Pár slov o aktuálnych GDPR pokutách:

  1. V Nemecku udelili dozorné orgány (v jednotlivých spolkových krajinách majú samostatné) dokopy 41 pokút, pričom najvyššia z nich bola 80 000,- eur.
  2. Taliansky úrad udelil svoju prvú pokutu podľa GDPR. Týkala sa nedostatočných bezpečnostných opatrení. Nešlo by o nič výnimočné, keby túto pokutu dostal prevádzkovateľ informačného systému (Controller). Taliansky dozorný orgán však pokutoval sprostredkovateľa (Processor). Prvýkrát sa tak stalo, že za konanie sprostredkovateľa netrpel prevádzkovateľ ako podľa starej legislatívy, ktorá s prevádzkovateľmi nemala zľutovanie a problémy sprostredkovateľa hádzala na plecia prevádzkovateľa, ktorý si ho vybral. Uvedomenie tejto skutočnosti by malo pomôcť zmeniť pohľad subdodávateľov – sprostredkovateľov na bezpečnosť osobných údajov, ako aj na riziká, ktorým sa prípadnou nedôslednosťou vystavujú. Ak ste sprostredkovateľom pre nejakého prevádzkovateľa, tak oboznámenie sa s týmto prípadom je proste nevyhnutnosť.

Viac v blogu Pokuty, pokuty, pokuty…

Pokuty, pokuty, pokuty…

Blížime sa k výročiu účinnosti GDPR a tak namieste je aspoň stručná sumarizácia:

  1. U susedov v Českej republike je miestny úrad pomerne zdielny. Na svojich stránkach zverejňuje celý rad informácií dostupných podľa infozákona. Vďaka tomu vieme, že úrad právoplatne udelil pokuty v rozsahu od 10 do 30 tisíc českých korún a neprávoplatne (stále beží nejaká forma odvolacieho konania) ešte 2 pokuty vo výške 50 a 250 tisíc korún. Celkovo sa tak bavíme o ôsmych pokutách, pričom porušenia sa týkali článkov 5 (4 pokuty), 6 (2 pokuty) a 15 (2 pokuty) GDPR. Prevádzkovatelia tak v Čechách a na Morave majú predbežne najväčšie problémy s právnym základom a s uplatňovaním práv dotknutých osôb.
  2. Na sever od nás bola udelená takmer miliónová pokuta. Keďže však hovoríme o poľskej mene, tak ide “len” o 220 000,- eur. V tomto prípade sa jedná o spoločnosť spracúvajúcu osobné údaje z verejných zdrojov. Porušenie sa malo týkať nesplnenia informačnej povinnosti vo vzťahu k 6 miliónom dotknutých osôb. Argument “stálo by nás to 7 miliónov eur” nepomohol a tak v prípade právoplatnosti rozhodnutia bude prevádzkovateľ platiť pokutu a zároveň tie náklady vytiahne z vrecka tak či tak.
  3. Rovný 1 milión HUF (niečo málo cez 3100,- eur) sa ušiel prevádzkovateľovi v Maďarsku, ktorý obmedzil právo dotknutej osobe vo vzťahu ku kamerovému záznamu. Miestna legislatíva určovala povinnosť dotknutej osoby preukázať oprávnený záujem, no GDPR takúto požiadavku nepozná. Kolíziu noriem vyriešili v prospech GDPR.
  4. Portugalský úrad si zgustol na zdravotníckom zariadení po zistení, že k zdravotným údajom pacientov pristupujú zdravotníci pod fiktívnymi profilmi (aj ex-zamestnancov) a nebol zabezpečená minimalizácia ani proporcionalita. Pokuta 400 tisíc eur chvíľu viedla rebríček GDPR sankcií.
  5. Prekonal ju samozrejme Google s 50 miliónmi eur od francúzskeho úradu CNIL za nedostatočné splnenie informačnej povinnosti, nehovoriac o Facebooku s 500 tisícmi za Cambridge Analytica (ešte spred GDPR) s čím dodnes bojuje.
  6. Ešte pred účinnosťou GDPR neoprávnene obchodovala spoločnosť Bounty Limited (prevádzkovateľ tehotenského/rodičovskeho portálu) s údajmi svojich používateľov. Nezákonné poskytovanie sa týkalo 14 miliónov dotknutých osôb. Práve teraz sa dočkali pokuty, ktorá však napriek predGDPRovej dobe nie je vôbec nízka. Jej výška 400 tisíc libier ukazuje, že komisár v Spojenom kráľovstve ani v minulosti netrpel nedostatkom sankčných kompetencií.
  7. Taliansky úrad udelil svoju prvú pokutu podľa GDPR. Týkala sa nedostatočných bezpečnostných opatrení. Nešlo by o nič výnimočné, keby túto pokutu dostal prevádzkovateľ informačného systému (Controller). Taliansky dozorný orgán však pokutoval sprostredkovateľa (Processor). Prvýkrát sa tak stalo, že za konanie sprostredkovateľa netrpel prevádzkovateľ ako podľa starej legislatívy, ktorá s prevádzkovateľmi nemala zľutovanie a problémy sprostredkovateľa hádzala na plecia prevádzkovateľa, ktorý si ho vybral. Uvedomenie tejto skutočnosti by malo pomôcť zmeniť pohľad subdodávateľov – sprostredkovateľov na bezpečnosť osobných údajov, ako aj na riziká, ktorým sa prípadnou nedôslednosťou vystavujú. Ak ste sprostredkovateľom pre nejakého prevádzkovateľa, tak oboznámenie sa s týmto prípadom je proste nevyhnutnosť.
  8. V Nemecku udelili dozorné orgány (v jednotlivých spolkových krajinách majú samostatné) dokopy 41 pokút, pričom najvyššia z nich bola 80 000,- eur.

Čo ďalej?

Tri veci, ktoré sme sa počas prvého roka o pokutovaní podľa GDPR naučili sú: (a) pokút bude v tomto roku viac (vlaňajšok bol aj pre dozorné orgány len taký warmup a oboznámenie sa s možnosťami GDPR), (b) spolupracujte a dostanete nižší trest (nemecká prax) a na záver (c) pokuty nelietajú v oblakoch (ak si odmyslíme Google).