Pokuty dle GDPR: Snížení pokuty 9,5 mil EUR německým soudem
Článek navazuje na sérii starších článků vztahujících se k pokutám za porušení povinností vyplývajících z obecného nařízení Evropského Parlamentu a Rady č. 2016/679 o ochraně osobních údajů, u nás známějšího pod anglickou zkratkou GDPR (dále jen „Nařízení“).
Zatímco poté, kdy Nařízení nabylo účinnosti, jsme mohli citovat pouze rozhodnutí dozorových úřadů, tedy správních orgánů, nyní už je k dispozici řada rozhodnutí správních soudů. Toto by mělo časem vést k ustálené praxi a tím také k větší míře právní jistoty pro adresáty Nařízení. Dnes se podíváme na jeden rozsudek německého správního soudu, kterým výrazně snížil pokutu uloženou dozorovým úřadem.
Skutkový stav
Dotčenou společností je jedna dceřiná společnost německého koncernu 1&1, poskytovatele služeb elektronických komunikací, zejména připojení k internetu, ale také telefonních, hostingových a dalších služeb (dále jen „společnost“).
Společnost provozuje pro své zákazníky call centrum určené pro běžnou komunikaci, např. za účelem hlášení závad, objednávky či změny služeb nebo uzavírání smluv se společností. Identifikace volajících probíhala v závislosti na tom, z jakého čísla volal. Pokud se jednalo o telefonní číslo udělené společností, zobrazily se pracovníkovi call centra rovnou údaje volajícího. V případě neznámého nebo skrytého telefonního čísla proběhla identifikace volajícího, buď na základě jména a data narození, nebo na základě čísla zákaznické smlouvy.
Problematická byla zejména identifikace členů rodiny, kdy bylo praxí, že sdělil-li volající, že volá jako člen rodiny (aniž by byl uveden jako zákazník v zákaznické smlouvě) a uvedl-li základní identifikační údaje uvedené v zákaznické smlouvě, společnost měla za to, že volající člen rodiny je oprávněn jednat i za toho člena, který byl v zákaznické smlouvě uveden. Tak se stalo, že ochotný pracovník call centra sdělil volající ženě telefonní číslo „ex-partnera“, který si však toto číslo změnil právě proto, aby nemohl být svou „ex-partnerkou“ nadále kontaktován, neboť z její strany docházelo k jednání charakterizovanému jako stalking.*
Dozorový úřad (BfDI neboli Der Bundesbeauftragte für den Datenschutz und Informationsfreiheit, obdoba českého ÚOOÚ) byl na uvedený případ upozorněn přímo policií, která se případem stalkingu zabývala. V listopadu 2019 tak dozorový orgán uložil společnosti správní pokutu ve výši 9.550.000,-EUR, a v odůvodnění konstatoval, že společnost nezajistila přiměřenou úroveň ochrany osobních údajů ve smyslu čl. 32 Nařízení. Dozorový úřad se odvolal na možnost uložit pokutu „až do výše 2% celkového ročního obratu celosvětově“ upravenou v čl. 83 odst. 4 Nařízení a vzhledem k vysokým tržbám společnosti (3,63 miliardy EUR v roce 2018) konstatoval, že jí mohl vyměřit pokutu až 73.260.000,-EUR, a proto shledal uložených 9.550.000,-EUR jako přiměřenou výši správní pokuty.
Článek 32 Nařízení
Zabezpečení zpracování
- S přihlédnutím ke stavu techniky, nákladům na provedení, povaze, rozsahu, kontextu a účelům zpracování i k různě pravděpodobným a různě závažným rizikům pro práva a svobody fyzických osob, provedou správce a zpracovatel vhodná technická a organizační opatření, aby zajistili úroveň zabezpečení odpovídající danému riziku, případně včetně:
a) pseudonymizace a šifrování osobních údajů;
b) schopnosti zajistit neustálou důvěrnost, integritu, dostupnost a odolnost systémů a služeb zpracování;
c) schopnosti obnovit dostupnost osobních údajů a přístup k nim včas v případě fyzických či technických incidentů;
d) procesu pravidelného testování, posuzování a hodnocení účinnosti zavedených technických a organizačních opatření pro zajištění bezpečnosti zpracování.
Další články
Participační práva dětí, aneb „ty nevíš, co je pro tebe dobré“ podruhé
Rozsudek Nejvyššího správního soudu z prosince 2025 vyjasňuje limity participačních práv dětí v opatrovnických řízeních. Zdůrazňuje, že smyslem pohovoru není dítě přesvědčovat, ale citlivě porozumět jeho názoru a respektovat jeho prožívání.
Evropská unie rozšiřuje regulaci AI. Obsah generovaný nebo upravený umělou inteligencí musí být pro uživatele rozpoznatelný
Jednou z nejzásadnějších změn v oblasti regulace AI budou nová pravidla transparentnosti, která vstoupí v účinnost 2. srpna 2026. Zavádějí povinnost jakýkoli AI obsah označit, informovat o deepfakes a upozornit uživatele, pokud komunikuje s umělou inteligencí.
Svěřenské fondy v realitních transakcích: Transparentní evidence skutečných majitelů versus limity AML prověrky
Využívání institutu svěřenských fondů zažívá v České republice v posledních letech dynamický nárůst, a to nejen jako nástroj pro správu rodinného majetku (family office) či mezigenerační transfer, ale stále častěji i jako entita vystupující v roli investora na realitním trhu. Pro realitní zprostředkovatele a další povinné osoby však toto uspořádání představuje značnou výzvu v oblasti Anti-Money Laundering (AML) procesů.
Maximální ceny pohonných hmot vyhlašované Ministerstvem financí
Ministerstvo financí od 8. dubna tohoto roku vyhlašuje v reakci na aktuální situaci na světových trzích a v návaznosti na to na domácím trhu každý pracovní den maximální ceny pohonných hmot na následující den, v případě vyhlášení v pátek na následující víkend a pondělí. Jaký je právní základ tohoto jeho počínání?
Česká republika rozšiřuje povinný screening zahraničních investic
Zahraniční investoři zvažující vstup do cílových společností aktivních na českém trhu by měli věnovat pozornost zásadní změně v oblasti prověřování zahraničních investic (FDI). Od 1. listopadu 2025 se v důsledku novely zákona o prověřování zahraničních investic výrazně rozšířil okruh transakcí, které podléhají povinné notifikaci a schválení ze strany Ministerstva průmyslu a obchodu. Povinnému screeningu budou nově častěji podléhat investice zejména v digitálním, technologickém, zdravotnickém či energetickém sektoru.
