Od účinnosti všeobecného nariadenia o ochrane osobných údajov uplynul už viac než rok, pričom je možné vyhodnotiť, nakoľko sa v tomto prvotnom období naplnili početné obavy z vysokých správnych pokút upravených v GDPR.
Úrad na ochranu osobných údajov ČR poskytol ku dňu 31. 5. 2019 informácie o pokutách uložených za porušenie GDPR, resp. sprístupnil príslušné rozhodnutia či príkazy. Do dňa 31. 5. 2019 (t. j. za viac než rok účinnosti GDPR) bolo českým dozorným úradom právoplatne uložených len 9 pokút za porušenie GDPR, ktorých výška bola vo väčšine prípadov nízka, resp. na dolnej hranici sadzby – 1x 5 000,- Kč, 2x 10 000,- Kč, 1x 15 000,- Kč, 1x 20 000,- Kč, 2x 30 000,- Kč, 1x 80 000,- Kč a najvyššia pokuta vo výške 250 000,- Kč.
Najvyššia pokuta vo výške 250 000,- Kč bola uložená banke (v súvislosti s činnosťou jej odštepného závodu ako pobočky zahraničnej banky), ktorej hlavnou činnosťou je najmä prijímanie vkladov, poskytovanie úverov a platobných služieb. Kontrola bola zahájená na základe kontrolného plánu úradu pre rok 2018, pričom predmetom kontroly bolo dodržiavanie povinností pri spracúvaní osobných údajov klientov v súvislosti s poskytovaním úveru od odštepného závodu banky. Úrad pre ochranu osobných údajov zistil dve porušenia banky ako prevádzkovateľa osobných údajov svojich zákazníkov, a to (i.) porušenie zásady spracúvania osobných údajov stanovenej v čl. 5 ods. 1 písm. c) nariadenia (EU) 2016/679, teda zásady, že osobné údaje musia byť primerané, relevantné a obmedzené na nevyhnutný rozsah vo vzťahu k účelu, pre ktorý sú spracovávané („minimalizácia údajov“), tým, že … spracúval pri uzatváraní zmlúv s klientmi týkajúcich sa poskytovania úveru v elektronickej podobe za účelom uzatvorenia a uchovania zmluvnej dokumentácie a zjednodušenia tohto procesu tiež biometrický podpis klientov (ktorý spadá do zvláštnej kategórie osobných údajov, ktorých spracúvanie je možné len v stanovených prípadoch), ktorý nebol nevyhnutný pre uzatvorenie príslušnej zmluvy ani pre jej plnenie…, a ďalej (ii.) porušenie základnej zásady spracúvania osobných údajov stanovenej v čl. 5 ods. 1 písm. e) nariadenia (EU) 2016/679, teda zásady, že osobné údaje musia byť uložené vo forme umožňujúcej identifikáciu subjektov údajov po dobu nie dlhšiu, než je nevyhnutné pre účely, pre ktoré sú spracovávané („obmedzenie uloženia“), tým, že … uchovával všetky záznamy telefonických hovorov s klientmi (bez toho aby napr. rozlišoval medzi hovormi, na ktorých základe dochádza k uskutočneniu obchodu, a ostatnými hovormi informatívneho charakteru či servisného poradenstva), ktorí s ním mali uzatvorenú rámcovú zmluvu o poskytovaní bankových produktov a služieb alebo zmluvu o klasickom a/alebo revolvingovom úvere, a to po celú dobu trvania zmluvy a ďalej po dobu ďalších 10 rokov od splnenia všetkých záväzkov klienta. Je zrejmé, že išlo o viacero závažných porušení, navyše u verejne regulovanej osoby. Rovnako druhá najvyššia pokuta (80 000,- Kč) bola uložená spoločnosti poskytujúcej bankové služby, a to za viacero porušení.
V ďalších prípadoch bolo niekoľkokrát zistené porušenie čl. 15 ods. 1 nariadenia (EU) 2016/679, teda práva subjektov údajov získať od prevádzkovateľa potvrdenie, či osobné údaje, ktoré sa ho týkajú, sú či nie sú spracovávané, a pokiaľ je tomu tak, má právo získať prístup k týmto osobným údajom a informáciám, pričom uložené pokuty sa pohybovali v rozmedzí 5 000,- Kč – 20 000,- Kč. Za porušenie čl. 6 ods. 1 nariadenia (EU) 2016/679, teda povinnosti spracúvať osobné údaje len na základe niektorého právneho dôvodu (pričom porušenie nebolo odstránené ani napriek opakovanej výzve), bola uložená pokuta 10 000,- Kč. Všetky tieto konania boli zahájené na podnety sťažovateľov, t. j. dotknutých subjektov údajov.
Pre prax je zaujímavý taktiež prípad, kedy úrad zistil u kontrolovanej osoby (kontrola bola zahájená na základe ohlásenia porušenia zabezpečenia osobných údajov, pričom úrad obdržal súčasne taktiež podnet) jednak porušenie čl. 28 ods. 3 nariadenia (EU) 2016/679, teda povinnosti, že spracúvanie sprostredkovateľom sa riadi zmluvou alebo iným právnym aktom podľa práva Únie alebo členského štátu, a súčasne taktiež porušenie čl. 5 ods. 1 písm. f) nariadenia (EU) 2016/679, teda zásady, že osobné údaje musia byť spracovávané spôsobom, ktorý zaistí náležité zabezpečenie osobných údajov, vrátane ich ochrany pomocou vhodných technických alebo organizačných opatrení pred a neoprávneným či protiprávnym spracovávaním a pred náhodnou stratou, zničením alebo poškodením („integrita a dôvernosť“) tým, že nezaistil osobné údaje … subjektov údajov, hráčov internetovej online hry prevádzkovanej na internetovej adrese … v dôsledku čoho okrem iného došlo k zverejneniu týchto údajov na internetovej adrese … po dobu cca 30 minút. Za tieto dve porušenia úrad uložil pokutu vo výške len 15 000,- Kč. Význam badáme predovšetkým u prvého porušenia, kedy požiadavka na uzatváranie zmlúv so sprostredkovateľom kladie na prevádzkovateľa o. i. nemalé administratívne a finančné nároky, pričom uzatvorenie takejto zmluvy nie je len na vôli prevádzkovateľa (niektorí sprostredkovatelia sa v praxi takejto povinnosti bránia, čo jej splnenie z rôznych dôvodov odďaľuje). Z tohto príkladu vyplýva, že pre prevádzkovateľa je porušenie spojené s rizikom pokuty, avšak skôr v nízkej (primeranej) výške.
Z vyššie uvedeného zhrnutia je tak zrejmé, že počiatočné značné obavy z vysokých sankcií podľa GDPR sa zatiaľ nenaplnili. Úrad na ochranu osobných údajov ČR vykonáva kontroly predovšetkým u verejne regulovaných subjektov, resp. subjektov, ktoré z povahy veci spracúvajú veľké množstvo osobných údajov, a je prakticky obmedzený o. i. počtom svojich inšpektorov; inak sú konania zahajované skôr na ad hoc podnety dotknutých subjektov údajov, príp. na základe ohlásenia samotného prevádzkovateľa. Doposiaľ ukladané pokuty sa pohybujú v primeraných medziach, resp. skôr na dolnej hranici, a to i v prípade zistenia viacerých porušení. Okrem iného aj s ohľadom na predvídateľnosť rozhodovania verejnej správy bez nedôvodných rozdielov v rovnakých či obdobných prípadoch predpokladáme, že pokuty ukladané úradom sa budú i naďalej pohybovať spravidla vo vyššie uvedených medziach s tým, že vysoká pokuta by bola uložená vo výnimočnom prípade (úradom zisteného) porušenia s veľmi závažným dopadom na široký okruh subjektov údajov.