Český úrad na ochranu osobných údajov (ďalej len „úrad“) uložil pokutu škole ako vecne príslušný orgán podľa § 46 odst. 1 zákona č. 101/2000 Sb., o ochrane osobných údajov a o zmene niektorých zákonov, a čl. 58 odst. 2 písm. i) nariadenia Európskeho parlamentu a Rady (EU) 2016/679 zo dňa 27. apríla 2016 o ochrane fyzických osôb v súvislosti so spracovaním osobných údajov a o voľnom pohybe týchto údajov a o zrušení smernice 95/46/ES (obecné nariadenie o ochrane osobných údajov) vydáva dňa 10. januára 2019 v súlade s § 150 ods. 1 zákona č. 500/2004 Sb., správny poriadok. Úrad začal podnet na základe sťažnosti dotknutej osoby t.j. bývalého zamestnanca (ďalej ako „zamestnanec“). Zamestnanec po ukončení pracovného pomeru v skúšobnej dobe požiadal bývalého zamestnávateľa (ďalej „len školu“) o odstránenie svojich osobných údajov v rozsahu meno, priezvisko, titul a fotografia zo sociálnej siete Facebook (fun page stránky) školy, nakoľko už nie je vo vzťahu k škole a nechce, aby bol so školou spájaný.
Zamestnanec požiadal školu ešte dva krát o odstránenie fotografie a to v júli 2018, auguste 2018. Úrad zaslal škole ako prevádzkovateľovi upozornenie na porušenie ochrany osobných údajov v septembri 2018. Škola ako prevádzkovateľ bola upozornená, že môže spracovávať osobné údaje iba v súlade s účelom, pre ktorý boli zhromaždené, a to podľa čl. 5 ods. 1 písm. b) nariadenia (EU) 2016/679 a ku spracovania osobných údajov musí mať ako prevádzkovateľ vždy právny titul podľa čl. 6 Nariadenia (EU) 2016/679. Škola bola naďalej poučená Úradom, že v prípade ukončenia pracovného pomeru, nemá škola pre zverejňovanie osobných údajov bývalého zamestnanca na sociálnej sieti Facebook právny titul, a tak je povinná pristúpiť okamžite k náprave a to tak, že predmetné osobné údaje zo sociálnej siete vymaže.
Škola reagovala na upozornenie, v ktorom uviedla odkaz na svoju stránku sociálnej siete Facebook, na ktorých je zverejnená fotografia dotknutej osoby z júla 2017. Na svoju obranu uviedla, že na Facebookových stránkach nie je výslovne napísané, že dotknutá osoba je stále zamestnancom školy, že sa nedá vychádzať z fotografie, uvedeného mena a priezviska. Úrad na základe print screen-u z novembra 2018 zistil, že škola neupustila od protiprávneho konania. Následne na základe týchto zistení Úrad zaslal škole výzvu na bezodkladnú nápravu protiprávneho stavu. Škola však ani potom neupustila od protiprávneho konania.
Z odôvodnenia: Z predmetu konania Úrad konštatoval, že podľa čl. 4 bodu 1 nariadenia (EU) 2016/679 sa osobným údajom rozumie akýkoľvek údaj týkajúci sa identifikovanej alebo identifikovateľnej fyzickej osoby (ďalej len „dotknutá osoba“); identifikovateľnou fyzickou osobou je fyzická osoba, ktorú je možné priamo či nepriamo identifikovať, najmä s odkazom na určitý identifikátor, napríklad meno, identifikačné číslo, lokalizačné údaje, online identifikátor alebo na základe jednej či viacerých charakteristík alebo znakov, ktoré tvoria jej fyzickú, fyziologickú, genetickú, psychickú, mentálnu, ekonomickú, kultúrnu alebo sociálnu identitu. Informácie o zverejnení na facebookových stránkach účastníka konania, tj. meno, priezvisko a titul v spojení s fotografiou, sú nepochybne osobnými údajmi, lebo na ich základe je dotknutá osoba jednoznačne identifikovaná a vzťahujú sa k nej.
Ďalej Úrad uvádza, že vyššie uvedené osobné údaje účastník konania získal v súvislosti s pracovnoprávnym pomerom a je teda ich prevádzkovateľom v zmysle článku 4 bodu 7 Nariadenia(EU) 2016/679 a ako taký je povinný dodržiavať všetky relevantné povinnosti stanovené týmto nariadením pre spracovanie osobných údajov. Jedna z týchto povinností je vyjadrená v zásade zákonnosti stanovenej v článku 5 ods. 1 písm. a) nariadenia (EU) 2016/679, podľa ktorého musia byť osobné údaje spracovávané vo vzťahu k dotknutej osobe korektne a zákonne a transparentným spôsobom. Na túto zásadu nadväzuje článkom 6 ods. 1 nariadenia (EU) 2016/679, podľa ktorého je spracovávanie zákonné, pokiaľ je splnená najmenej jedna podmienka stanovených v písm. a) až f) tohto ustanovenia a iba v odpovedajúcom rozsahu.
Úrad konštatuje, že zverejnenie osobných údajov bývalých zamestnancov na sociálnej sieti facebookovom profile vrátane ich fotografie by bolo v tomto prípade teoreticky možné iba v prípade s ich predchádzajúcim súhlasom, ktorý však účastník konania neudelila a iný právny dôvod v zmysle článku 6 ods. 1 nariadenia (EU) 2016/679 v tomto prípade neprichádza do úvahy.
Úrad uložil pokutu vo výške 10.000 CZK (desaťtisíc českých korún).
Legislatíva v čase uloženia pokuty v ČR.
V čase uloženia pokuty nebol v ČR prijatý ešte nový zákon na ochranu osobných údajov, bol však pripravený návrh tohto zákona, ktorý obsahoval nové skutkové podstaty priestupkov na úseku ochrany osobných údajov a následne pristúpil k rozlišovaniu medzi súkromnoprávnymi a verejnoprávnymi subjektami. Navrhovaná maximálna výška pokuty zo spáchania priestupkov zakotvených zákonom na ochranu osobných údajov môže u súkromnoprávnych subjektov dosiahnuť výšku až 10 miliónov CZK, avšak u orgánov verejnej moci a verejných subjektov v členských štátoch (ďalej len “orgány verejnej moci“) je však situácia odlišná. Orgánom verejnej moci je možné uložiť pokutu do 15 000 CZK.
Český zákonodarca využil možnosť v zmysle čl. 83 ods. 7 Nariadenia, ktorý členským štátom umožňuje stanoviť si vlastné pravidlá do akej miery je možné ukladať pokuty orgánom verejnej moci a to v zákone o ochrane osobných údajov v § 61 ods. 3 a § 62 ods. 5 zákona.
V súčasnej dobe majú v Českej republike prijatý zákon č. 110/2019 Sb. o ochrane osobných údajov platný a účinný od 24.04.2019 v ktorom zákonodarcovia úplne upustili od navrhovaných pokút pri subjektoch verejnej správy a teda Česká republika, nemá pri subjektoch verejnej správy žiadne pokuty § 61 ods. 3 a § 62 ods. 5 Zákona. Pri súkromnoprávnych subjektoch do 10 mil. CZK alebo do 50 mil. CZK, ak bol priestupok spáchaný tiskom, filmom, rozhlasom, televíziou atď.
Slovenská republika takéto pravidlá neprijala resp. nerozlišuje medzi jednotlivými prevádzkovateľmi či súkromnoprávnej sféry či verejnoprávnej sféry. Pravidla stanovila pre každého rovnako. Platí výška sankcií, ktorá je uvedená v Nariadení ako i v našom zákone 18/2018 o ochrane osobných údajov v platnom znení a to maximálnej výške do 20 mil. eur, alebo ak ide o podnik do 4 % celkového svetového ročného obratu za predchádzajúci účtovný rok, podľa toho, ktorá suma je vyššia.