S pokutami sa roztrhlo vrece

15. jul 2019

Viac ako rok po zavedení GDPR pribúda stále viac a viac správ o uložených pokutách za porušenie ochrany osobných údajov. Správy o miliónových pokutách prichádzajú hlavne zo zahraničia. 

Najvyššiu uloženú pokutu v Európskej únií vo výške 50 miliónov EUR dostal od francúzskeho úradu na ochranu osobných údajov internetový gigant GOOGLE. Úrad konštatoval, že bola porušená informačná povinnosť voči používateľom jeho služieb. Informovanie o spracovaní osobných údajov bolo nedostatočné a nebolo ľahko prístupné. Informácie boli roztrúsené vo viacerých dokumentoch bez nejakej nadväznosti. Kvôli nedostatočnej informovanosti boli neplatné aj súhlasy s prispôsobovaním reklám.  Súhlas mal byť daný neplatne aj preto, lebo bol udelený prostredníctvom vopred označeného nástroja, a tiež preto, lebo súhlas mohol byť daný len súhrnne na všetky v ňom uvedené spracovateľské operácie bez možnosti vyňať niektoré operácie.

Vysokú pokutu 400.000 EUR dostala aj nemocnica v Portugalsku, ktorá pochybila pri zabezpečení osobných údajov. Nedostatočným zabezpečením sa k údajom o pacientoch dostali aj zamestnanci, ktorí k ním nemali mať prístup. Bolo vytvorených viac falošných používateľských profilov, cez ktoré boli zneužívané dáta o pacientoch. Zároveň nemocnica odignorovala zavedenie základných bezpečnostných pravidiel potrebných pre ochranu osobných údajov pacientov.

Pokuty padli aj v susednom Rakúsku a Poľsku. Pokutu 220.000 EUR udelil poľský úrad na ochranu osobných údajov spoločnosti zaoberajúcej sa poskytovaním podnikateľských informácií. Spoločnosť  získala osobné údaje o podnikateľoch a štatutároch firiem z verejne dostupných zdrojov a registrov. Zabudla ale o tom informovať dotknuté osoby, ktorých bolo viac ako 6 miliónov. V Rakúsku padla pokuta za neoprávnené monitorovanie verejného priestoru. Podnikateľ si nainštaloval kameru pred svoj podnik s tým, že si  chcel chrániť svoj majetok. Kamera ale zaznamenávala aj chodník pred jeho podnikom. Monitorovanie tohto priestoru podnikateľ neoznačil, čím bola porušená podmienka transparentnosti.

Vysokým pokutám čelia aj spoločnosti British Airways (204 miliónov EUR) a hotelová spoločnosť Marriott (99 miliónov EUR). V oboch prípadoch za to môže únik zákazníckych dát.

Najväčšia pokuta ale bola udelená mimo Európsku úniu. Dostal ju Facebook za porušenie ochrany súkromia. Jedná sa o známu medializovanú aféru, keď Facebook poskytol údaje o svojich používateľoch spoločnosti Cambridge Analytica. Tá ich následne zneužila pre volebnú kampaň Donalda Trumpa. Pokuta dosiahla výšku takmer 5 miliárd dolárov.

A čo Slovensko? Podľa oficiálnych zdrojov zatiaľ veľké pokuty udelené neboli. Z neoficiálnych overených zdrojov máme informáciu, že bola už udelená pokuta vo výške 30.000 EUR. Pokutu dostala spoločnosť za nesprávne adresovanie mailu, ktorý bol omylom aj s osobnými údajmi odoslaný na inú mailovú adresu ako mala byť. Firma si svoje pochybenie nepripustila a neinformovala o tom ani dotknutú osobu. Tá sa to dozvedala až po viacerých urgenciách na nedoručenie mailu.

Z uvedených príkladov vidieť, že podceňovať zavedenie GDPR sa vôbec neoplatí. Pozor si treba dávať hlavne na bezpečnosť osobných údajov, a na jasné a transparentné informovanie dotknutých osôb o ich spracovaní.

RNDr. Daniel Schikor, SOMI Systems a.s.