Je to už řada let, kdy nejen v odborných kruzích, ale rovněž i v řadách veřejnosti poprvé zazněla slova „GDPR“. Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (Obecné nařízení o ochraně osobních údajů) (dále jen jako „Obecné nařízení“ nebo rovněž „GDPR“), které je známé také pod zkratkou GDPR (General Data Protection Regulation) s účinností od 25. 05. 2018 nahradilo v České republice právní úpravu týkající se ochrany osobních údajů doposud upravovanou zákonem č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů.
Ještě před účinností Obecného nařízení se o GDPR bohatě hovořilo, značná část společností, podnikatelů i orgánů státní správy skloňovala GDPR ve vztahu k povinnostem, které Obecné nařízení zavádělo, a institutům, které bylo potřeba v daných provozech a systémech podnikatelů inkorporovat. Ruku v ruce se pak také hovořilo o sankcích, které mohly v určitých případech činit až 20 mil. Kč a v případě podniků až 4 % celkového ročního obratu celosvětově za předchozí finanční rok.
Úřad pro ochranu osobních údajů (dále jen jako „ÚOOÚ“) jakožto dozorový orgán se tenkrát k udělování sankcí postavil v tom, smyslu, že nelze předpokládat, že by sankce ukládané za porušování Obecného nařízení měly standardně dosahovat řádů či dokonce desítek miliónů korun. Koneckonců za rok 2018 ÚOOÚ uložil pokuty v souhrnné výši 7.202.360,- Kč (viz Výroční zpráva ÚOOÚ za rok 2018).
V průběhu účinnosti Obecného nařízení přijal Evropský sbor pro ochranu osobních údajů pokyny k výpočtu správních pokut podle GDPR (Pokyny 04/2022 ve verzi 2.1 byly přijaty 24. 05. 2023). Evropský sbor pro ochranu osobních údajů přistoupil k vydání pokynů ve světle čl. 83 odst. 1 GDPR, tedy že výše pokuty by měla být v každém jednotlivém případě účinná, přiměřená a odrazující, současně by dozorové orgány měly zohledňovat okolnosti týkající se porušení povinnosti stanovené Obecným nařízením i povahu pachatele.
ÚOOÚ dne 15. 04. 2024 zveřejnil zprávu, kterou informoval veřejnost o tom, že společnosti Avast Software s.r.o. byla pravomocně uložena pokuta ve výši 351 milionů Kč, a to za neoprávněné zpracování osobních údajů uživatelů jejího antivirového programu Avast a jeho rozšíření internetových prohlížečů v roce 2019. Společnost Avast Software s.r.o. měla předávat údaje o přibližně 100 milionech uživatelů antivirového programu Avast třetí osobě, která následně měla zpřístupňovat data dalším subjektům, a to nikoliv v rozsahu účelu, ke kterým měla být data ze strany společnosti Avast Software s.r.o. zpracovávána.
Ve vztahu k udělené pokutě, jejíž výše je na povahu poměrů a dosavadní rozhodovací praxe v České republice rekordního charakteru, je nutné podotknout, že vzhledem k tomu, že se mělo jednat o případ přeshraničního zpracování osobních údajů v rámci celé EU, byla věc řešena i s dalšími dozorovými úřadu v dotčených zemích.
Je otázkou, zda bude společnost Avast Software proti pravomocnému rozhodnutí ÚOOÚ brojit správní žalobou, či nikoliv a pokud ano, s jakým výsledkem.
Zmiňovaný případ potvrzuje, jak důležité je dbát na řádné nastavení ochrany osobních údajů v provozech podnikatelů a na správnou definici rozsahu a účelu zpracování osobních údajů. Pokud máte pochybnosti o tom, zda je ochrana osobních údajů ve Vašem provozu řádně ošetřena, můžete se na nás obrátit, my máme čas.