Norský úřad pro ochranu osobních údajů dal nedávno jasně najevo, že vůči nedodržování nařízení GDPR není lhostejný a udělené pokuty budou více účinné a odrazující než přiměřené.
O tomto tvrzení nás přesvědčil v případě udělení pokuty ve výši 250 mil. Kč norské společnosti Grindr, která provozuje světově nejrozsáhlejší mobilní aplikaci sloužící pro randění jejich uživatelů s menšinovou sexuální orientací.
Společnost s jejich obchodními partnery shromažďovala a sdílela osobní údaje bez řádného souhlasů uživatelů mobilní aplikace. Jednalo se zejména o sdílení jejich polohy, IP adresy, značky, modelu a operačního systému zařízení, které pro aplikaci využívají.
Vyjádření úřadu bylo jednoduché. Způsob uděleného souhlasu „berte nebo nechte být“ nesplňuje nepodmíněnost a dobrovolnost udělení souhlasu, které nařízení vyžaduje. K udělení tak vysoké pokuty také přispěl fakt, že aplikace zpracovává údaje o sexuální orientaci uživatelů, tedy zpracovává zvláštní kategorii osobních údajů, na kterou se vztahují přísnější podmínky jejich zabezpečení. Sdílení těchto informací v kombinaci se sdílením polohy může být pro uživatele nebezpečná.
Tato organizace nejspíše nebude poslední, kterou podobně vysoká pokuta čeká. Norská rada spotřebitelů je připravena bránit subjekty a jednat proti organizacím, které se chovají nezákonně a věří že byl stanoven precedent, který dává Norsku jasnou zprávu.
Vysoké pokuty za porušení podmínek vyjádření souhlasu udělil i český Úřad pro ochranu osobních údajů. Stalo se tak v případě
společnosti zabývající se prodejem ojetých automobilů, která bez souhlasu subjektů, zasílala obchodní sdělení. ÚOOÚ této společnosti udělil pokutu ve výši 6 mil. Kč. Na Slovensku zatím tak vysoké pokuty nepadly.
Nařízení GDPR vstoupilo v platnost 25. května 2018 avšak stále se v praxi setkáváme s mnoha případy, kdy organizace požadují udělení vašeho souhlasu, který pro zpracování nepotřebují nebo si souhlas transparentně nevyžádají. Ne vždy se ovšem jedná o špatně nastavený proces organizace nýbrž o nedostatečné informování pracovníků, kteří jednají protiprávně, aniž by si to uvědomovali. Na druhé straně existuje i mnoho organizací, které si se zněním nařízení poradily velice elegantně a u kterých je možné se inspirovat.
Pokud potřebujete s nastavením procesů souvisejících se zpracováním osobních údajů pomoci, obraťte se na
specializovanou konzultantskou společnost.
Přehled udělených pokut za porušení GDPR v EU
Udělená pokuta společnosti Grindr se ve světovém žebříčku dostala mezi 10 nejvyšších udělených pokut.
Země |
Společnost |
Obor |
Pokuta |
Velká Británie | British Airways | Letecký dopravce | €204 600 000 |
Francie | Google | Internetový gigant | €50 000 000 |
Itálie | TIM SpA | Telekomunikační operátor | €27 802 946 |
Chorvatsko |
neuvedeno | Banka | €20 000 000 |
Rakousko | Austrian Post | Poštovní služby | €18 000 000 |
Německo | Deutsche Wohnen | Nemovitosti | €14 500 000 |
Švédsko | Google | Internetový gigant | €7 000 000 |
Bulharsko | National Revenue Agency | Daňový orgán | €2 600 000 |
Nizozemí | UWV | Pojišťovna | €900 000 |
Polsko | morele.net | Online prodejce | €645 000 |
Belgie | Google | Internetový gigant | €600 000 |
Portugalsko |
neuvedeno | Nemocnice | €400 000 |
Španělsko | La Liga | Fotbalová asociace | €250 000 |
Řecko | OTE | Telekomunikační operátor | €200 000 |
Norsko | Oslo Municipal Education Department | Školství | €200 000 |
Dánsko | IDdesign | Prodej nábytku | €180 000 |
Rumunsko | Raiffeisen Bank | Banka | €150 000 |
Přehled nejvyšších udělených pokut je aktuální ke dni 1. 12. 2020 a byl v této podobě prezentovaný na bezplatném webináři „GDPR: Jaká je aktuální situace a co můžeme očekávat?“ pro zákazníky
AEC Security Academy.
|
Gabriela Halámka Slámová Security Specialist Risk & Compliance Division AEC a.s.
|
Zdroje:
https://www.nytimes.com/2021/01/25/business/grindr-gdpr-privacy-fine.html
https://www.uoou.cz/uoou-ulozil-nejvyssi-pokutu-za-nbsp-spam-ve-nbsp-sve-historii/d-45143