25. mája 2020 uplynú dva roky od nadobudnutia účinnosti nariadenia GDPR[1]. Aj keď nie je známe, že by počas tohto obdobia Úrad na ochranu osobných údajov SR udelil vysoké pokuty v súvislosti s porušením povinností prevádzkovateľov podľa nariadenia GDPR, v iných krajinách EHP[2] tomu tak nebolo. Nižšie Vám prinášame prehľad rozhodnutí úradov na ochranu osobných údajov so sídlom v EHP, ktoré za posledný rok najviac zarezonovali. Našim cieľom nie je Vás vystrašiť vysokými pokutami, ale na jednotlivých prípadoch poukázať na najzávažnejšie pochybenia.
Čo sa týka oficiálnych čísiel, v členských štátoch EHP boli za ostatný rok vyrubené pokuty spolu vo výške 5 194 936 030 EUR na základe 1973 podnetov.[3]
Prvé súdne rozhodnutie aplikujúce nariadenie GDPR[4]
Francúzsky súd TRIBUNAL ADMINISTRATIF DE MARSEILLE, vôbec ako prvý súd v rámci EHP, vydal rozhodnutie, v ktorom aplikoval nariadenie GDPR. Týmto rozhodnutím zrušil rozhodnutie, ktoré bolo vydané regiónom vo Francúzsku - tzv. PACA regiónom, ktorý rozhodol a zavedení testovacieho systému na rozpoznávanie tvári pred vstupom do dvoch stredných škôl v mestách Nice a Marseille. Uvedený systém sa mal zamerať iba na študentov týchto dvoch stredných škôl a ich zamestnancov, ktorí vopred vyjadrili súhlas so spracúvaním ich osobných údajov v súvislosti s týmto experimentálnym testovacím systémom.
Účelom, ktorý PACA región sledoval v súvislosti so zavedením testovacieho systému na rozpoznávanie tvári, bolo poskytnutie pomoci personálu školy, ktorý kontroloval vstup študentov a zamestnancov školy, boj proti zneužitiu alebo krádeži identity študentov a nechcenému pohybu neidentifikovaných návštevníkov školy.
Súd vo svojom rozhodnutí, rovnako ako Francúzsky úrad na ochranu osobných údajov uviedol, že zavedený systém rozpoznávania tvári neprimerane hlboko zasahuje do súkromia a základných ľudských práv a slobôd, predovšetkým maloletých osôb, žiakov uvedených škôl. Súd ďalej uviedol, že sledovaný účel je možné dosiahnuť opatreniami, ktoré narúšajú súkromie jednotlivcov v menšom rozsahu, napríklad prostredníctvom kontroly odznakov/ identifikačných kariet kontrolovaných osôb. Súd ako aj príslušný dozorný úrad konštatovali, že systém rozpoznávania tvári je v rozpore so zásadou proporcionality a zásadou minimalizácie, ktoré predstavujú dve zo základných zásad nariadenia GDPR.
Rozhodnutia úradov na ochranu osobných údajov v rámci EHP
Spomedzi veľkého množstva rozhodnutí, ktoré vydali dozorné orgány v rámci EHP Vám nižšie prinášame prehľad tých najzaujímavejších:
- Nedostatočný právny základ spracúvania osobných údajov - odtlačkov prstov zamestnancov (pokuta 725 000 EUR)[5]
Holandský úrad na ochranu osobných údajov sankcionoval holandskú spoločnosť za to, že nezákonne spracúvala odtlačky prstov svojich zamestnancov za účelom evidencie dochádzky. V zmysle nariadenia GDPR sa biometrické údaje (napr. odtlačky prstov) spracúvané za účelom individuálnej identifikácie fyzickej osoby považujú za osobitnú kategóriu osobných údajov. Nariadenie GDPR síce stanovuje všeobecný zákaz pre spracúvanie osobitných kategórii osobných údajov, zároveň však obsahuje aj katalóg výnimiek, po splní ktorých je možné osobitnú kategóriu osobných údajov spracúvať. Spracúvanie napr. odtlačkov prstov prichádza do úvahy iba v prípade, ak dotknutá osoba buď udelila výslovný súhlas alebo sa na konkrétnu situáciu vzťahujú ostatné výnimky uvedené v článku 9 ods. 2 nariadenia GDPR. Holandský úrad v tomto konkrétnom prípade konštatoval, že zamestnanci spoločnosti neudelili výslovný súhlas (viacerí zamestnanci počas kontroly konštatovali, že poskytnutie ich odtlačkov prstov za účelom evidencie dochádzky bolo prezentované ako povinnosť) a neexistovala ani výnimka podľa článku 9 ods. 2 nariadenia GDPR, ani podľa holandského zákona o ochrane osobných údajov. Z uvedeného dôvodu holandský úrad toto konkrétne konanie považoval za nezákonné a realizované v rozpore s nariadením.
- Nedostatočné plnenie práv dotknutých osôb - žiadosti o výmaz (pokuta 7 000 000 EUR)[6]
Švédsky úrad na ochranu osobných údajov sankcionoval spoločnosť Google LLC za nedodržanie svojich povinností týkajúcich sa práv dotknutých osôb na odstránenie výsledkov vyhľadávania zo zoznamu výsledkov. Uvedené právo vychádza nielen z nariadenia GDPR, ale aj z rozhodnutia Súdneho dvora Európskej únie[7], v zmysle ktorého môže dotknutá osoba požiadať poskytovateľa vyhľadávacieho nástroja o odstránenie záznamu zo zoznamu výsledkov vyhľadávania, ktorý obsahuje meno jednotlivca v prípade, že je záznam nesprávny, irelevantný alebo zbytočný.
Švédsky úrad uskutočnil kontrolu v spoločnosti Google LLC už v roku 2017 a nariadil odstrániť niektoré výsledky vyhľadávania. Pri opätovnej kontrole v roku 2018 kontrolný orgán zistil, že vytýkané pochybenia spoločnosť Google LLC neodstránila. Zároveň úrad poukázal na prax spoločnosti Google LLC, ktorá informovala vlastníkov webových stránok o tom, ktoré výsledky vyhľadávania zo svojho vyhľadávača odstraňuje a kto jej adresoval žiadosť o odstránenie zo zoznamu výsledkov vyhľadávania. Na uvedené konanie spoločnosť Google LLC nedisponovala dostatočným právnym základom.
- Nedostatočný právny základ spracúvania osobných údajov - zasielanie obchodných informácii (pokuta 27 800 000 EUR)[8]
V období od januára 2017 do konca roku 2019 prijímal Taliansky úrad na ochranu osobných údajov opakované sťažnosti od dotknutých osôb v súvislosti s tým, že telekomunikačný operátor im posiela nevyžiadané obchodné informácie. V nadväznosti na tieto podnety uskutočnil úrad kontrolu u operátora a zistil nasledovné pochybenia:
(i) informácie o spracúvaní osobných údajov boli nesprávne a netransparentné,
(ii) súhlas so spracúvaním osobných údajov, ktorý telekomunikačnému operátorovi udelila dotknutá osoba na jeden konkrétny účel bol používaný ako právny základ na rôzne ďalšie účely,
(iii) osobné údaje boli uchovávané dlhšie ako bolo reálne potrebné,
(iv) operátor posielal marketingové informácie dotknutým osobám po tom, ako konkrétne dotknuté osoby odvolali súhlas so spracúvaním osobných údajov na marketingové účely,
(v) prijatie nedostatočných bezpečnostných opatrení na ochranu osobných údajov.
- Nedostatočný právny základ spracúvania osobných údajov (pokuta 18 000 000 EUR)[9]
Rakúsky úrad na ochranu osobných údajov uložil Rakúskej pošte pokutu vo výške 18 miliónov EUR za rozsiahle porušenie svojich povinností pri spracúvaní osobných údajov podľa nariadenie GDPR. Pošta vytvorila profily viac ako 3 miliónov Rakúšanov, ktoré obsahovali informácie o ich mene, veku, domovských adresách, osobných preferenciách a politickej príslušnosti. Tieto osobné údaje Rakúska pošta následne poskytla politickým stranám kandidujúcim vo voľbách a ďalším spoločnostiam. O uvedenom konaním Rakúskej pošty nemali dotknuté osoby žiadnu vedomosť. Na uvedené konanie nemala Rakúska pošta žiaden právny základ podľa nariadenia GDPR a týmto svojim konaním sa dopustila protiprávneho konania, za čo jej bola udelená uvedená pokuta.
- Nedostatočné technické a organizačné opatrenia na zabezpečenie informačnej bezpečnosti - kybernetický útok (pokuta 204 600 000 EUR)[10]
Leteckej spoločnosti British Airways hrozí pokuta vo výške 183 miliónov libier (204,4 milióna EUR) za porušenie ochrany osobných údajov. Ide o doteraz najvyššiu uloženú pokutu v súvislosti s porušením povinností podľa nariadenia GDPR. Rozhodnutie o jej uložení však ešte nenadobudlo právoplatnosť. Spoločnosť British Airways oznámila v septembri 2018 Britskému úradu na ochranu osobných údajov (ICO), že na jej webové stránky zaútočili hackeri a ukradli osobné údaje z platobných kariet tisícov ich zákazníkov. Konanie hackerov malo spočívať vo vytvorení podvodnej stránky, na ktorú odklonili klientov British Airways a touto cestou získali údaje o zákazníkoch leteckej spoločnosti. Počas vyšetrovania ICO zistilo, že v dôsledku slabého technického zabezpečenia systémov spoločnosti sa hackeri dostali k veľkému množstvu osobných údajov 500 000 zákazníkov tejto leteckej spoločnosti, konkrétne išlo o nasledovné osobné údaje: meno, prihlasovacie meno, adresa, informácie o zakúpenej letenke a informácie o platobnej karte. Sankcia bola prevádzkovateľovi uložená za neprijatie primeraných organizačných a technických opatrení na ochranu osobných údajov svojich zákazníkov.
- Nedostatočné technické a organizačné opatrenia na zabezpečenie informačnej bezpečnosti - kybernetický útok (pokuta 110 390 200 EUR)[11]
Obdobného konania sa dopustila aj spoločnosť Marriot International Inc., ktorá rovnako ako spoločnosť British Airways neprijala primerané technické a organizačné opatrenia na ochranu osobných údajov svojich zákazníkov. V dôsledku kybernetického útoku z novembra 2018 došlo k úniku veľkého množstva osobných údajov zákazníkov tejto hotelovej siete. Britský úrad na ochranu osobných údajov uložil v súvislosti s týmto porušením nariadenia GDPR spoločnosti vysokú pokutu, avšak uvedené rozhodnutie zatiaľ nenadobudlo právoplatnosť.
- Nedostatočný právny základ spracúvania osobných údajov – zasielanie obchodných informácii (pokuta 195 407 EUR)[12]
Podľa zistení úradu na ochranu osobných údajov v Berlíne, spoločnosť Delivery Hero Germany nevymazala osobné údaje svojich bývalých zákazníkov. Išlo o zákazníkov, ktorí si u spoločnosti objednali služby pred niekoľkými rokmi, v jednom prípade išlo dokonca o zákazníka z roku 2008. Úrad uskutočnil kontrolu po tom, keď sa 8 bývalých zákazníkov sťažovalo, že od spoločnosti dostávajú nevyžiadané reklamné emaily. Dokonca jedna dotknutá osoba, ktorá výslovne namietala proti spracúvaniu jej osobných údajov na reklamné účely, dostala od tejto spoločnosti ďalších 15 nevyžiadaných reklamných emailov. V rámci šetrenia vykonaného úradom bolo zistené, že spoločnosť neposkytla dotknutým osobám požadované informácie podľa nariadenia GDPR.
Viktória Poliaková, Zuzana Krajčovičová
[1] Nariadenie Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (ďalej ako „nariadenie GDPR“)
[2] Európsky hospodársky priestor
[4] https://ai-regulation.com/first-decision-ever-of-a-french-court-applying-gdpr-to-facial-recognition/
https://www.laquadrature.net/en/2020/02/27/first-success-against-facial-recognition/#pll_switcher
[5]https://autoriteitpersoonsgegevens.nl/sites/default/files/atoms/files/boetebesluit_vingerafdrukken_personeel.pdf
[10] https://ico.org.uk/about-the-ico/news-and-events/news-and-blogs/2019/07/ico-announces-intention-to-fine-british-airways/