Padla další rekordní pokuta za porušení GDPR

Norský úřad pro ochranu osobních údajů dal nedávno jasně najevo, že vůči nedodržování nařízení GDPR není lhostejný a udělené pokuty budou více účinné a odrazující než přiměřené.

Zveřejněno dne: 27. 01. 2021

Inspirace a aktuality

O tomto tvrzení nás přesvědčil v případě udělení pokuty ve výši 250 mil. Kč norské společnosti Grindr, která provozuje světově nejrozsáhlejší mobilní aplikaci sloužící pro randění jejich uživatelů s menšinovou sexuální orientací.

Společnost s jejich obchodními partnery shromažďovala a sdílela osobní údaje bez řádného souhlasů uživatelů mobilní aplikace. Jednalo se zejména o sdílení jejich polohy, IP adresy, značky, modelu a operačního systému zařízení, které pro aplikaci využívají.

Vyjádření úřadu bylo jednoduché. Způsob uděleného souhlasu „berte nebo nechte být“ nesplňuje nepodmíněnost a dobrovolnost udělení souhlasu, které nařízení vyžaduje. K udělení tak vysoké pokuty také přispěl fakt, že aplikace zpracovává údaje o sexuální orientaci uživatelů, tedy zpracovává zvláštní kategorii osobních údajů, na kterou se vztahují přísnější podmínky jejich zabezpečení. Sdílení těchto informací v kombinaci se sdílením polohy může být pro uživatele nebezpečná.

Tato organizace nejspíše nebude poslední, kterou podobně vysoká pokuta čeká. Norská rada spotřebitelů je připravena bránit subjekty a jednat proti organizacím, které se chovají nezákonně a věří že byl stanoven precedent, který dává Norsku jasnou zprávu.

Vysoké pokuty za porušení podmínek vyjádření souhlasu udělil i český Úřad pro ochranu osobních údajů. Stalo se tak v případě společnosti zabývající se prodejem ojetých automobilů, která bez souhlasu subjektů, zasílala obchodní sdělení. ÚOOÚ této společnosti udělil pokutu ve výši 6 mil. Kč. Na Slovensku zatím tak vysoké pokuty nepadly.

Nařízení GDPR vstoupilo v platnost 25. května 2018 avšak stále se v praxi setkáváme s mnoha případy, kdy organizace požadují udělení vašeho souhlasu, který pro zpracování nepotřebují nebo si souhlas transparentně nevyžádají. Ne vždy se ovšem jedná o špatně nastavený proces organizace nýbrž o nedostatečné informování pracovníků, kteří jednají protiprávně, aniž by si to uvědomovali. Na druhé straně existuje i mnoho organizací, které si se zněním nařízení poradily velice elegantně a u kterých je možné se inspirovat.

Pokud potřebujete s nastavením procesů souvisejících se zpracováním osobních údajů pomoci, obraťte se na specializovanou konzultantskou společnost.

Gabriela Halámka Slámová

Cybersecurity Specialist

Přehled udělených pokut za porušení GDPR v EU

Udělená pokuta společnosti Grindr se ve světovém žebříčku dostala mezi 10 nejvyšších udělených pokut.

Země	Společnost	Obor	Pokuta
Velká Británie	British Airways	Letecký dopravce	€204 600 000
Francie	Google	Internetový gigant	€50 000 000
Itálie	TIM SpA	Telekomunikační operátor	€27 802 946
Chorvatsko	neuvedeno	Banka	€20 000 000
Rakousko	Austrian Post	Poštovní služby	€18 000 000
Německo	Deutsche Wohnen	Nemovitosti	€14 500 000
Švédsko	Google	Internetový gigant	€7 000 000
Bulharsko	National Revenue Agency	Daňový orgán	€2 600 000
Nizozemí	UWV	Pojišťovna	€900 000
Polsko	morele.net	Online prodejce	€645 000
Belgie	Google	Internetový gigant	€600 000
Portugalsko	neuvedeno	Nemocnice	€400 000
Španělsko	La Liga	Fotbalová asociace	€250 000
Řecko	OTE	Telekomunikační operátor	€200 000
Norsko	Oslo Municipal Education Department	Školství	€200 000
Dánsko	IDdesign	Prodej nábytku	€180 000
Rumunsko	Raiffeisen Bank	Banka	€150 000

Přehled nejvyšších udělených pokut je aktuální ke dni 1. 12. 2020 a byl v této podobě prezentovaný na bezplatném webináři „GDPR: Jaká je aktuální situace a co můžeme očekávat?“ pro zákazníky AEC Security Academy.

Zdroje:
https://www.nytimes.com/2021/01/25/business/grindr-gdpr-privacy-fine.html
https://www.uoou.cz/uoou-ulozil-nejvyssi-pokutu-za-nbsp-spam-ve-nbsp-sve-historii/d-45143