Pár slov o aktuálnych GDPR pokutách:

  1. V Nemecku udelili dozorné orgány (v jednotlivých spolkových krajinách majú samostatné) dokopy 41 pokút, pričom najvyššia z nich bola 80 000,- eur.
  2. Taliansky úrad udelil svoju prvú pokutu podľa GDPR. Týkala sa nedostatočných bezpečnostných opatrení. Nešlo by o nič výnimočné, keby túto pokutu dostal prevádzkovateľ informačného systému (Controller). Taliansky dozorný orgán však pokutoval sprostredkovateľa (Processor). Prvýkrát sa tak stalo, že za konanie sprostredkovateľa netrpel prevádzkovateľ ako podľa starej legislatívy, ktorá s prevádzkovateľmi nemala zľutovanie a problémy sprostredkovateľa hádzala na plecia prevádzkovateľa, ktorý si ho vybral. Uvedomenie tejto skutočnosti by malo pomôcť zmeniť pohľad subdodávateľov – sprostredkovateľov na bezpečnosť osobných údajov, ako aj na riziká, ktorým sa prípadnou nedôslednosťou vystavujú. Ak ste sprostredkovateľom pre nejakého prevádzkovateľa, tak oboznámenie sa s týmto prípadom je proste nevyhnutnosť.

Viac v blogu Pokuty, pokuty, pokuty…

Pokuty, pokuty, pokuty…

Blížime sa k výročiu účinnosti GDPR a tak namieste je aspoň stručná sumarizácia:

  1. U susedov v Českej republike je miestny úrad pomerne zdielny. Na svojich stránkach zverejňuje celý rad informácií dostupných podľa infozákona. Vďaka tomu vieme, že úrad právoplatne udelil pokuty v rozsahu od 10 do 30 tisíc českých korún a neprávoplatne (stále beží nejaká forma odvolacieho konania) ešte 2 pokuty vo výške 50 a 250 tisíc korún. Celkovo sa tak bavíme o ôsmych pokutách, pričom porušenia sa týkali článkov 5 (4 pokuty), 6 (2 pokuty) a 15 (2 pokuty) GDPR. Prevádzkovatelia tak v Čechách a na Morave majú predbežne najväčšie problémy s právnym základom a s uplatňovaním práv dotknutých osôb.
  2. Na sever od nás bola udelená takmer miliónová pokuta. Keďže však hovoríme o poľskej mene, tak ide “len” o 220 000,- eur. V tomto prípade sa jedná o spoločnosť spracúvajúcu osobné údaje z verejných zdrojov. Porušenie sa malo týkať nesplnenia informačnej povinnosti vo vzťahu k 6 miliónom dotknutých osôb. Argument “stálo by nás to 7 miliónov eur” nepomohol a tak v prípade právoplatnosti rozhodnutia bude prevádzkovateľ platiť pokutu a zároveň tie náklady vytiahne z vrecka tak či tak.
  3. Rovný 1 milión HUF (niečo málo cez 3100,- eur) sa ušiel prevádzkovateľovi v Maďarsku, ktorý obmedzil právo dotknutej osobe vo vzťahu ku kamerovému záznamu. Miestna legislatíva určovala povinnosť dotknutej osoby preukázať oprávnený záujem, no GDPR takúto požiadavku nepozná. Kolíziu noriem vyriešili v prospech GDPR.
  4. Portugalský úrad si zgustol na zdravotníckom zariadení po zistení, že k zdravotným údajom pacientov pristupujú zdravotníci pod fiktívnymi profilmi (aj ex-zamestnancov) a nebol zabezpečená minimalizácia ani proporcionalita. Pokuta 400 tisíc eur chvíľu viedla rebríček GDPR sankcií.
  5. Prekonal ju samozrejme Google s 50 miliónmi eur od francúzskeho úradu CNIL za nedostatočné splnenie informačnej povinnosti, nehovoriac o Facebooku s 500 tisícmi za Cambridge Analytica (ešte spred GDPR) s čím dodnes bojuje.
  6. Ešte pred účinnosťou GDPR neoprávnene obchodovala spoločnosť Bounty Limited (prevádzkovateľ tehotenského/rodičovskeho portálu) s údajmi svojich používateľov. Nezákonné poskytovanie sa týkalo 14 miliónov dotknutých osôb. Práve teraz sa dočkali pokuty, ktorá však napriek predGDPRovej dobe nie je vôbec nízka. Jej výška 400 tisíc libier ukazuje, že komisár v Spojenom kráľovstve ani v minulosti netrpel nedostatkom sankčných kompetencií.
  7. Taliansky úrad udelil svoju prvú pokutu podľa GDPR. Týkala sa nedostatočných bezpečnostných opatrení. Nešlo by o nič výnimočné, keby túto pokutu dostal prevádzkovateľ informačného systému (Controller). Taliansky dozorný orgán však pokutoval sprostredkovateľa (Processor). Prvýkrát sa tak stalo, že za konanie sprostredkovateľa netrpel prevádzkovateľ ako podľa starej legislatívy, ktorá s prevádzkovateľmi nemala zľutovanie a problémy sprostredkovateľa hádzala na plecia prevádzkovateľa, ktorý si ho vybral. Uvedomenie tejto skutočnosti by malo pomôcť zmeniť pohľad subdodávateľov – sprostredkovateľov na bezpečnosť osobných údajov, ako aj na riziká, ktorým sa prípadnou nedôslednosťou vystavujú. Ak ste sprostredkovateľom pre nejakého prevádzkovateľa, tak oboznámenie sa s týmto prípadom je proste nevyhnutnosť.
  8. V Nemecku udelili dozorné orgány (v jednotlivých spolkových krajinách majú samostatné) dokopy 41 pokút, pričom najvyššia z nich bola 80 000,- eur.

Čo ďalej?

Tri veci, ktoré sme sa počas prvého roka o pokutovaní podľa GDPR naučili sú: (a) pokút bude v tomto roku viac (vlaňajšok bol aj pre dozorné orgány len taký warmup a oboznámenie sa s možnosťami GDPR), (b) spolupracujte a dostanete nižší trest (nemecká prax) a na záver (c) pokuty nelietajú v oblakoch (ak si odmyslíme Google).

Pozor na falošných inšpektorov

Vynaliezavosť podvodníkov sa nezastaví pred ničím a imúnnou v tomto prípade nie je ani oblasť ochrany osobných údajov. Dôkazom je aj blog Jozefa Černeka, ktorý ako podnikateľ pôsobí v Komárne. Vo svojom blogu informoval o nezvyčajnej návšteve, ktorú hostil jeden z jeho zamestnancov. Podvodník sa vydával za inšpektora Úradu na ochranu osobných údajov SR a hrozil pokutou vo výške niekoľko tisíc eur za kamerový systém. Duchaprítomný podnikateľ si overil „inšpektora“ aj na samotnom úrade a zistil, že nehovoril pravdu. Vysvitlo, že pseudoinšpektor ponúkal okrem pokuty aj vypracovanie bezpečnostného projektu, čo z neho podľa slov podnikateľa reálne urobilo novodobého výpalníka.

Ako teda rozoznať podvodníka od skutočnej kontroly z Úradu na ochranu osobných údajov SR. V prvom rade, je veľmi nepravdepodobné, že budete prepadnutí inšpekciou bez toho, aby ste to dopredu vedeli. Z úradu dostanete najskôr oznámenie o kontrole, z ktorého sa dozviete nielen dátum, ale aj čas začatia kontroly. Od tohto postupu môže úrad upustiť pokiaľ by dopredu doručené oznámenie o kontrole mohlo viesť k zmareniu účelu kontroly alebo by výkon kontroly podstatne sťažilo. V neposlednom rade je takéto oznámenie o kontrole dôležité aj pre úrad, aby inšpekcia neprišla k prevádzkovateľovi a nenašla tam prázdnu prevádzku a štatutára na dovolenke pri mori. V oznámení o kontrole úrad požiada kontrolovanú osobu aby zabezpečila potrebné dokumenty, ktoré požadujú vidieť a tiež, aby v danom čase bol na miesto kontroly prítomný už spomínaný štatutár alebo osoba oprávnená za neho konať.

Ak by ste predsa dostali neohlásenú kontrolu a neboli ste si istí, či ide skutočne o pracovníkov Úradu na ochranu osobných údajov SR, môžete využiť viacero oprávnení, ktoré dáva kontrolovanej osobe zákon o ochrane osobných údajov. Kontrolovaný prevádzkovateľ informačného systému je oprávnený vyžadovať od kontrolného orgánu preukázanie príslušnosti k úradu. Inšpekcia je na druhej strane zo zákona povinná pred začatím kontroly preukázať sa poverením na vykonanie kontroly. Takéto poverenie je zároveň aj súčasťou kontrolného spisu. Pre vrchného inšpektora ho vydáva a podpisuje predseda úradu, kým pre radových inšpektorov ho podpisuje vrchný inšpektor. Na preukázanie príslušnosti k úradu používajú kontrolóri služobný preukaz.

Okrem týchto dokumentov možno kontrolu z úradu rozlíšiť od osamoteného podvodníka aj tým, že inšpektor nechodí nikdy na kontrolu sám. Sprevádza ho najmenej jeden ďalší pracovník úradu a nie je vylúčené ani viacčlenné zloženie kontrolného tímu. No a v neposlednom rade treba spomenúť aj fakt, že je prakticky nemožné, aby bola prevádzkovateľovi informačného systému uložená pokuta ešte v deň kontroly. Celý proces kontroly a vypracovania kontrolného protokolu, jeho prerokovanie, prípadné námietky a ich zapracovanie až po prerokovanie zápisnice, ktorým sa kontrola končí môže trvať aj pár týždňov. Po skončení kontroly je ešte potrebné ukončiť samotné konanie o ochrane osobných údajov, a až potom sa rozhoduje o uložení pokuty za zistené porušenia zákona.

S týmito informáciami sa už nemôže stať, aby ste sa nechali nachytať podvodníkom.
Nedajte im šancu a poznajte svoje práva!

Slabá ochrana údajov môže odrovnať biznis

Bez ohľadu na to, aká veľká je obchodná spoločnosť či aký podiel na trhu tvorí práve jej kus koláča na grafoch, ochrana osobných údajov je prioritnou podmienkou, najmä keď súčasťou podnikania je aj spracúvanie osobných údajov. O to viac, keď ide o citlivé údaje desiatok tisíc klientov, nehovoriac o prípade, keď klienti sú pacienti a citlivé údaje sú informácie o ich zdravotnom stave. Presvedčila sa o tom aj verejnoprávna korporácia pôsobiaca v zdravotníctve Spojeného kráľovstva NHS trust, ktorá sa po fatálnom zlyhaní v oblasti informačnej bezpečnosti ocitla zoči-voči astronomickej finančnej sankcii nebývalých rozmerov.

Úrad anglického Komisára pre informácie ohodnotil predaj starých pevných diskov s informáciami o zdravotnom stave desiatok tisíc pacientov pokutou vo výške 325 000 LIBIER, čo je takmer 404 000 EUR. Pokuta uložená inštitúciou, ktorá ešte niekoľko rokov dozadu nemala dokonca ani právo finančné sankcie ukladať, presahuje aj možnosti nášho Úradu na ochranu osobných údajov SR , ktorého strop je niekde okolo 332 000 EUR.

Pevné disky mal zničiť dodávateľ IT služieb, ale namiesto zničenia boli predané na eBay. Hoci NHS trust uisťoval komisára, že išlo len o 4 kusy diskov, pol roka po prevalení incidentu sa objavil ďalší disk, ktorý si spolu s dátami trustu zakúpil istý študent.

Tento prípad nie je iba mementom dôležitosti dodržiavania princípov ochrany osobných údajov a dôsledného uplatňovania pravidiel informačnej bezpečnosti, ale aj praktickou ukážkou zodpovednosti prevádzkovateľa informačného systému za konanie či nekonanie sprostredkovateľa, u ktorého outsourcuje určité úkony či služby. Aj v zmysle našej legislatívy zodpovedá v konečnom dôsledku prevádzkovateľ, a preto by mal byť pri výbere sprostredkovateľa obozretný a prihliadať najmä na jeho záruky, pokiaľ ide o opatrenia v oblasti technickej, organizačnej a personálnej bezpečnosti. Je potrebné pamätať aj na to, že prevádzkovateľ nesmie zveriť spracúvanie osobných údajov sprostredkovateľovi, ak by tým mohli byť ohrozené práva a právom chránené záujmy dotknutých osôb.

Toto však nie je koniec prípadu bezpečnostného incidentu v NHS trust a podanie odvolania na seba nenechalo dlho čakať. Nemožno totiž ani len predpokladať, že 404 000 EUR by pokutovaný prevádzkovateľ dobrovoľne zaplatil bez využitia všetkých riadnych či mimoriadnych opravných prostriedkov.

Zdroj: http://www.dailymail.co.uk/health/article-2153285/NHS-trust-fined-record-325-000-auctioning-hard-drives-filled-HIV-patients-details-online.html

Faxovať zdravotné údaje na nesprávne číslo sa nevypláca

Central London Community Healthcare Trust to schytal natvrdo od ICO (UK obdoba nášho Úradu na ochranu osobných údajov), ktorý ocenil ich vážne porušenie zákona o ochrane osobných údajov pokutou 90 000 libier. Počas troch mesiacov totiž zamestnanci Trustu odoslali 45 faxov obsahujúcich citlivé zdravotné údaje až 59 pacientov na nesprávne faxové číslo. Zlyhanie prevádzkovateľa teda spočívalo v nezaručení bezpečnosti osobných údajov spracúvaných v informačnom systéme.

Na Slovensku by takýto nezodpovedný prevádzkovateľ mohol byť sankcionovaný ešte vyššou pokutou, keďže za neprijatie primeraných personálnych, technických a organizačných opatrení môže Úrad na ochranu osobných údajov SR pokutovať v rozmedzí cca 1 666 – 332 000 EUR.

INFO: http://www.guardian.co.uk/government-computing-network/2012/may/21/central-london-community-trust-data-breach-fine-ico

Americké úrady vs. Google alebo čo je za vysokou pokutou

To, že má Google zaplatiť 25 000 dolárov pre neposkytnutie súčinnosti nie je vôbec bombastická správa. Pre giganta s takým celosvetovým obratom ide len o omrvinku. Bez ohľadu na výšku pokuty a dôvody, ktoré viedli Google k nespolupráci s americkými úradmi, je však dôležité niečo úplne iné. Reakcia, resp. dokument, ktorý vyprodukoval ohrdnutý americký úrad, ktorého žiadosti Google ignoroval. Federal Communications Commission vo svojom rozhodnutí o uložení pokuty zosumarizovala celú kauzu zbierania údajov z Wi-Fi komunikácie pri fotografovaní ulíc pre projekt Street View. O zbere dát z Wi-Fi sietí sa veľa hovorilo, ale menej sa o ňom skutočne vie. Z tohto dôvodu je práve tento dokument veľmi zaujímavým čítaním.

Uvádza sa v ňom napríklad nasledovné:
Medzi májom 2007 a májom 2010 spoločnosť Google Inc. (Google alebo spoločnosť) v rámci svojho projektu Street View zhromaždila dáta z Wi-Fi sietí v Spojených štátoch a v iných krajinách sveta. Účelom zberu dát bolo zachytiť informácie o Wi-Fi sieťach, ktoré spoločnosť môže použiť k lokalizácii užívateľov a k poskytovaniu lokalizačných služieb. Google však zbieral aj samotný obsah dát prenášaných skenovanými WI-FI sieťami (obsah internetovej komunikácie), ktoré neboli potrebné pre jeho projekt vytvorenia lokalizačnej databázy. Tieto dáta zahŕňali obsah emailov a textových správ, heslá, históriu používania internetu a ďalšie veľmi citlivé osobné informácie.

Keď európske orgány na ochranu údajov vyšetrovali snahy Google o zber Wi-Fi dát v roku 2010, spoločnosť spočiatku popierala, že zbiera aj obsah prenášaných informácií. Avšak 14. mája 2010, Google verejne priznal, že vykonával „zber vzoriek obsahu dát z otvorených (teda heslom nechránených) Wi-Fi sietí „. Uviedol však, že získal pravdepodobne len fragmenty dát. Google informoval, že za získavaním údajov je kód, ktorý bol „omylom“ zahrnutý do softvéru na zber Wi-Fi dát. Až 22. októbra 2010, Google uznal po prvýkrát, že „v niektorých prípadoch boli zachytené celé emailové správy a URL, rovnako ako aj prístupové heslá. Nakoniec Google poskytol aj dôkazy o tomto svojom konaní, a to Federálnej komunikačnej komisii v USA (Federal Communications Commission alebo Komisia).

Po zistení, že Google zbieral takéto dáta, začala Komisia skúmať, či Google svojím konaním porušil ustanovenia Communications Act z roku 1934, v platnom znení (Communications Act alebo zákon). Na základe tohto počiatočného hodnotenia, v novembri 2010 Enforcement Bureau Komisie (úrad) vydal Letter of Inquiry (LOI), ktorým začal oficiálne vyšetrovanie, či Google zhromažďovaním dát z Wi-Fi sietí porušil zákon. Záznam vytvorený v rámci tohto vyšetrovania obsahuje písomné odpovede Google na otázky úradu, kópie príslušných dokumenty a verejne dostupné informácie. Okrem toho pracovníci úradu vypočuli šesť osôb. Päť zamestnancov Google a jedného zamestnanca konzultačnej firmy, ktorú Google najal na vykonanie analýzu jeho softvéru pre zber Wi-Fi dát. Úrad tiež predvolal na vypočutie inžiniera Google, ktorý vyvinul kód používaný na zhromažďovanie a uchovávanie zozbieraných dát. Prostredníctvom právneho zástupcu, ale tento inžinier odmietol vypovedať s odvolaním sa na piaty dodatok, keďže si nechcel privodiť trestné stíhanie.

Po mnoho mesiacov, Google zámerne narúšal a preťahoval vyšetrovanie úradu tým, že nereagoval na žiadosti o vecné informácie a tým, že neposkytol certifikáciu a overovanie ich odpovedí. Úrad preto skonštatoval, že Google zjavne zámerne a opakovane porušil pokyny Komisie vydať informácie a dokumenty potrebné pre vyšetrovanie. Na základe preverenia faktov a okolností rozhodol úrad, že Google, ako držiteľ licencií vydaných Komisiou (5 aktívnych mobilných rádiolicencií), je zodpovedný za neposkytnutie súčinnosti s pokutou vo výške 25.000 dolárov.

Zároveň na základe podrobnej analýzy vytvoreného záznamu vyšetrovania a aplikovateľného práva, úrad skonštatoval, že nemôže prijať donucovacie opatrenia podľa zákona proti Google pre jej zber Wi-Fi dát. Neexistuje totiž jasný precedens použiteľný pri uplatnení ustanovení Communications Act na prenos dát cez Wi-Fi. Navyše, pretože si inžinier Google uplatnil svoje ústavné právo nevypovedať chrániac sa pred trestným stíhaním, nebolo možné zodpovedať viaceré otázky dôležité pre vyšetrovanie.

Okrem týchto vyjadrení rozvádza americký úrad všetky detaily komunikácie s Google a cituje aj vyjadrenia Google o tom, prečo nechcú alebo nemôžu vyhovieť jeho žiadostiam o informácie. Dozvedáme sa tak napríklad aj to, že svetová jednotka vo vyhľadávaní „nebude vyhľadávať v emailoch a inej komunikácii, lebo by to bola príliš zdĺhavá a zaťažujúca úloha“ .

Vecnej sankcii za zbieranie údajov Google unikol podľa zverejneného rozhodnutia o pokute len vďaka skutočnosti, že nezašifrovaná Wi-Fi komunikácia nepodlieha americkej ochrane elektronicky prepravovaných správ proti odchytávaniu.

Celý dokument je dostupný stránkach FCC a napriek možnosti odvolať sa proti výške pokuty prináša zaujímavé, ale i zábavné čítanie aj pre európske dozorné orgány na ochranu osobných údajov či telekomunikačnej prevádzky.

Pol miliónová pokuta za telemarketing

Telemarketingová spoločnosť AMERICALL z Illinois zaplatí 500 000 USD za porušenie pravidiel telemarketingového predaja z dielne Federal Trade Commission (FTC). Týmito pravidlami boli povinnosť zaradiť žiadateľa do zoznamu nevolaných (OPT-OUT – spotrebitelia, ktorých na základe ich vlastnej žiadosti marketingové spoločnosti neoslovujú), aby neboli neskôr opätovne obťažovaní marketingovými telefonátmi a tiež zákaz kontaktovať spotrebiteľov pod falošným menom. FTC je federálna inštitúcia na ochranu práv spotrebiteľov, ktorá dozerá na obchodné vzťahy so spotrebiteľmi nielen z obchodného pohľadu, ale aj z pohľadu ochrany osobných údajov či pravidiel telekomunikačnej prevádzky. Počas vyšetrovania FTC vyšlo najavo, že manuál pre pracovníkov AMERICALL obsahoval inštrukciu nezaradiť spotrebiteľa do zoznamu nevolaných, napriek jeho výslovnej požiadavke. Zistené bolo aj podvodné konanie pri zobrazovaní CallerID, ktoré podľa telemarketingových pravidiel FTC prikazuje zobraziť ako meno telemarketingovej spoločnosti alebo jej klienta, v mene ktorého v telefonáte vystupuje.

Takýto postup zabezpečil, že účty za telefonovanie sa AMERICALL vďaka polmiliónovej pokute výrazne predražia. Ako sa zdá, vysoké pokuty môžu byť cestou aj pre slovenských regulátorov, aby zabezpečili obdobne efektívny výkon práva spotrebiteľov a dotknutých osôb v prípade ich porušenia.

http://www.ftc.gov/opa/2011/12/americall.shtm