Uplynul rok od nadobudnutia účinnosti Nariadenia európskeho parlamentu a rady (EÚ) 2016/679 o ochrane fyzických osôb pri spracúvaní osobných údajov, ktoré si získalo pozornosť najmä výškou hroziacich sankcií. Prvé výročie je vhodný čas na bilancovanie, či sa obavy naplnili alebo išlo skôr o neopodstatneného strašiaka. Okrem výšky udelených pokút stoja za našu pozornosť aj porušenia, ktoré k udeleniu jednotlivých sankcií viedli, ako aj postoje jednotlivých európskych orgánov dohľadu pri stanovovaní výšky pokút.
Na úvod niekoľko oficiálnych čísel[1]. 11 členských štátov EHP udelilo sankcie spolu vo výške 55 955 871 EUR. V 31 členských štátoch EHP bolo podaných 94 622 sťažností osôb, 64 684 oznámení porušenia ochrany osobných údajov dozorným orgánom[2] a 47 020 iných podaní, na základe čoho bolo celkovo zaznamenaných 206 326 prípadov porušenia nariadenia.
Nižšie sme vybrali pár zaujímavých rozhodnutí[3]:
- Porušenie zásady integrity a dôvernosti[4] (sankcia 400 000 EUR)
Portugalský úrad na ochranu osobných údajov na podnet asociácie lekárov preveroval spracovanie osobných údajov v jednej z miestnych nemocníc. Na základe kontroly bol zistený nevhodne a nedostatočne zabezpečený systém riadenia prístupov k údajom pacientov. Celkovo bolo aktívnych 985 užívateľských účtov lekárov, pričom zamestnaných bolo v čase kontroly len 296 lekárov. Lekári mali zároveň prístup k osobným údajom pacientov bez ohľadu na svoju špecializáciu. Rozhodnutie zatiaľ nie je právoplatné.
- Nesplnenie informačnej povinnosti[5] (sankcia 943 000 PLN , t.j. 220 000 EUR)
Poľský úrad na ochranu osobných údajov udelil pokutu prevádzkovateľovi, ktorý spracovával osobné údaje z verejne dostupných zdrojov na komerčné a marketingové aktivity, ako aj na overovanie kredibility dotknutých osôb. Dôvodom na jej udelenie bolo nesplnenie informačnej povinnosti voči dotknutým osobám, čím podľa orgánu dohľadu došlo k odňatiu možnosti uplatniť si svoje práva. Okrem uvedenej konštrukcie je zaujímavým bodom, že úrad nepovažoval za dostatočné, že prevádzkovateľ si informačnú povinnosť podľa článku 14 GDPR splnil zaslaním emailov (tým dotknutým osobám, ktorých emailovou adresou disponoval) a zverejnením informácie na svojej web stránke s poukazom na to, že zaslanie písomnej informácie všetkým dotknutým osobám by bolo spojené s neprimeraným úsilím. Na uvedené však úrad neprihliadol, čo spolu s celkovým odôvodnením sankcie vzbudilo veľký rozruch vo verejnosti, nakoľko ide o často využívaný postup. Pri výške pokuty úrad vychádzal z ročného obratu prevádzkovateľa, ako aj zo skutočnosti, že prevádzkovateľ nevykonal žiadne úkony na zamedzenie na porušovania ustanovení GDPR.
- Google[6] (sankcia 50 000 000 EUR)
Asi najviac za minulý rok v spoločnosti zarezonovalo rozhodnutie Francúzskeho úradu na ochranu osobných údajov proti spoločnosti Google. Sankcia vo výške rekordných 50 miliónov EUR bola udelená za porušenie zásady transparentnosti, ktoré spočívalo v nezrozumiteľnosti informácie o spracovaní osobných údajov, ako aj absencie niektorých jej náležitostí. Úrad zároveň posúdil ako neplatné súhlasy získané spoločnosťou Google, nakoľko neboli informované, pri ich získavaní absentoval jasne vymedzený účel spracovania osobných údajov. Rozhodnutie vzhľadom na podané odvolanie, nie je právoplatné.
- Únik užívateľských mien spolu s heslami[7] (sankcia 1,6 milióna NOK, t.j. 170 000 EUR)
V meste Bergen v Nórsku došlo k úniku 35 000 užívateľských mien spolu s heslami zamestnancov a žiakov dvoch škôl z mestského počítačového systému. Vzhľadom na nedostatočné technické a bezpečnostné zabezpečenie systému, sa mohol každý prihlásiť do viacerých informačných systémov školy, a tým získať prístup k rôznym kategóriám osobných údajov týkajúcich sa žiakov a zamestnancov. K uvedenému došlo napriek tomu, že mesto niekoľkokrát upozorňovalo na nedostatočné zabezpečenie systému. Nórsky úrad na ochranu osobných údajov udelil mestu sankciu, ktorej výška bola stanovená najmä s ohľadom na množstvo dotknutých osôb, ako aj na nedostatočné bezpečnostné opatrenia. Úrad posúdil ako priťažujúcu okolnosť, že väčšina dotknutých osôb boli deti.
- Neprimerane dlhá retenčná doba[8] (sankcia 1,2 milióna DKK, t.j. 160 754 EUR)
Dánsky úrad na ochranu osobných údajov odporučil polícii udeliť miestnej taxislužbe pokutu (v Dánsku úrad neudeľuje sankcie priamo, ale s odporúčaním prípad postupuje na rozhodnutie polícii), a to z dôvodu, že taxislužba ako prevádzkovateľ osobných údajov spracovávala osobné údaje svojich zákazníkov neprimerane dlho (5 rokov), pričom tieto by mali byť ihneď po splnení účelu vymazané. Pri stanovení výšky sankcie úrad vychádzal z počtu dotknutých osôb, ktorí vykonali celkovo 9 miliónov objednávok/jázd.
- Nenahlásenie bezpečnostného incidentu[9] (sankcia 61 500 EUR)
Litovský orgán na ochranu osobných údajov udelil pokutu spoločnosti pôsobiacej v oblasti medzinárodných platobných služieb za porušenie článku 5, 32 a 33 GDPR. V rámci spracovania osobných údajov došlo k neoprávnenému sprístupneniu osobných údajov a spoločnosť si ako prevádzkovateľ nesplnila povinnosť nahlásiť porušenie ochrany osobných údajov. Kontrolou bolo zistené, že v dňoch 9. - 10. júl 2018 boli zverejnené všetky platobné transakcie klientov banky. Verejne dostupné boli informácie o viac ako 9.000 platobných transakciách zákazníkov 12 rôznych bánk sveta. V rámci kontroly zároveň orgán dohľadu konštatoval aj porušenie zásady minimalizácie kedy spoločnosť spracovávala oveľa viac osobných údajov ako deklarovala v informačnej povinnosti. Zároveň bolo zistené porušenie stanovenej a deklarovanej retenčnej doby, kedy namiesto uvedených 10 minút boli osobné údaje uchovávané 216 dní. Dozorný orgán pri udeľovaní pokuty zohľadnil vyššie uvedené porušenia, ako aj nedostatočné technické zabezpečenie a pri stanovení výšky pokuty vychádzal z celkového ročného obratu spoločnosti. Rozhodnutie zatiaľ nie je právoplatné.
- Blacklist[10] (sankcia 50 000,- EUR)
Úrad na ochranu osobných údajov v Berlíne uložil jednej z bánk pokutu za porušenie článku 6 GDPR. Podľa dostupných informácií banka spracovávala osobné údaje svojich bývalých zákazníkov s cieľom vytvorenia tzv. Blacklistu, pričom osobám na tomto zozname už v budúcnosti nemala umožniť otvorenie nového bankového účtu. Banka v rámci kontroly argumentovala zavedením nových opatrení proti praniu špinavých peňazí. Ako problém sa však ukázalo, že do vytvoreného Blacklistu banka nezaraďovala len osoby skutočne podozrivé z prania špinavých peňazí, ale všetkých bývalých zákazníkov. Dozorný orgán uvedený postup označil za neprípustný s poukazom na to, že osobné údaje bývalých zákazníkov mali byť po splnení účelu ihneď vymazané. Banka už v uvedenej veci prisľúbila nápravu. Konanie zatiaľ nie je právoplatne skončené.
- Nedostatočné bezpečnostné opatrenia[11] (sankcia 50 000,- EUR)
Viaceré internetové stránky previazané na taliansku politickú stranu Movimento 5 Stelle boli prevádzkované prostredníctvom platformy, ktorej už v roku 2017 Taliansky úrad na ochranu osobných údajov vyčítal nedostatočné technické zabezpečenie a poukazoval na viaceré kybernetické hrozby. Konanie voči prevádzkovateľovi síce začalo ešte v roku 2017, teda pred účinnosťou GDPR, orgán dohľadu pri ukladaní sankcie postupoval už podľa GDPR, a to najmä s poukazom na to, že prevádzkovateľ neimplementoval potrebné zmeny a bezpečnostné opatrenia riadne a včas. Ohrozené mali byť najmä užívateľské kontá a heslá. S ohľadom na vyššie uvedené, úrad udelil prevádzkovateľovi platformy pokutu.
- Monitorovanie verejných priestorov[12] (sankcia 2 200 EUR)
Rakúsky úrad na ochranu osobných údajov udelil pokutu podnikateľovi v Štajersku, ktorý mal pred svojim podnikom nainštalovaný kamerový systém, pomocou ktorého dochádzalo k rozsiahlemu monitorovaniu verejného priestranstva – chodníka. Dôvodom udelenia sankcie, pri výške ktorej úrad vychádzal z ročného obratu prevádzkovateľa, bolo neoznačenie monitorovaných priestorov spolu s nesplnením informačnej povinnosti.
Z prehľadu uvedených prípadov možno dospieť k záveru, že GDPR nie je strašiak. Našou snahou by malo byť poučiť sa z chýb iných, zamerať sa na naše slabé miesta pri spracovaní osobných údajov a vyvinúť maximálne úsilie pri prijímaní technických a bezpečnostných opatrení.
Zuzana Krajčovičová
[1] http://www.europarl.europa.eu/meetdocs/2014_2019/plmrep/COMMITTEES/LIBE/DV/2019/02-25/9_EDPB_report_EN.pdf
[2] Postup podľa článku 33 GDPR
[6] https://www.cnil.fr/en/cnils-restricted-committee-imposes-financial-penalty-50-million-euros-against-google-llc
[7] https://www.datatilsynet.no/en/about-privacy/reports-on-specific-subjects/administrative-fine-of-170.000--imposed-on-bergen-municipality/
[8] https://www.datatilsynet.dk/presse-og-nyheder/nyhedsarkiv/2019/mar/datatilsynet-indstiller-taxaselskab-til-boede-paa-1-2-mio-kr/
[9] https://www.ada.lt/go.php/eng/First-significant-fine-was-imposed-for-the-breaches-of-the-general-data-protection-regulation-in-lithuania/1