Analýza ukázala prekvapujúce výsledky týkajúce sa bezpečnosti spracúvania osobných údajov poskytovateľmi hotelových služieb. Spoločnosť Symantec preskúmala 1500 hotelových zariadení a zistila, že takmer 70 percent z nich si s ochranou údajov nerobí ťažkú hlavu. A to máme v ešte nedávnej pamäti incident siete Marriot, ktorej hackeri ukradli dáta takmer 383 miliónov hostí.

Náš domovský Úrad na ochranu osobných údajov SR vypracoval a zverejnil zoznam spracovateľských operácií, ktoré podliehajú požiadavke na posúdenie vplyvu na ochranu osobných údajov podľa čl. 35 ods. 4 GDPR. Stalo sa to cca pred mesiacom a v prípade, že vám táto informácia unikla, odporúčame tento zoznam do pozornosti. Jedná sa o také spracúvanie, ktoré automaticky znamená povinnosť prevádzkovateľa vykonanie posúdenia vplyvu na ochranu osobných údajov. Z celkovo 13 bodov určite neprehliadnite monitoring práce zamestnanca, profilovanie či biometriu.

Ohľadom spracúvania osobných údajov pri príležitosti volieb do Európskeho parlamentu, ale aj iných volieb sa vyjadril Európsky výbor pre ochranu údajov vo svojom Vyhlásení 2/2019 o používaní osobných údajov v priebehu politických kampaní.

„Politické strany, politické koalície a kandidáti sa čoraz viac spoliehajú na osobné údaje a sofistikované techniky profilovania s cieľom monitorovať voličov a mienkotvorcov a zamerať sa na ne. V praxi jednotlivci dostávajú vysoko personalizované správy a informácie, najmä na platformách sociálnych médií, na základe osobných záujmov, životných návykov a hodnôt.“

Hlavným odkazom EDPB je to, že:

  1. informácie o politických preferenciách sú proste citlivými údajmi a prevádzkovateľ potrebuje explicitný, špecifický, plne informovaný a slobodne udelený súhlas;
  2. všetko čo zdieľajú voliči na sociálnych sieťach je chránené podľa GDPR;
  3. dodržiavanie zásad spracúvania je nevyhnutnosť (v EDPB vypichli najmä zákonnosť, spravodlivosť a transparentnosť);
  4. automatizované rozhodovanie a profilovanie je prípustné iba s výslovným súhlasom dotknutej osoby;
  5. voliči musia vedieť prečo prijímajú konkrétnu správu, kto je za jej odoslanie zodpovedný a ako môžu vykonávať svoje práva dotknutých osôb.

Súdne rozhodnutie z Nemecka prinieslo pár zaujímavých poznatkov o monitorovaní firemných automobilov podľa GDPR: (a) musí na to existovať sakramentsky dobrý dôvod (nehovoriac o permanentnom monitorovaní aj počas privátnej prevádzky), (b) ukladanie dát nesmie presiahnuť 150 dní, monitorovanie musí byť deaktivovateľné a musí existovať možnosť vidieť iba autá bez identifikácie šoférov, (c) súhlas nemusí byť dostatočným právnym základom.

Máte doma reproduktor Echo od Amazonu? Virtuálny asistent Alexa nemusí byť jediný, kto vás počúva. Podľa informácií Bloombergu zamestnáva Amazon tisíce zamestnancov, ktorí počúvajú nahrávky z Echa 9 hodín denne. O tomto projekte museli podpísať dohodu o mlčanlivosti, napriek tomu dvaja z nich povedali reportérom, že počuli niečo čo identifikovali ako sexuálne násilie.

Pokuty, pokuty, pokuty…

Blížime sa k výročiu účinnosti GDPR a tak namieste je aspoň stručná sumarizácia:

  1. U susedov v Českej republike je miestny úrad pomerne zdielny. Na svojich stránkach zverejňuje celý rad informácií dostupných podľa infozákona. Vďaka tomu vieme, že úrad právoplatne udelil pokuty v rozsahu od 10 do 30 tisíc českých korún a neprávoplatne (stále beží nejaká forma odvolacieho konania) ešte 2 pokuty vo výške 50 a 250 tisíc korún. Celkovo sa tak bavíme o ôsmych pokutách, pričom porušenia sa týkali článkov 5 (4 pokuty), 6 (2 pokuty) a 15 (2 pokuty) GDPR. Prevádzkovatelia tak v Čechách a na Morave majú predbežne najväčšie problémy s právnym základom a s uplatňovaním práv dotknutých osôb.
  2. Na sever od nás bola udelená takmer miliónová pokuta. Keďže však hovoríme o poľskej mene, tak ide “len” o 220 000,- eur. V tomto prípade sa jedná o spoločnosť spracúvajúcu osobné údaje z verejných zdrojov. Porušenie sa malo týkať nesplnenia informačnej povinnosti vo vzťahu k 6 miliónom dotknutých osôb. Argument “stálo by nás to 7 miliónov eur” nepomohol a tak v prípade právoplatnosti rozhodnutia bude prevádzkovateľ platiť pokutu a zároveň tie náklady vytiahne z vrecka tak či tak.
  3. Rovný 1 milión HUF (niečo málo cez 3100,- eur) sa ušiel prevádzkovateľovi v Maďarsku, ktorý obmedzil právo dotknutej osobe vo vzťahu ku kamerovému záznamu. Miestna legislatíva určovala povinnosť dotknutej osoby preukázať oprávnený záujem, no GDPR takúto požiadavku nepozná. Kolíziu noriem vyriešili v prospech GDPR.
  4. Portugalský úrad si zgustol na zdravotníckom zariadení po zistení, že k zdravotným údajom pacientov pristupujú zdravotníci pod fiktívnymi profilmi (aj ex-zamestnancov) a nebol zabezpečená minimalizácia ani proporcionalita. Pokuta 400 tisíc eur chvíľu viedla rebríček GDPR sankcií.
  5. Prekonal ju samozrejme Google s 50 miliónmi eur od francúzskeho úradu CNIL za nedostatočné splnenie informačnej povinnosti, nehovoriac o Facebooku s 500 tisícmi za Cambridge Analytica (ešte spred GDPR) s čím dodnes bojuje.
  6. Ešte pred účinnosťou GDPR neoprávnene obchodovala spoločnosť Bounty Limited (prevádzkovateľ tehotenského/rodičovskeho portálu) s údajmi svojich používateľov. Nezákonné poskytovanie sa týkalo 14 miliónov dotknutých osôb. Práve teraz sa dočkali pokuty, ktorá však napriek predGDPRovej dobe nie je vôbec nízka. Jej výška 400 tisíc libier ukazuje, že komisár v Spojenom kráľovstve ani v minulosti netrpel nedostatkom sankčných kompetencií.
  7. Taliansky úrad udelil svoju prvú pokutu podľa GDPR. Týkala sa nedostatočných bezpečnostných opatrení. Nešlo by o nič výnimočné, keby túto pokutu dostal prevádzkovateľ informačného systému (Controller). Taliansky dozorný orgán však pokutoval sprostredkovateľa (Processor). Prvýkrát sa tak stalo, že za konanie sprostredkovateľa netrpel prevádzkovateľ ako podľa starej legislatívy, ktorá s prevádzkovateľmi nemala zľutovanie a problémy sprostredkovateľa hádzala na plecia prevádzkovateľa, ktorý si ho vybral. Uvedomenie tejto skutočnosti by malo pomôcť zmeniť pohľad subdodávateľov – sprostredkovateľov na bezpečnosť osobných údajov, ako aj na riziká, ktorým sa prípadnou nedôslednosťou vystavujú. Ak ste sprostredkovateľom pre nejakého prevádzkovateľa, tak oboznámenie sa s týmto prípadom je proste nevyhnutnosť.
  8. V Nemecku udelili dozorné orgány (v jednotlivých spolkových krajinách majú samostatné) dokopy 41 pokút, pričom najvyššia z nich bola 80 000,- eur.

Čo ďalej?

Tri veci, ktoré sme sa počas prvého roka o pokutovaní podľa GDPR naučili sú: (a) pokút bude v tomto roku viac (vlaňajšok bol aj pre dozorné orgány len taký warmup a oboznámenie sa s možnosťami GDPR), (b) spolupracujte a dostanete nižší trest (nemecká prax) a na záver (c) pokuty nelietajú v oblakoch (ak si odmyslíme Google).

Aplikácie tretích strán zbierali na Facebooku informácie a ich databázy boli uverejnené na internete. Ide o dve firmy – Culture Colectiva z Mexika, ktorá disponuje 540 miliónmi údajov vrátane komentárov, lajkov, reakcií, mien používateľov a ďalších informácií, ktoré sa dajú zneužiť na reklamné účely.

Zdroj: Techbox, UpGuard