Najvyššie pokuty od účinnosti GDPR

Pri príležitosti blížiaceho sa druhého výročia účinnosti nariadenia GDPR sme pre vás pripravili prehľad sumarizujúci najvyššie pokuty GDPR, ktoré boli od jeho účinnosti v rámci Európskej únie prijaté. Okrem súhrnu pokút sa venujeme aj niektorým zaujímavým konaniam, ktoré od účinnosti nariadenia GDPR viedol slovenský Úrad na ochranu osobných údajov pri svojej dozornej činnosti.

Pri zostavovaní štatistík vychádzame z údajov dostupných ku dňu zverejnenia tohto článku online nástrojom Enforcement tracker a v konaniach vedených Úradom na ochranu osobných údajov z poslednej správy o stave ochrany osobných údajov v Slovenskej republike, ktorú vypracúva Úradu na ochranu osobných údajov SR vždy za obdobie od mája do mája príslušného roka. Posledná správa o stave ochrany osobných údajov v Slovenskej republike bola vyhotovená za obdobie od mája 2018 do mája 2019.

Pokuty, ktoré sú dozornými orgánmi naprieč Európskou úniou udeľované, sú udeľované za porušenie najrôznejších povinností, ktoré nariadenia GDPR subjektom spracúvajúcim osobné údaje ukladá.  Medzi najčastejšie porušenia, za ktoré udeľovali dozorné orgány pokuty, patria porušenia zásady zákonnosti spracúvania podľa čl. 6 nariadenia GDPR1. Okrem porušovania zásady zákonnosti je ďalšou často porušovanou povinnosťou aj povinnosť prijať dostatočné technické a organizačné opatrenia na zabezpečenie bezpečnosti spracúvaných osobných údajov.

Kým najčastejšie pokutujúcim dozorným orgánom je španielsky úrad na ochranu osobných údajov, ktorý udelil pokutu v 80 prípadoch, pokuty v najväčšej súhrnnej výške boli udelený britským dozorným orgánom ICO2, v celkovej výške približne 316 miliónov Eur, z toho však približne 315 miliónov Eur tvoria pokuty, ktoré nie ešte nie sú právoplatné, a pravdepodobne budú značne znížené.

gdpr-osobne-udaje-pokuty-2020-securion

Najvyššie (ne)udelené pokuty GDPR

V júni a júli roka 2019 ohlásil ICO zámer udeliť dve vysoké pokuty za porušenie nariadenia GDPR, oba za porušenie čl. 32, ktoré spočívalo v nedostatočnom zabezpečení technických a organizačných opatrení na ochranu spracúvaných osobných údajov prevádzkovateľmi.

Pokuta v prepočte vo výške 205 miliónov eur (183 miliónov libier) mala byť udelená spoločnosti British Airways za incident, pri ktorom prostredníctvom kybernetického útoku boli návštevníci webovej stránky British Airways odkláňaní na falošnú webovú stránku, kde mali zadávať svoje osobné údaje. Približne 500,000 dotknutých osôb bolo týmto bezpečnostným incidentom ovplyvnených.

Zámer udeliť pokutu vo výške približne 110 miliónov eur (99 miliónov libier) ohlásil ICO pre medzinárodnú sieť hotelov Marriott International, Inc. taktiež za nezabezpečenie primeranej bezpečnosti spracúvaných osobných údajov a tiež za nesplnenie povinnosti ohlásiť porušenie ochrany osobných údajov príslušnému dozornému orgánu. Bezpečnostný incident sa týkal približne 340 miliónov hostí z 31 krajín Európskeho hospodárskeho priestoru počas približne dvoch rokov, kedy evidenčné systémy prevádzkovateľa neboli dostatočne zabezpečené a rôzne neoprávnené osoby mali prístup k osobným údajom v nich evidovaných bez toho, aby o tom prevádzkovateľ vedel.

Ako sme však spomenuli v úvode, v týchto prípadoch ICO zverejnil iba zámer udeliť pokuty v uvedených výškach. V súčasnosti stále prebiehajú konania, v ktorom sa jednotlivými prevádzkovatelia obhajujú a všeobecne sa očakáva, že pokuty, ktoré budú nakoniec uložené, budú niekoľko násobne nižšie. Uvedené platí okrem iného aj preto, lebo podľa vlastného usmernenia je ICO povinný pri rozhodovaní o výške pokuty zohľadniť aj prevádzkovateľovu schopnosť výšku v uloženej výške uhradiť, čo môže byť najmä v súčasnej dobe poznačenej koronavírusom problematické.3 Obe konania by mali byť ukončené k 1. júnu tohto roka.

Najvyššia udelená pokuta

Najvyššie udelenou pokutou tak aj naďalej zostava pokuta udelená francúzskym dozorným orgánom CNIL vo výške 50 miliónov Eur spoločnosti Google, LLC za porušenie článkov 5, 6, 13 a 14 nariadenia GDPR. Porušenie spočívalo najmä v nedodržaní zásady transparentnosti spracúvania osobných údajov. Spoločnosť Google, LLC neposkytla dostatočné informácie dotknutým osobám o spracúvaní ich osobných údajov pri vytváraní Google účtov na mobilných telefónoch používajúcich operačný systém Android. Okrem nedostatku informácií udelil dozorný orgán v tomto prípade pokutu aj za porušenie povinností pri získavaní súhlasu dotknutých osôb, ktorý nebol podľa CNIL udelený jednoznačne a jeho formulácia nebola špecifická.

Pri tejto pokute je potrebné poznamenať, že sťažnosti podali v mene dotknutých osôb dve neziskové organizácie z Rakúska a Francúzka 25. a 28. mája 2018, teda ihneď po tom, ako nariadenie GDPR nadobudlo účinnosť.

Najvyššie pokuty uložené Úradom na ochranu osobných údajov SR

Úrad na ochranu osobných údajov spravidla vo svojich stanoviskách neuvádza tak výšku uloženej pokuty, ako ani prevádzkovateľa, ktorému bola pokuta uložená. Svoju kontrolnú činnosti Úrad pravidelne sumarizuje v správe o stave ochrany osobných údajov v Slovenskej republike, ktorú sme spomínali v úvode.

Najvyššou známou pokutou uloženou v Slovenskej republike je pokuta vo výške 50,000,- Eur, ktorú udelil Úrad na ochranu osobných údajov koncom roka 2019 Sociálnej poisťovni, za porušenie čl. 32 nariadenia GDPR. Sociálna poisťovňa v tomto prípade nezabezpečila primeranú úroveň ochrany spracúvaných osobných údajov, keď počas komunikácie s inými zahraničnými orgánmi v oblasti sociálneho zabezpečenia prišlo k strate poštovej zásielky s osobnými údajmi žiadateľa o invalidný dôchodok. Pokuta uložená Sociálnej poisťovni nie je právoplatná, konanie na Úrade na ochranu osobných údajov SR stále prebieha.

Nie vždy však konanie o ochrane osobných údajov, ktoré Úrad na ochranu osobných údajov vedie, skončí uložením pokuty. V závislosti od rozsahu porušenej povinnosti môže Úrad uložiť aj opatrenie na nápravu, ak je to dôvodné a účelné.4.

V zmysle uvedeného z rozhodovacej praxe Úradu na ochranu osobných údajov vyberáme konania o ochrane osobných údajov z roku 2018. Úrad prijal návrh zákonného zástupcu dotknutej osoby (dieťaťa) voči prevádzkovateľovi, ktorý zverejňoval fotografiu dieťaťa na svojej oficiálnej facebookovej stránke. Zákonný zástupca uplatnením práva dotknutej osoby žiadal prevádzkovateľa o výmaz fotografie z internetu, pretože prevádzkovateľ na takéto spracúvanie osobných údajov, podľa tvrdení zákonného zástupcu dotknutej osoby, nedisponoval súhlasom dotknutej osoby alebo iným vhodným právnym základom.

Prevádzkovateľ vybavil žiadosť dotknutej osoby tak, že ju informoval o dôvodoch, pre ktoré fotografiu nemôže vymazať. Úrad v konaní zistil, že prevádzkovateľ uzatváral so zákonnými zástupcami dotknutých osôb písomné zmluvy za účelom poskytovania opatrovateľských služieb detí, prostredníctvom ktorých získaval osobné údaje a zároveň si aj plnil informačnú povinnosť v zmysle čl. 13 a 14 voči dotknutým osobám.

K vyhotoveniu fotografie dotknutej osoby prevádzkovateľom malo prísť počas poskytovania služieb a k jej zverejneniu na základe súhlasu zákonného zástupcu, ktorý bol poskytnutý v tomto jednotlivom prípade počas elektronickej komunikácie. Prevádzkovateľ preukázal, že súhlasy dotknutých osôb (resp. ich zákonných zástupcov) na spracúvanie osobných údajov získava písomne, prostredníctvom e-mailu alebo chatu. Úrad však v tomto prípade zistil, že prevádzkovateľ si voči dotknutej osobe nesplnil informačnú povinnosť v zmysle nariadenia GDPR v dostatočnom rozsahu. Podľa vyjadrenia Úradu na ochranu osobných údajov: „Ak si prevádzkovateľ určil na konkrétne spracovanie osobných údajov právny základ, ktorým je súhlas dotknutej osoby, musí počítať s tým, že dotknutá osoba môže kedykoľvek udelený súhlas odvolať. Ak si prevádzkovateľ určil aj ďalší účel spracúvania, a to preukazovanie, uplatňovanie alebo obhajovanie svojich právnych nárokov, musí si určiť aj vhodný spôsob zabezpečenia uchovania dôkazov pre účely trestnoprávneho alebo civilného konania po nevyhnutnú dobu tak, aby súvisiacim spracúvaním osobných údajov nedochádzalo k porušovaniu zásad v zmysle nariadenia.“

V tomto prípade prevádzkovateľ zverejňoval fotografiu dotknutej osoby naďalej aj po odvolaní súhlasu dotknutej osoby z dôvodu, že táto má slúžiť ako dôkazový materiál pre orgány činné v trestnom konaní. Úrad preto konštatoval porušenie zásady zákonnosti podľa čl. 5 ods. 1 písm. a) nariadenia GDPR, pretože prevádzkovateľ po odvolaní súhlasu so zverejnením osobných údajov a uplatnením žiadosti o jej výmaz fotografiu s podobizňou zverejňoval naďalej, pričom oprávnený záujem prevádzkovateľa na jej ďalšie zverejňovanie na internete neprevážil základné právo dotknutej osoby na ochrane jej osobných údajov.

Úrad v konaní prevádzkovateľovi neuložil nápravné opatrenie vo vzťahu k právnemu základu spracúvania, pretože prevádzkovateľ počas konania zabezpečil výmaz fotografie z internetu a jej spracúvanie len na účely preukazovania, uplatňovania alebo obhajovania svojich právnych nárokov. Úrad však prevádzkovateľovi uložil nápravné opatrenie vo vzťahu k plneniu informačnej povinnosti voči dotknutým osobám.

Druhé konanie, tiež z roku 2018, sa týkalo návrhu dvoch dotknutých osôb voči prevádzkovateľovi, ktorého žiadali o zabezpečenie poskytovania pobytovej sociálnej služby v zmysle príslušných právnych predpisov. Dotknuté osoby mali prevádzkovateľovi v tejto súvislosti poskytnúť svoje osobné údaje na listinných dokumentoch, najmä na žiadosti o zabezpečenie sociálnej služby a k nej potrebných dokladoch. Dotknuté osoby po určitom čase zistili, že tieto listiny sa u prevádzkovateľa nenachádzajú a preto nadobudli podozrenie z porušenia ochrany ich osobných údajov.

V zmysle zásady integrity a dôvernosti podľa čl. 5 ods. 1 písm. f) nariadenia GDPR osobné údaje musia byť spracúvané spôsobom, ktorý zaručuje primeranú bezpečnosť spracúvaných osobných údajov, vrátane ochrany pred neoprávneným alebo nezákonným spracúvaním a náhodnou stratou, zničením alebo poškodením, a to prostredníctvom primeraných technických alebo organizačných opatrení.

Prevádzkovateľ je tiež povinný v zmysle čl. 32 ods. 4 nariadenia GDPR podniknúť kroky na zabezpečenie toho, aby každá fyzická osoba konajúca na základe jeho poverenia, ktorá má prístup k osobným údajom, spracúvala tieto údaje len na základe pokynov prevádzkovateľa.

Úrad v rámci konania zistil, že prevádzkovateľ spracúval osobné údaje dotknutých osôb v listinnej forme vo svojom informačnom systéme v rozsahu a na účel ustanovený osobitným zákonom upravujúcim poskytovanie sociálnych služieb. Osobné údaje spracúval prevádzkovateľ prostredníctvom zamestnancov, u ktorých preukázal, že ich spracúvajú na základe jeho pokynov a zároveň prevádzkovateľ mal pri spracúvaní osobných údajov prijaté primerané bezpečnostné opatrenia, ktoré však v tomto prípade neboli dodržané, v dôsledku porušenia povinností konkrétneho zamestnanca ako oprávnenej osoby pri spracúvaní osobných údajov.

V rámci konania vedeného úradom prevádzkovateľ vo veci vykonal interný audit a prijal nápravné opatrenia, vrátane personálnych voči konkrétnemu zamestnancovi. V tomto prípade tak Úrad konštatoval porušenie čl. 32 nariadenia GDPR – bezpečnosti spracúvaných osobných údajov a s ohľadom na zistené skutočnosti uložil prevádzkovateľovi opatrenia na nápravu zistených nedostatkov.

Aj keď sa v našich podmienkach pokuty ukladané Úradom na ochranu osobných údajov (zatiaľ) ani len nepribližujú pokutám v zahraničí, kvalitnú prípravu, zvyšovanie povedomia o dôležitosti dodržiavania povinností pri spracúvaní osobných údajov vo svojej spoločnosti a pravidelnú aktualizáciu dokumentácie netreba podceňovať.

Nenechajte nič na náhodu a neberte pokuty GDPR na ľahkú váhu. Securion je tu práve na to, aby Vám s uvedenými činnosťami pomohol. Neváhajte nás kontaktovať.

gdpr-na-mieru-securion


  1. V praxi ide najmä o situácie, kedy prevádzkovatelia spracúvajú osobné údaje bez relevantného právneho základu 

  2. skratka anglického termínu Infomation Commissioner´s Office 

  3. Ako uvádzajú usmernenia viacerých dozorných orgánov, uložená pokuta má pôsobiť odstrašujúco a preventívne na iné subjekty, voči samotnému prevádzkovateľovi, ktorému je uložená, však nesmie pôsobiť likvidačne 

  4. Podľa § 102 ods. 3 zákona č. 18/2018 Z. z. o ochrane osobných údajov a o zmene a doplnení niektorých zákonov patrí k týmto opatreniam odstránenie zistených nedostatkov a príčin ich vzniku v určenej lehote, prijatie technických a organizačných opatrení na zaistenie primeranej úrovne bezpečnosti spracúvaných osobných údajov či vykonanie posúdenia vplyvu na ochranu osobných údajov 

Tagy článkov

Autor článku

Odoberajte náš newsletter

Odporúčané články

Potrebujete pomôcť?

Ak potrebujete pomôcť s riešením osobných údajov, neváhajte nás kontaktovať. Radi vám pomôžeme.

Spracúvame vaše osobné údaje za účelom vybavenia vašej požiadavky. Viac info tu.