První GDPR pokuty

Nařízení Evropského parlamentu a Rady (EU) č. 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů (dále jen „GDPR“) je účinné již několik měsíců (konkrétně od 25. května 2018). V článku níže se podíváme na některé první pokuty uložené dozorovými úřady podle GDPR. Zajímavé případy z praxe pocházejí z Rakouska, Portugalska, Polska, Francie a Německa.

Kamerový systém v Rakousku

Za provoz kamerového systému způsobem neodpovídajícím GDPR dostal pokutu rakouský podnikatel, který kamerou umístěnou před svou provozovnou monitoroval i podstatnou část chodníku.

Podle rakouského úřadu (Österreichische Datenschutzbehörde) nemá podnikatel podle GDPR oprávněný zájem na tom, aby monitoroval veřejná prostranství. Dozorový úřad uložil podnikateli pokutu ve výši 4.800 EUR.

Portugalská nemocnice nedostatečně chránila data pacientů

Portugalský úřad na ochranu osobních údajů (Comissão Nacional de Protecção de Dados) udělil pokutu ve výši 400.000 EUR nemocnici za porušení GDPR. Úřad zjistil, že

• v informačním systému, který nemocnice používá, bylo vytvořeno 985 aktivních účtu pro lékaře (za účelem přístupu k zdravotní dokumentaci pacientů), avšak v nemocnici pracovalo jen 296 lékařů,
  
• každý lékař měl přístup ke všem souborů jakéhokoliv pacienta, bez ohledu na specializaci daného lékaře.
  

Dozorový úřad konstatoval porušení zásady minimalizace údajů (čl. 5 odst. 1 písm. c) GDPR), nedostatečné zabezpečení osobních údajů (čl. 5 odst. 1 písm. f) GDPR) a porušení povinnosti přijmout přiměřená dostatečná technická a organizační opatření s cílem zajistit neustálou důvěrnost, integritu, dostupnost a odolnost systémů a služeb zpracování (čl. 32 odst. 1 písm. b) GDPR).

Polská společnost neinformovala 6 milionů subjektů údajů

Polský úřad na ochranu osobních údajů (Urząd Ochrony Danych Osobowych) udělil pokutu ve výši 220.000 EUR společnosti Bisnode, jelikož nedodržela svou povinnost stanovenou čl. 14 GDPR. Uvedený článek GDPR upravuje informační povinnost správce osobních údajů. Dle daného článku musí správce, který nezískal osobní údaje přímo od subjektu údajů, poskytnout subjektu údajů základní informace o zpracování, tedy např.

• totožnost a kontaktní údaje správce a případně jeho zástupce,
• případně kontaktní údaje případného pověřence pro ochranu osobních údajů,
• účely zpracování, pro které jsou osobní údaje určeny, a právní základ pro zpracování,
• kategorie dotčených osobních údajů,
• případné příjemce nebo kategorie příjemců osobních údajů,
• případný záměr správce předat osobní údaje příjemci ve třetí zemi nebo mezinárodní organizaci.

Společnost zpracovávala data více než 6 milionů polských občanů. Data získala z veřejného rejstříku. Společnost umístila informace o zpracování daných osobních údajů na své webové stránky a přímo informovala 90.000 subjektů údajů (z toho 12.000 podalo proti zpracování námitku). Dalších více než 6 milionů subjektů údajů společnost přímo neinformovala s poukazem na to, že by takový krok vyžadoval vysoké náklady. Dozorový úřad argumentaci společnosti neakceptoval.

50 mil. pokuta pro Google

50 mil. pokuta byla udělena Google ze strany francouzského úřad pro ochranu osobních údajů (Commission Nationale de l'Informatique et des Libertés). Úřad společnosti Google vyčetl, že:

• nesplnila dostatečně informační povinnost (informace nebyly lehce přístupné, byly nekompaktně roztroušeny v několika samostatných dokumentech; některé informace nebyly vysvětleny dostatečně jasně a srozumitelně),
  
• souhlasy subjektů údajů s personalizací reklam nebyly platné (právě kvůli problematické transparentnosti a informovanosti subjektu údajů).

Blíže viz tiskovou zprávu francouzského dozorového úřadu (v angličtině): The CNIL’s restricted committee imposes a financial penalty of 50 Million euros against GOOGLE LLC.

20.000 EUR za hesla v plain textu

Po hackerském útoku na společnost Knuddels provozující chatovací aplikaci, bylo přibližně 808.000 e-mailových adres a hesel kompromitováno. Společnost oznámila porušení zabezpečení osobních údajů jak subjektům údajů, tak příslušnému dozorovému úřadu. Společnost dostatečně nechránila e-mailové adresy a hesla svých uživatelů. Hesla uživatelů uchovávala v plain textu. Společnosti byla udělena pokuta ve výši 20.000 EUR.