Irský dozorový úřad (DPO) po třech letech vyšetřování zveřejnil návrh sankce pro společnost
Facebook. Sankce ve formě finanční penalizace by měla činit 36 miliónů euro. Ve srovnání s ostatními
pokutami dosud udělenými napříč Evropou je sice tato částka vysoká, pokud ovšem vezmeme v potaz
celkové výdělky Facebooku a skutečnost, že Facebook tyto peníze vydělá za dvě hodiny, je tato suma
až směšně nízká.

Kontrolu iniciovala nezisková nevládní organizace NOYB, jejichž hlavním cílem je ochrana digitálních
práv, především v prostoru EU. Za NOYB mimo jiné stojí známý rakouský aktivista Max Schrems.
Předmětem stížnosti byly podmínky užívání Facebooku, ve kterých Schrems, resp. NOYB, viděl
vynucený souhlas a dále, že uživatelům Facebooku nebyly poskytnuty dostatečné informace o sběru
dat – tedy že Facebook jednal proti zásadě transparentnosti.

Podle NOYBu se Facebook těsně před účinností Nařízení GDPR v květnu 2018 snažil zakázanou
praktiku vynuceného souhlasu s podmínkami užívání jejich sociální sítě obejít tím, že začal vykládat
jejich přijetí jako smlouvu, jejíž akceptace je nezbytná k uskutečnění následného plnění – tedy
samotného užívání Facebooku.

NOYB dále upozorňuje na skutečnost, že hned několik dozorových úřadů napříč EU se iniciativně
vymezilo právě proti podobným praktikám, jejichž cílem je obcházení Nařízení GDPR. Nikoliv však
DPO.

Dle odborníků nejen z NOYB tedy zjištění ani výše pokuty neodpovídá realitě. Do jisté míry může
toto tvrzení odpovídat dlouhodobé praxi DPO. To je totiž kritizováno za kontroly, které se často
vlečou několik let, přičemž výsledek tak ,,podrobnému‘‘ průběhu neodpovídá.

Pro ilustraci lze uvést pokutu ve výši 225 miliónů euro, kterou DPO udělilo WhatsAppu (a tedy
nepřímo jeho majiteli Facebooku). Ta je sice bezkonkurečně nejvyšší udělená v rámci EU, nicméně
DPO původně navrhoval částku kolem 50 miliónů euro. Její výše ale byla posléze zvýšena po zásahu
ostatních evropských dozorových úřadů, kterým se zdála nepřiměřeně nízká. Podobný scénář pak může
nastat i u pokuty Facebooku, jejíž výše 36 miliónů euro se na první pohled taktéž zdá jako neadekvátní.

Připomínka rekordní série pokut pro společnosti podnikající ve zdravotnictví

Na konci prosince loňského roku švédský dozorový úřad oznámil dokončení kontrol
v několika zdravotnických zařízení ve společnost Capio St. Göran AB a na základě zjištěných
výsledků uložil této konkrétní firmě pokutu takřka 3 miliony EUR. O co vlastně šlo?

Švédská společnost Capio St. Göran AB provozuje řadu nemocnic. Na pochybení v rámci
zpracování osobních údajů se přišlo v rámci auditu. Problémem bylo (podobně jako v případě
udělení pokuty v Německu společnosti H&M ve výši 35.3 milionů EUR) chybné, resp.
nedostatečně provedené posouzení vlivu na ochranu osobních údajů, v důsledku čehož
vyplýval takřka neomezený přístup zaměstnanců k osobním údajům pacientů. Zaměstnanci,
kteří z povahy svého pracovního zařazení měli mít přístup pouze k vybraným osobním
údajům, tak mohli pracovat s osobními údaji téměř všech pacientů.

Posouzení vlivu je podstatné a nutné v případě, že zpracování osobních údajů může mít za
následek vysoké riziko pro práva a povinnosti fyzických osob. Toto riziko je pak třeba brát na
zřetel o to více, že v tomto kontextu šlo mj. o osobní údaje o zdravotním stavu. Vzhledem
k současné situaci, kdy pandemie bohužel opět pomalu nabírá na síle, je třeba tuto skutečnost
vzít v potaz, především pak pokud Vy nebo Vaše organizace přicházíte do styku se
zpracováním osobních údajů zdravotního charakteru. V obdobném duchu se vyjádřil i
dozorový švédský úřad, který danou kontrolu prováděl.

Poskytovatelé zdravotnických služeb tedy musí být velmi obezřetní v otázce posouzení vlivu
na ochranu osobních údajů a smí poskytovat osobní údaje svému personálu pouze v souladu
se zásadou přiměřenosti. Stejně by měly postupovat organizace, jejichž hlavním předmětem
činnosti sice není zpracování zdravotních osobních údajů, nicméně s nimi v budoucnu možná
budou muset přijít do styku.

Celková výše pokut v oblasti zdravotnictví, kterou švédský dozorový úřad v rámci těchto
kontrol udělil, dosáhla téměř 7 miliónů euro. Vzhledem k současnému trendu a změně vedení
na Úřadu pro ochranu osobních údajů je tak třeba případné zpracování podobné kategorie
osobních údajů nepodceňovat