Padla další rekordní pokuta za porušení GDPR

Zdroj: Pixabay

Norský úřad pro ochranu osobních údajů dal nedávno jasně najevo, že vůči nedodržování nařízení GDPR není lhostejný a udělené pokuty budou více účinné a odrazující než přiměřené.

O tomto tvrzení přesvědčilo v případě udělení pokuty ve výši 250 mil. Kč norské společnosti Grindr, která provozuje světově nejrozsáhlejší mobilní aplikaci sloužící pro randění jejich uživatelů s menšinovou sexuální orientací. Udělená pokuta společnosti Grindr se ve světovém žebříčku dostala mezi 10 nejvyšších udělených pokut.

Společnost s jejich obchodními partnery shromažďovala a sdílela osobní údaje bez řádného souhlasů uživatelů mobilní aplikace. Jednalo se zejména o sdílení jejich polohy, IP adresy, značky, modelu a operačního systému zařízení, které pro aplikaci využívají.

Vyjádření úřadu bylo jednoduché. Způsob uděleného souhlasu „berte nebo nechte být“ nesplňuje nepodmíněnost a dobrovolnost udělení souhlasu, které nařízení vyžaduje. K udělení tak vysoké pokuty také přispěl fakt, že aplikace zpracovává údaje o sexuální orientaci uživatelů, tedy zpracovává zvláštní kategorii osobních údajů, na kterou se vztahují přísnější podmínky jejich zabezpečení. Sdílení těchto informací v kombinaci se sdílením polohy může být pro uživatele nebezpečná.

Tato organizace nejspíše nebude poslední, kterou podobně vysoká pokuta čeká. Norská rada spotřebitelů je připravena bránit subjekty a jednat proti organizacím, které se chovají nezákonně a věří že byl stanoven precedent, který dává Norsku jasnou zprávu.

Vysoké pokuty za porušení podmínek vyjádření souhlasu udělil i český Úřad pro ochranu osobních údajů. Stalo se tak v případě společnosti zabývající se prodejem ojetých automobilů, která bez souhlasu subjektů, zasílala obchodní sdělení. ÚOOÚ této společnosti udělil pokutu ve výši 6 mil. Kč. Na Slovensku zatím tak vysoké pokuty nepadly.

Nařízení GDPR vstoupilo v platnost 25. května 2018 avšak stále se v praxi setkáváme s mnoha případy, kdy organizace požadují udělení vašeho souhlasu, který pro zpracování nepotřebují nebo si souhlas transparentně nevyžádají. Ne vždy se ovšem jedná o špatně nastavený proces organizace nýbrž o nedostatečné informování pracovníků, kteří jednají protiprávně, aniž by si to uvědomovali. Na druhé straně existuje i mnoho organizací, které si se zněním nařízení poradily.

 

Přehled udělených pokut za porušení GDPR v EU (k 1.12.2020)

Země Organizace Obor Pokuta
Velká Británie British Airways Letecký dopravce € 204,6M
Francie Google Internetový gigant € 50M
Itálie TIM SpA Telco operátor € 27,8M
Chorvatsko neuvedeno Banka € 20M
Rakousko Austrian Post Poštovní služby € 18M
Německo Deutsche Wohnen Nemovitosti € 14,5M
Švédsko Google Internetový gigant € 7M
Bulharsko National Revenue Agency Daňový orgán € 2,6M
Nizozemí UWV Pojišťovna € 0,9M
Polsko morele.net Online prodejce € 0,6M
Belgie Google Internetový gigant € 0,6M
Portugalsko neuvedeno Nemocnice € 0,4M
Španělsko La Liga Fotbalová asociace € 0,3M
Řecko OTE Telco operátor € 0,2M
Norsko Oslo Municipal Education Dep. Školství € 0,2M
Dánsko IDdesign Prodej nábytku € 0,2M
Rumunsko Raiffeisen Bank Banka € 0,2M

Text zpracovala Gabriela Halámka Slámová, Security Specialist, a tabulku Jaromír Veber, Security Specialist, ve společnosti AEC.

 

Exit mobile version