Padla další rekordní pokuta za porušení GDPR
27.01.2021
Padla další rekordní pokuta za porušení GDPR

Norský úřad pro ochranu osobních údajů dal nedávno jasně najevo, že vůči nedodržování nařízení GDPR není lhostejný a udělené pokuty budou více účinné a odrazující než přiměřené.

O tomto tvrzení nás přesvědčil v případě udělení pokuty ve výši 250 mil. Kč norské společnosti Grindr, která provozuje světově nejrozsáhlejší mobilní aplikaci sloužící pro randění jejich uživatelů s menšinovou sexuální orientací.

Společnost s jejich obchodními partnery shromažďovala a sdílela osobní údaje bez řádného souhlasů uživatelů mobilní aplikace. Jednalo se zejména o sdílení jejich polohy, IP adresy, značky, modelu a operačního systému zařízení, které pro aplikaci využívají.

AEC GDPR 

Vyjádření úřadu bylo jednoduché. Způsob uděleného souhlasu „berte nebo nechte být“ nesplňuje nepodmíněnost a dobrovolnost udělení souhlasu, které nařízení vyžaduje. K udělení tak vysoké pokuty také přispěl fakt, že aplikace zpracovává údaje o sexuální orientaci uživatelů, tedy zpracovává zvláštní kategorii osobních údajů, na kterou se vztahují přísnější podmínky jejich zabezpečení. Sdílení těchto informací v kombinaci se sdílením polohy může být pro uživatele nebezpečná.

Tato organizace nejspíše nebude poslední, kterou podobně vysoká pokuta čeká. Norská rada spotřebitelů je připravena bránit subjekty a jednat proti organizacím, které se chovají nezákonně a věří že byl stanoven precedent, který dává Norsku jasnou zprávu.

Vysoké pokuty za porušení podmínek vyjádření souhlasu udělil i český Úřad pro ochranu osobních údajů. Stalo se tak v případě společnosti zabývající se prodejem ojetých automobilů, která bez souhlasu subjektů, zasílala obchodní sdělení. ÚOOÚ této společnosti udělil pokutu ve výši 6 mil. Kč. Na Slovensku zatím tak vysoké pokuty nepadly.

Nařízení GDPR vstoupilo v platnost 25. května 2018 avšak stále se v praxi setkáváme s mnoha případy, kdy organizace požadují udělení vašeho souhlasu, který pro zpracování nepotřebují nebo si souhlas transparentně nevyžádají. Ne vždy se ovšem jedná o špatně nastavený proces organizace nýbrž o nedostatečné informování pracovníků, kteří jednají protiprávně, aniž by si to uvědomovali. Na druhé straně existuje i mnoho organizací, které si se zněním nařízení poradily velice elegantně a u kterých je možné se inspirovat.

Pokud potřebujete s nastavením procesů souvisejících se zpracováním osobních údajů pomoci, obraťte se na specializovanou konzultantskou společnost.

Přehled udělených pokut za porušení GDPR v EU

Udělená pokuta společnosti Grindr se ve světovém žebříčku dostala mezi 10 nejvyšších udělených pokut.

Země Společnost Obor Pokuta
Velká BritánieBritish AirwaysLetecký dopravce€204 600 000
FrancieGoogleInternetový gigant€50 000 000
ItálieTIM SpATelekomunikační operátor€27 802 946
Chorvatsko neuvedenoBanka€20 000 000
RakouskoAustrian PostPoštovní služby€18 000 000
NěmeckoDeutsche WohnenNemovitosti€14 500 000
ŠvédskoGoogleInternetový gigant€7 000 000
BulharskoNational Revenue AgencyDaňový orgán€2 600 000
NizozemíUWVPojišťovna€900 000
Polskomorele.netOnline prodejce€645 000
BelgieGoogleInternetový gigant€600 000
Portugalsko neuvedenoNemocnice€400 000
ŠpanělskoLa LigaFotbalová asociace€250 000
ŘeckoOTETelekomunikační operátor€200 000
NorskoOslo Municipal Education Department Školství€200 000
DánskoIDdesignProdej nábytku€180 000
RumunskoRaiffeisen BankBanka€150 000

Přehled nejvyšších udělených pokut je aktuální ke dni 1. 12. 2020 a byl v této podobě prezentovaný na bezplatném webináři „GDPR: Jaká je aktuální situace a co můžeme očekávat?“ pro zákazníky AEC Security Academy.

 

Václav Stoffer, Cyber Defense Center, AEC


Gabriela Halámka Slámová
Security Specialist
Risk & Compliance Division
AEC a.s.

security is our DNA 

Zdroje:

https://www.nytimes.com/2021/01/25/business/grindr-gdpr-privacy-fine.html
https://www.uoou.cz/uoou-ulozil-nejvyssi-pokutu-za-nbsp-spam-ve-nbsp-sve-historii/d-45143