CQK - Consult

 

Když po půlročním skrývání krádeže databáze klientů společnost T-Mobile Czech Republic a.s. tuto krádež oznámila dozorovému orgánu (ÚOOÚ), tak i tato okolnost byla přitěžující při udělení sankce za porušení povinností při zabezpečení osobních údajů, jak stanoví §13 zákona č. 101/2000 Sb.

Připomeňme jen, že společnosti T-Mobile byla jeho zaměstnancem odcizena databáze s osobními údaji 1 193 497 klientů. Úřad pro ochranu osobních údajů následně udělil této společnosti historicky nejvyšší sankci ve výši 3,6 milionů Kč (cca 130 000 €). Aktivita ÚOOÚ v této věci byla medializována jako neobvyklá, jak z hlediska rychlosti provedení kontroly, tak z hlediska výše udělené sankce. Zákon o ochraně osobních údajů však umožňuje udělit právnické osobě pokutu do výše 10 milionů Kč (asi 370 000 €). Úřad udělil sankci v dolní polovině zákonné sazby. Ačkoliv Úřad konstatoval, že tento incident ohrozil větší počet osob (zákazníků) neoprávněným zásahem do jejich soukromého a osobního života v souvislosti s přijetím nedostatečných opatření k zabezpečení jejich osobních údajů. Zároveň však Úřad posoudil některé polehčující okolnosti, například, že T-Mobile přijal opatření, která by měla zabránit opakování tohoto incidentu, provedl kontrolu svého sytému a procesů a přijal dodatečná opatření k nápravě závadného stavu, včetně proškolení zaměstnanců.

Na posuzování míry nebezpečnosti při zasahování do soukromí lidí je však možno se dívat i jiným pohledem. Dne 10. března 2017 oznámil italský dozorový úřad (Garante per la Protezione dei Dati Personali – “Garante”), že uložil pěti společnostem, působícím v oblasti finančnictví, sankci ve výši 11 milionů EUR za porušení italského zákona o ochraně osobních údajů. Tyto společnosti prováděly finanční transakce s Čínou, přičemž neoprávněně nakládaly s osobními údaji více než 1000 fyzických osob, aniž tyto osoby byly o takovém použití jakkoliv informovány či by k němu poskytly svůj souhlas. Garante vyhodnotil chování těchto firem jako mimořádně nebezpečné a přikročil k udělení „neobvyklých“ výší pokut – hlavnímu organizátoru podvodů, k nimž byly zneužity osobní údaje osob, byla udělena sankce ve výši 5 880 000 €, dalším „spoluviníkům“ pak pokuty ve výši 850 000 €, 1 430 000 €, 1 260 000 € a 1 590 000 €. Tyto sankce jsou  nejvyšší, jaké byly v EU vůbec uděleny za porušení zásad ochrany osobních údajů. V tomto případě Garante nehledal polehčující okolnosti, nýbrž cestu, jak udělit co nejvyšší pokuty. Italský zákon stanovuje implicitní sankci 2, 4 miliony EUR za porušení zákona. Garante totiž použil pravidlo tot crimina tot poenae (kolik trestných činů tolik pokut) a za jednotlivá porušení zákona udělil vysoké sankce a nakonec je sečetl.

Zdá se tedy, že s udělováním sankcí podle nového nařízení EU (GDPR) bude mít český dozorový úřad mnohem více starostí, než úřad italský. GDPR má implicitní výši sankce 20 milionů €.

20. 3. 2017

 

Oslovte nás

Poznámka: položky označené * jsou povinné.