ÚŘAD PRO OCHRANU OSOBNÍCH ÚDAJŮ UDĚLIL REKORDNÍ POKUTU VE VÝŠI 351 MIL. KČ!

Je GDPR „to poslední, co tak máte čas řešit“? Úřad pro ochranu osobních údajů udělil rekordní pokutu ve výši 351 mil. Kč!

Máme zkušenost, že pokud od nás dostanete skvěle propracovanou GDPR dokumentaci, většinou z ní nemáte v první chvíli takovou radost, jako z dobře napsané smlouvy. Ochrana osobních údajů je totiž oblast, která stojí často na okraji zájmu… avšak jen do doby, dokud nenastane problém. Chtěli bychom proto upozornit na nedávné rozhodnutí Úřadu pro ochranu osobních údajů, který za neoprávněné zpracování osobních údajů uložil pokutu v rekordní výši 351 mil. Kč.

Vývoj případu

Zprávy o tom, že za porušení GDPR může být Úřadem pro ochranu osobních údajů společnosti Avast Software s.r.o.  uložena historicky nejvyšší pokuta, se začaly objevovat již v roce 2020, kdy bylo zahájeno řízení. Vzhledem k jeho délce k prvostupňovému rozhodnutí a následně k rozhodnutí o rozkladu jsme však na informaci o konečné výši udělené pokuty čekali až do roku 2024.

Přestože se proti němu může společnost dále soudně bránit, pro praxi je rozhodnutí důležité nejen z hlediska výše pokuty, ale také chápání toho, jaká problematika může být v rámci GDPR řešena.

Široká škála informací spadajících pod GDPR

Při poskytování služeb antivirového software společnost Avast Software s.r.o. zpracovávala informace o platících i neplatících uživatelích (zejména historii prohlížení internetu), a tyto informace předávala společnosti Jumpshot, INC., jež je dále zpřístupňovala pro marketingové účely, tedy pro komerční využití. Přestože společnost Avast Software s.r.o. informovala uživatele o tom, že předává anonymizované údaje, ve skutečnosti tomu tak nebylo. Ty totiž byly navázány na jedinečný identifikátor – IP adresu či specifické informace o uživateli, kdy je bylo reálné přiřadit k jednotlivým fyzickým osobám (např. kdy zařízení mohlo být ve vlastnictví konkrétní fyzické osoby). Tím mohlo dojít k opětovné identifikaci jednotlivých subjektů. Argumentace společnosti, že informace předávané třetí straně samy o sobě osobní údaje neobsahovaly, tedy neobstála.

Chybné poučení uživatelů

Společnost Avast Software s.r.o. navíc shromažďovala a dále využívala údaje na základě oprávněného zájmu uživatelů do června 2019, až následně po nich začala vyžadovat souhlas. V řízení vyšlo najevo, že uživatelé o účelu předání informací třetím stranám nebyli řádně informováni. Úřad pro ochranu osobních údajů proto rozhodl, že do června 2019 předávala společnost osobní údaje třetím stranám bez právního titulu a porušila podmínky transparentnosti jejich zpracování.

Jak problematiku GDPR správně „ošetřit“?

Na údaje, které pod problematiku GDPR spadají, je nutné pohlížet v těchto širších souvislostech. Mimo nejčastěji řešené osobní údaje – jako je jméno, rodné číslo, telefonní číslo, e-mailová adresa či adresa pobytu subjektu, lze pod osobní údaj zahrnout např. i výše zmíněné jedinečné identifikátory.

Vhodné je také vyhodnotit, v jakém rozsahu je vhodné data zpracovávat a předávat třetím stranám. Subjekty je potom nutné o těchto skutečnostech řádně informovat.

Potřebujete s problematikou GDPR poradit?

Naše advokátní kancelář nabízí komplexní služby v oblasti GDPR pro podnikatele – ty zahrnují například revize dokumentace, tvorbu dokumentů včetně smluvních klauzul a výkon funkce zodpovědného subjektu dle GDPR. Pokud budete potřebovat právní rady v této oblasti, můžete kontaktovat JUDr. Ing. Magdu Janotovou, LL.M. – tel. 725 358 263, e-mail: magda@petrasrezek.cz.