8.2.2019
ID: 4384upozornenie pre užívateľov

Prvé pokuty za porušenie GDPR sú na svete

Pol roka po nadobudnutí účinnosti GDPR (General Data Protection Regulation) boli v Portugalsku a Francúzsku uložené prvé pokuty za porušenie nariadenia. Sankcionovanými subjektami sú poskytovateľ zdravotnej starostlivosti a spoločnosť Google LLC. Keďže GDPR predpokladá zjednocovanie postupov úradov na ochranu osobných údajov naprieč EÚ, tieto rozhodnutia sú relevantné aj v slovenských podmienkach. Nižšie uvádzame pár zaujímavostí a odporúčaní, ktoré je možné na ich základe vyvodiť:


Dvořák Hager Partners SK

Rozhodnutie vo veci Google LLC

Francúzsky úrad na ochranu osobných údajov uložil 21. januára 2019 pokutu 50 miliónov EUR americkému IT gigantovi Google LLC. Konanie bolo začaté na základe podnetu združení zastupujúcich približne 10.000 dotknutých osôb. Vytýkané nedostatky zahŕňali:

Nedostatočná transparentnosť a informovanie

Úrad konštatoval, že informačná povinnosť nebola splnená dostatočne, pretože informácie poskytnuté dotknutým osobám neboli ľahko prístupné. Štruktúra informácií o spracúvaní osobných údajov nebola v súlade s GDPR, pretože podstatné informácie ako účel spracúvania, doby uloženia alebo kategórie osobných údajov spracúvaných za účelom prispôsobovania reklamy boli roztrúsené nekompaktne v niekoľkých samostatných dokumentoch. Relevantné informácie boli dostupné až po 6 preklikoch zo strany dotknutej osoby.

Úrad tiež konštatoval, že niektoré informácie neboli vysvetlené dostatočne jasne a zrozumiteľne, v dôsledku čoho užívatelia nemali šancu porozumieť rozsahu spracovateľských operácií. Tiež nebol jasne uvedený súhlas ako právny základ prispôsobovania reklám, a úložné doby pre niektoré kategórie údajov neboli uvedené vôbec.

Neplatný súhlas pre prispôsobovanie reklám

Google spracúva osobné údaje na účel prispôsobovania reklám na základe súhlasu. Úrad však vyslovil, že súhlasy dotknutých osôb neboli platne udelené práve kvôli nedostatočnému informovaniu dotknutých osôb. Opäť, predmetné informácie sa nachádzali v niekoľkých samostatných dokumentoch a priemerne skúsený užívateľ služby nemal možnosť porozumieť, že za účelom personalizácie reklamy sa spracúvajú jeho údaje získané a skombinované z rôznych služieb (napr. Google search, You tube, Google maps).

Súhlas mal byť daný neplatne aj preto, lebo bol udelený prostredníctvom vopred označeného nástroja, a tiež preto, lebo súhlas mohol byť daný len súhrnne na všetky v ňom uvedené spracovateľské operácie bez možnosti vyňať niektoré operácie. Postup tak nespĺňal požiadavku, aby bol súhlas udelený pre každý účel spracovania špecificky.

Z vyššie uvedených konštatovaní Úradu je možné vyvodiť kritériá pre transparentnosť, efektívne informovanie a udeľovanie súhlasu.

Zaujímavosťou však je, že konanie bolo vedené voči spoločnosti Google LLC so sídlom v USA, a nie jej európskej centrále sídliacej v Írsku (v takom prípade by bol na konanie príslušný írsky, a nie francúzsky regulátor). Dôvodom tohto postupu bolo zistenie, že v súvislosti s aktivitami, ktoré boli predmetom kontroly, nemala írska spoločnosť Google žiadne rozhodovacie právomoci a za prevádzkovateľa sa teda považovala výlučne americká materská spoločnosť. V tejto súvislosti bude veľmi zaujímavé sledovať, ako sa k vykonateľnosti sankcie uloženej európskym orgánom voči subjektu sídliacemu mimo EÚ, postavia dotknuté subjekty. Vzhľadom na silnú prítomnosť spoločnosti Google na európskom trhu bude do určitej miery precedensom, ako bude v praxi fungovať ambiciózne ustanovenie GDPR o jeho pôsobnosti aj mimo územia EÚ.

Rozhodnutie vo veci poskytovateľa zdravotnej starostlivosti

Prvenstvo v uložení finančnej sankcie za porušenie ustanovení GDPR však patrí portugalskému úradu na ochranu osobných údajov. Sankcionovaným subjektom je poskytovateľ zdravotnej starostlivosti, ktorému bola uložená pokuta vo výške 400,000 EUR. Zistené porušenia boli:

Neúčinná minimalizácia údajov


Úrad konštatoval porušenie zásady minimalizácie údajov, ktorá upravuje, že osobné údaje musia byť primerané, relevantné a obmedzené na rozsah, ktorý je nevyhnutný vzhľadom na účely, na ktoré sa spracúvajú. Táto zásada mala byť porušená tým, že zdravotnícke zariadenie malo umožniť prístup k údajom pacientov nadmernému počtu užívateľov, u ktorých podľa úradu na to neexistoval dôvod. Za toto porušenie bola uložená pokuta 150,000 EUR.

Nedostatočná bezpečnosť údajov

Ďalej bolo zistené porušenie zásady integrity a dôvernosti, podľa ktorej osobné údaje musia byť spracúvané spôsobom, ktorý zaručuje primeranú bezpečnosť osobných údajov, vrátane ochrany pred neoprávneným alebo nezákonným spracúvaním a náhodnou stratou, zničením alebo poškodením, a to prostredníctvom primeraných technických alebo organizačných opatrení. Nemocnica mala porušiť svoju povinnosť zaviesť technické a organizačné opatrenia na zabránenie nezákonnému prístupu k údajom. Za toto porušenie bola uložená pokuta vo výške 150,000 EUR.

Napokon regulátor sankcionoval pokutou vo výške 100,000 EUR porušenie povinnosti prijať primerané dostatočné technické a organizačné opatrenia s cieľom zaistiť úroveň bezpečnosti primeranú riziku. Úrad zistil, že nemocnica nezabezpečila trvalú dôvernosť, integritu, dostupnosť a odolnosť systémov spracúvania a služieb a proces pravidelného testovania, posudzovania a hodnotenia účinnosti technických a organizačných opatrení na zaistenie bezpečnosti spracúvania.

Skutočnosti, ktoré podľa rozhodnutia zavážili v kontrolnom procese, boli:

  • neexistencia interných smerníc prevádzkovateľa, ktoré by upravovali súvis medzi funkčným zaradením užívateľa informačného systému a rozsahom, v akom má užívateľ prístup k informáciám, vrátane informácií o zdravotnom stave;
  • neexistoval dokument určujúci postup vytvárania užívateľských účtov v informačnom systéme;
  • technickí zamestnanci malo prístupové práva nastavené tak, ako keby boli zdravotnícki pracovníci, v dôsledku čoho mali neobmedzený prístup k zdravotným údajom dotknutých osôb;
  • nastavenia systému umožňovali všetkým lekárom bez ohľadu na špecializáciu prístup k akýmkoľvek zdravotným údajom pacientov; uvedený postup sa považoval za porušenie zásady, že oprávnená osoba má mať prístup len k tým údajom, ktoré nevyhnutne potrebuje na výkon svojej činnosti („need-to-know basis“);
  • v informačnom systéme bolo 985 užívateľov majúcich prístupové oprávnenie na úrovni „lekár“, ale prevádzkovateľ reálne zamestnával iba 296 lekárov;
  • užívateľské účty lekárov, ktorí prestali vykonávať činnosť pre nemocnicu, sa nedeaktivovali.
Vyššie uvedené poznatky môžu slúžiť poskytovateľom zdravotnej starostlivosti, ale aj iným prevádzkovateľom, ako inšpirácia pri vytváraní vnútorných postupov a smerníc týkajúcich sa prístupu a spracúvania osobných údajov.


JUDr. Helga Maďarová, CIPP/E, CIPM,
advokátka

Dvořák Hager & Partners, 
advokátska kancelária, s.r.o.

Cintorínska 3/a
811 08 Bratislava

Tel.:    + 421 2 327864 - 11
Fax:     + 421 2 327864 - 41

 
© EPRAVO.SK – Zbierka zákonov, judikatúra, právo | www.epravo.sk