Od účinnosti obecného nařízení o ochraně osobních údajů uplynul již více než rok, přičemž je možné vyhodnotit, nakolik se v tomto prvotním období naplnily četné obavy z vysokých správních pokut upravených v GDPR.
Úřad pro ochranu osobních údajů ČR poskytnul ke dni 31. 5. 2019 informace o pokutách uložených za porušení GDPR, resp. zpřístupnil příslušná rozhodnutí či příkazy. Do dne 31. 5. 2019 (tj. za více než rok účinnosti GDPR) bylo českým dozorovým úřadem pravomocně uloženo pouze 9 pokut za porušení GDPR, jejichž výše byla ve většině případů nízká, resp. na dolní hranici sazby – 1x 5 000,- Kč, 2x 10 000,- Kč, 1x 15 000,- Kč, 1x 20 000,- Kč, 2x 30 000,- Kč, 1x 80 000,- Kč a nejvyšší pokuta ve výši 250 000,- Kč.
Nejvyšší pokuta ve výši 250 000,- Kč byla uložena bance (v souvislosti s činností jejího odštěpného závodu jako pobočky zahraniční banky), jejíž hlavní činností je zejména přijímání vkladů, poskytování úvěrů a platebních služeb. Kontrola byla zahájena na základě kontrolního plánu úřadu pro rok 2018, přičemž předmětem kontroly bylo dodržování povinností při zpracování osobních údajů klientů v souvislosti s poskytováním úvěru u odštěpného závodu banky. Úřad pro ochranu osobních údajů zjistil dvě porušení banky jako správce osobních údajů svých zákazníků, a to (i.) porušení zásady zpracování osobních údajů stanovené v čl. 5 odst. 1 písm. c) nařízení (EU) 2016/679, tedy zásady, že osobní údaje musí být přiměřené, relevantní a omezené na nezbytný rozsah ve vztahu k účelu, pro který jsou zpracovávány („minimalizace údajů“), tím, že … zpracovával při uzavírání smluv s klienty týkajících se poskytování úvěru v elektronické podobě za účelem uzavření a uchování smluvní dokumentace a zjednodušení tohoto procesu též biometrický podpis klientů (který spadá do zvláštní kategorie osobních údajů, jejichž zpracování je možné pouze ve stanovených případech), který nebyl nezbytný pro uzavření příslušné smlouvy ani pro její plnění…, a dále (ii.) porušení základní zásady zpracování osobních údajů stanovené v čl. 5 odst. 1 písm. e) nařízení (EU) 2016/679, tedy zásady, že osobní údaje musí být uloženy ve formě umožňující identifikaci subjektů údajů po dobu ne delší, než je nezbytné pro účely, pro které jsou zpracovávány („omezení uložení“), tím, že … uchovával veškeré záznamy telefonních hovorů s klienty (aniž by např. rozlišoval mezi hovory, na jejichž základě dochází k uskutečnění obchodu, a ostatními hovory informativního charakteru či servisního poradenství), kteří s ním měli uzavřenou rámcovou smlouvu o poskytování bankovních produktů a služeb nebo smlouvu o klasickém a/nebo revolvingovém úvěru, a to po celou dobu trvání smlouvy a dále po dobu dalších 10 let od splnění veškerých závazků klienta. Je zřejmé, že se jednalo o vícero závažných porušení, nadto u veřejně regulované osoby. Rovněž druhá nejvyšší pokuta (80 000,- Kč) byla uložena společnosti poskytující bankovní služby, a to za více porušení.
V dalších případech bylo několikrát zjištěno porušení čl. 15 odst. 1 nařízení (EU) 2016/679, tedy práva subjektu údajů získat od správce potvrzení, zda osobní údaje, které se ho týkají, jsou či nejsou zpracovávány, a pokud je tomu tak, má právo získat přístup k těmto osobním údajům a informacím, přičemž uložené pokuty se pohybovaly v rozmezí 5 000,- Kč – 20 000,- Kč. Za porušení čl. 6 odst. 1 nařízení (EU) 2016/679, tedy povinnosti zpracovávat osobní údaje pouze na základě některého právního důvodu (přičemž porušení nebylo odstraněno ani přes opakovanou výzvu), byla uložena pokuta 10 000,- Kč. Všechna tato řízení byla zahájena na podněty stěžovatelů, tj. dotčených subjektů údajů.
Pro praxi je zajímavý také případ, kdy úřad zjistil u kontrolované osoby (kontrola byla zahájena na základě ohlášení porušení zabezpečení osobních údajů, přičemž úřad obdržel současně také podnět) jednak porušení čl. 28 odst. 3 nařízení (EU) 2016/679, tedy povinnosti, že zpracování zpracovatelem se řídí smlouvou nebo jiným právním aktem podle práva Unie nebo členského státu, a současně také porušení čl. 5 odst. 1 písm. f) nařízení (EU) 2016/679, tedy zásady, že osobní údaje musí být zpracovávány způsobem, který zajistí náležité zabezpečení osobních údajů, včetně jejich ochrany pomocí vhodných technických nebo organizačních opatření před neoprávněným či protiprávním zpracováním a před náhodnou ztrátou, zničením nebo poškozením („integrita a důvěrnost“) tím, že nezajistil osobní údaje … subjektů údajů, hráčů internetové online hry provozované na internetové adrese … v důsledku čehož mimo jiné došlo ke zveřejnění těchto údajů na internetové adrese … po dobu cca 30 minut. Za tato dvě porušení úřad uložil pokutu ve výši pouze 15 000,- Kč. Význam spatřujeme především u prvního porušení, kdy požadavek na uzavírání smluv se zpracovateli klade na správce mj. nemalé administrativní a finanční nároky, přičemž uzavření takové smlouvy není pouze na vůli správce (někteří zpracovatelé se v praxi takové povinnosti brání, či její splnění z různých důvodů oddalují). Z tohoto příkladu plyne, že pro správce je porušení spojeno s rizikem pokuty, nicméně spíše v nízké (přiměřené) výši.
Z výše uvedeného shrnutí je tedy zřejmé, že počáteční značné obavy z vysokých sankcí dle GDPR se prozatím nenaplnily. Úřad pro ochranu osobních údajů ČR provádí kontroly především u veřejně regulovaných subjektů, resp. subjektů, které z povahy věci zpracovávají velké množství osobních údajů, a je prakticky omezen mj. počtem svých inspektorů; jinak jsou řízení zahajována spíše na ad hoc podněty dotčených subjektů údajů, příp. na základě ohlášení samotného správce. Dosud ukládané pokuty se pohybují v přiměřených mezích, resp. spíše na dolní hranici, a to i v případě zjištění vícero porušení. Mimo jiné i s ohledem na předvídatelnost rozhodování veřejné správy bez nedůvodných rozdílů ve shodných či obdobných případech předpokládáme, že pokuty ukládané úřadem se budou i nadále pohybovat zpravidla ve výše uvedených mezích s tím, vysoká pokuta by byla uložena ve výjimečném případě (úřadem zjištěného) porušení s velmi závažným dopadem na široký okruh subjektů údajů.