Seit den fast vier Monaten ab dem Inkrafttreten der DSGVO ist die Aktivität der tschechischen Datenschutzbehörde (ÚOOÚ) gestiegen. Die Behörde befasst sich im Rahmen ihrer Aufsichtstätigkeit mit Fällen des wesentlichen gesellschaftlichen Interesses nach dem erstellten Plan der Kontrollen, sie leitet gleichzeitig ad-hoc Kontrollen auf der Grundlage einer Mitteilung oder einer Beschwerde der betroffenen Personen ein. Im Rahmen der Kontrolle muss die Datenschutzbehörde nicht nur den Umfang, die Art und die Dauer der Verletzung beurteilen, sondern auch z.B., wie der Verantwortliche die Fehler behebt oder welche Maßnahmen er gefasst hat, damit sich dies in Zukunft nicht wiederholt.

Die Behörde prüft zurzeit den Verdacht an Verluste personenbezogener Daten z. B. bei den unten genannten Einheiten:

• einer Bausparkasse, bei denen eine fehlerhafte Weiterleitung personenbezogener Daten von 300 Personen an andere Personen erfolgt ist,
• eines Betreibers von einem Portal für den Verkauf der Computerspiele, der Zehntausende von Meldedaten verloren hat und diese Verletzung der Behörde nicht meldete,
• einer Gemeinnützigen Organisation, die personenbezogenen Daten auf ihrer Webseite veröffentlichte,
• eines nicht genannten Subjekts, dessen Flash-Disc mit Verträgen, die personenbezogene Daten enthielten, in einem Einkaufszentrum gefunden wurde,
• des Zentralen Registers der Schuldner (CERD), bei der die Datenschutzbehörde bestimmte Verletzungen wie z. B. das Nichtinformieren der betroffenen Person, fehlende Erklärungen, das Einpflegen neuer nicht überprüften Schuldner, die Verarbeitung einer überflüssigen Angabe usw. festgestellt hat. Der Betreiber des CERD-Systems wird seitens der Behörde auferlegte Behebungsmaßnahmen ergreifen müssen, die die durch die Kontrolle des CERD-Systems festgestellten Fehler beseitigen müssen. Die Erfüllung der Maßnahmen wird die Behörde verfolgen, und sie wird darüber die Öffentlichkeit informieren,
• der Gesellschaft SOLIDIS, die auf der Grundlage eines Lizenzvertrags personenbezogenen Daten von ca. 1,6 Millionen natürlicher Personen erhielt und nicht in der Lage war, die Zustimmungen dieser Personen vorzulegen. Der Gesellschaft wurde eine Strafe von 800 Tsd. CZK auferlegt.

Im Falle der genannten Gesellschaft SOLIDIS hat die Datenschutzbehörde bei der Bestimmung der Strafe insbesondere den Umfang der verarbeiteten personenbezogenen Daten und den Eingriff in die Privatsphäre berücksichtigt, die das Handeln der Gesellschaft darstellte. Gleichzeitig hat die Datenschutzbehörde darauf hingewiesen, dass sie auch weiterhin mit erhöhter Aufmerksamkeit die Nutzung von Datenbanken von Dritten durch Gesellschaften für die Versendung von Angeboten verfolgen wird.