah, povahu či délku porušení, ale třeba i to, jak správce pracuje na nápravě pochybení, nebo jaká opatření přijal, aby se v budoucnu neopakovalo.
Úřad v současnosti prověřuje podezření z úniku osobních dat například u níže uvedených subjektů:
- stavební spořitelny, kde došlo k chybnému přeposlání osobních údajů 300 osob jiným osobám,
- provozovatele portálu na prodej PC her, kterému měly uniknout desítky tisíc přihlašovacích údajů a který toto porušení zabezpečení úřadu neohlásil,
- nevládní neziskové organizace, která zveřejnila osobní údaje subjektů na svých internetových stránkách,
- nejmenovaného subjektu, jehož USB flash disk se smlouvami obsahujícími osobní údaje byl nalezen v obchodním centru,
- Centrálního registru dlužníků (CERD), kde ÚOOÚ zjistil konkrétní porušení jako např. neinformovanost subjektu údajů, nepodání vysvětlení, vkládání nových neověřených dlužníků, zpracování nadbytečných údajů, aj. Provozovateli sytému CERD úřad uloží opatření k nápravě, která mají za cíl odstranit pochybení zjištěná kontrolou systému CERD. Jejich plnění bude následně věnovat zvýšenou pozornost a o celé věci opět informovat veřejnost.
- společnosti SOLIDIS, která na základě licenční smlouvy získala osobní údaje cca. 1,6 mil. fyzických osob a nebyla schopna doložit souhlasy těchto osob. Společnosti byla udělena sankce ve výši 800 tis. Kč.
V případě zmíněné společnosti SOLIDIS přihlédl ÚOOÚ při stanovení výše sankce zejména k rozsahu a množství zpracovávaných osobních údajů a k zásahu do soukromí, které takové jednání představovalo. Současně ÚOOÚ upozornil, že i nadále bude věnovat zvýšenou pozornost praxi, kdy některé firmy pro rozesílání obchodních nabídek využívají databáze poskytnuté třetí osobou.