Prvé pokuty podľa GDPR

Aj keď uplynul od nadobudnutia účinnosti GDPR ešte stále iba pomerne krátky čas, jeho nedodržiavanie už má svoje prvé obete. Pokuty už boli udelené aj na území SR.

V rámci celej Európskej únie už prišlo od účinnosti GDPR k udeleniu viacerých pokút za porušenie, prípadne nedodržiavanie ustanovení tohto nariadenia. V článku rozoberáme tieto známe prípady.

Prvé pokuty

Prvé pokuty sme zaevidovali v Portugalsku a v Českej republike. Jednalo sa o porušenia bezpečnostných opatrení zo strany prevádzkovateľov.

Nedostatočné bezpečnostné opatrenia

V júli 2018 udelil Portugalský úrad pre ochranu osobných údajov, v skratke CNPD (ďalej ako „portugalský úrad“), portugalskej nemocnici postupne dve pokuty za porušenie ustanovení GDPR, ktoré spolu dosiahli čiastku 400 000 Eur. Portugalský úrad celé svoje rozhodnutie nezverejnil, a dotknutá nemocnica sa vyjadrila, že sa bude proti rozhodnutiu brániť dostupnými právnymi prostriedkami.

Čo vlastne podľa názoru portugalského úradu nemocnica porušila? Z dostupných zverejnených informácií z priebehu a záverov vyšetrovania vyplýva, že protiprávne konanie nemocnice ako prevádzkovateľa spracúvania osobných údajov spočívalo v tom, že zamestnanci nemocnice, vrátane odborných pracovníkov a lekárov, mali prístup do systému s informáciami pacientov (ktorý obsahoval aj údaje o zdravotnom stave pacientov ako osobitnú kategóriu osobných údajov) prostredníctvom falošných profilov.

Systém riadenia prístupov do tohto informačného systému bol portugalským úradom vyhodnotený ako nedostatočný, okrem iného aj preto, lebo v ňom bolo 985 prístupových profilov, pričom nemocnica zamestnávala iba 296 lekárov. Navyše, išlo o také profily, prostredníctvom ktorých mali ich užívatelia neobmedzený prístup k všetkým údajom pacientov, bez ohľadu na príslušnosť užívateľov k jednotlivým oddeleniam alebo na ich špecializáciu.

Portugalský úrad na základe uvedených zistení zhodnotil, že nemocnica ako prevádzkovateľ spracúvania osobných údajov neprijal dostatočné technické bezpečnostné opatrenia na ochranu osobitnej kategórie osobných údajov pacientov. Za toto bola nemocnici udelená pokuta vo výške 300 000 Eur, zvyšných 100 000 Eur bolo udelených za nezaistenie dôvernosti, integrity, dostupnosti a trvale odolnosti zdravotníckych systémov a služieb.

Nemocnica ako svoju obhajobu uviedla fakt, že využíva informačný systém, ktorý verejným portugalským nemocniciam poskytuje samotné ministerstvo zdravotníctva. Portugalský úrad však rozhodol, že je povinnosťou a teda aj zodpovednosťou nemocnice ako prevádzkovateľa spracúvania osobných údajov zaistiť, aby prijala také bezpečnostné opatrenia, a na ich dodržiavanie používané IT zariadenia, ktoré budú v súlade s GDPR a budú napĺňať požiadavky GDPR.

Na základe vyššie uvedeného môžeme konštatovať, že podceňovanie zodpovednosť prevádzkovateľa za prijatie dostatočných bezpečnostných opatrení sa nemusí vždy vyplatiť.

Prípad Mall

Prípad sa odohral v Českej republike a jeho hlavným aktérom je spoločnosť Internet Malla.s., ktorá prevádzkuje internetový obchod mall.cz. Rovnaká spoločnosť prevádzkuje aj slovenský mall.sk. Český Úrad na ochranu osobných údajov udelil tejto spoločnosti pokutu vo výške 1 a pol milióna českých korún, čo je v prepočte približne 58 000 Eur, aj keď treba poznamenať, že pokuta bola udelená ešte podľa starého českého zákona o ochrane osobných údajov.

Hlavným dôvodom na udelenie tejto pokuty bolo, že spoločnosť nedokázala zabezpečiť osobné údaje – mená, priezviská, e-mailové adresy a heslá do užívateľských účtov viac ako 700 000 svojich zákazníkov, na základe čoho prišlo k úniku týchto osobných údajov a k ich sprístupneniu na portáli uložto.cz.

Treba poznamenať, že tieto osobné údaje boli súčasťou informačného systému spoločnosti a boli zozbieravané približne od roku 2014 do augusta 2017. Spoločnosť vydala už aj oficiálne stanovisko k udelenej pokute, v ktorom okrem iného uvádza, že nespochybňuje zistenia českého úradu a ani samotný únik, a už aj prijala nové bezpečnostné opatrenia. K úniku prišlo prelomením hesiel k databáze, v ktorej boli osobné údaje jej zákazníkov zhromaždené. Keďže sa spoločnosť proti rozhodnutiu českého úradu odvolala, samotný prípad ešte nie je vyriešený.

Český úrad na ochranu osobných údajov je v udeľovaný pokút omnoho „aktívnejší“, ako ten slovenský. Ďalšia pokuta, aj keď s výrazne menšou sumou udelenej pokuty, približne 90 000 českých korún (cca 4000 Eur) bola uložená českej spoločnosti, ktorá rozosielali obchodnú reklamu bez súhlasu jej príjemcov.

Ako je na tom slovenský Úrad na ochranu osobných údajov?

Podľa vyjadrení slovenského Úradu na ochranu osobných údajov z októbra 2018 bolo na Slovensku od účinnosti GDPR začatých viacero kontrol. Zároveň Úrad uvádza, že počet podnetov sa od 25.5.2018, teda od nadobudnutia účinnosti GDPR, zvýšil približne o 1/3. Najčastejšie ide o podnety bývalých zamestnancov alebo nespokojných klientov. Nie je vylúčené, že v mnohých prípadoch ide o formu akejsi odplaty.

Zároveň Úrad dodáva, že prvým dokumentom, ktorý si pýta, keď príde kontrolovať prevádzkovateľa, je záznam o spracovateľských činnostiach a bezpečnostná dokumentácia prevádzkovateľa. Následne kontroluje dodržiavanie GDPR v praxi, teda či prevádzkovateľ skutočne postupuje pri spracúvaní osobných údajov tak, ako tvrdí vo svojej internej dokumentácii.

Navyše, v prípade, ak prevádzkovateľ ako právny základ spracúvania osobných údajov uvádza oprávnený záujem, Úrad sa pýta na test proporcionality (odporúčame ho preto mať písomne zdokumentovaný, pozn. autora).

Pokuty budeme priebežne aktualizovať v ďalších článkoch.

Všetky pokuty v anglickom jazyku nájdete na webovej stránke enforcementracker.com.

 

Máte vzorovú dokumentáciu? Pozrite si naše videoškolenie, ktoré opisuje, čo má obsahovať GDPR dokumentácia:

Odoberajte náš newsletter

Odporúčané články

Potrebujete pomôcť?

Ak potrebujete pomôcť s riešením osobných údajov, neváhajte nás kontaktovať. Radi vám pomôžeme.

Spracúvame vaše osobné údaje za účelom vybavenia vašej požiadavky. Viac info tu.