top of page

Dokážou věštci předvídat pokutu za GDPR?

Obrázek autora: Josef BátrlaJosef Bátrla

Francouzský dozorový úřad udělil dvěma poskytovatelům online věšteckých služeb závratné pokuty za rozsáhlé porušení GDPR. Společnosti nezákonně zpracovávaly a uchovávaly citlivé údaje více než 1,5 milionu subjektů údajů. Pokutu však předpovědět nedokázaly.

Pokud pečlivě čtete stránky tohoto Zpravodaje, jistě si vzpomenete na článek z léta 2023, kde jsme psali o pokutě, kterou obdržel online poskytovatel věšteckých služeb za špatné zabezpečení a nastavení cookies. Pokutu tehdy udělil francouzský dozorový úřad, který se rozhodl v této oblasti opět zakročit.


S rostoucí popularitou věšteckých služeb na dálku se stále častěji objevují nabídky, jež slibují odhalit budoucnost online z pohodlí domova. Pro mnoho lidí můžou být takové nabídky na zjištění budoucnosti lákavé – ostatně kdo by nechtěl vědět, jaké neštěstí mu hrozí a jak problémům předejít? Věštění online však může být dosti problematické, co se ochrany osobních údajů týče (kromě jiného). Takovým příkladem jsou i společnosti Cosmospace a Telemaque, které obdržely od francouzského dozorového úřadu (CNIL) pokuty za porušování několika povinností vyplývajících z GDPR.


Pozadí případu

Společnosti Cosmospace a Telemaque se zaměřují na poskytování věšteckých služeb na dálku. Společnost Cosmospace poskytuje tyto služby po telefonu a společnost Telemaque prostřednictvím online chatu a textových zpráv. Kontroly provedené CNIL v roce 2021 odhalily u obou společností několik případů porušení GDPR, a to zejména:


  • shromažďování citlivých osobních údajů bez předchozího výslovného souhlasu (především údajů o zdravotním stavu a údajů týkajících se sexuální orientace);

  • uchovávání osobních údajů po neúměrně dlouhou dobu;

  • zasílání obchodních sdělení bez souhlasu;

  • systematické zaznamenávání telefonických hovorů v případě společnosti Cosmospace.

Nahrávání a uchovávání všech hovorů nelze odůvodnit zkvalitňováním služeb

Co věštecké společnosti porušily?

CNIL shledal porušení několika povinností souvisejících s ochranou osobních údajů u obou věšteckých společností, a to konkrétně porušení:


  • zásady minimalizace údajů společností Cosmospace dle čl. 5 odst. 1 písm. c) GDPR;

  • zásady omezení uložení po dobu nezbytnou pro stanovené účely dle čl. 5 odst. 1 písm. e) GDPR;

  • povinnosti získat od subjektů údajů výslovný souhlas se zpracováním citlivých údajů, tedy zvláštních kategorií osobních údajů dle čl. 9 GDPR;

  • povinnosti získat souhlas se zasíláním obchodních sdělení dle francouzského zákoníku o poštovních službách a elektronických komunikacích.


Porušení zásady minimalizace údajů spočívalo v tom, že společnost Cosmospace systematicky zaznamenávala všechny telefonní hovory se zákazníky. Společnost to odůvodňovala tím, že záznamy sloužily především k ověření kvality poskytovaných služeb, ke školení zaměstnanců a k prokázání toho, že byla se zákazníkem uzavřena smlouva přes telefon. CNIL však uvedl, že tyto účely neospravedlňují kompletní a systematické nahrávání hovorů. Dále upřesnil, že tyto záznamy by měly být omezeny pouze na vzorek hovorů za účelem ověření kvality služeb a zajištění školení zaměstnanců, případně pouze na části hovorů vztahující se bezprostředně k uzavření smlouvy. Kompletní nahrávání a uchování všech hovorů tak lze jen těžko odůvodnit požadavkem na zajištění vyšší kvality.


Zásada omezení uložení údajů po nezbytnou dobu byla porušena tím, že společnost Cosmospace uchovávala osobní údaje svých zákazníků po dobu šesti let od ukončení obchodního vztahu za účelem zasílání obchodních sdělení. CNIL však připomněl, že pro tento účel doporučuje omezení na tři roky, a zdůraznil nevhodnost zasílání obchodních sdělení po tak dlouhou dobu. Společnost Telemaque uchovávala údaje v aktivní databázi také po dobu šesti let, a to bez omezení přístupu k těmto údajům. CNIL upozornil, že pokud by určité osobní údaje mohly být uchovávány po ukončení obchodního vztahu (například pro účely soudního sporu), mělo by jít pouze o nezbytné údaje a přístup k nim by měl být omezen jejich přechodnou archivací. V takovém případě samozřejmě platí, že přístup k takovým údajům musí být omezen a zabezpečen.


Při online věštění byli zákazníci dotazováni na údaje o své sexuální orientaci, zdravotním stavu nebo náboženském vyznání, čímž došlo k porušení povinnosti získat souhlas pro zpracování citlivých osobních údajů. CNIL konstatoval, že pouhý zájem o služby věštění nebo dobrovolné sdělení citlivých údajů nemohou být považovány za výslovný souhlas. Společnosti by měly získat předchozí a výslovný souhlas svých zákazníků a jasně je informovat o zpracování těchto citlivých údajů.


Povinnost získat souhlas se zasíláním obchodních sdělení byla porušena tím, že společnosti Cosmospace a Telemaque využívaly společnou databázi obsahující údaje zákazníků i potenciálních zákazníků, které byly shromažďovány zejména prostřednictvím formulářů na webových stránkách zřízených oběma společnostmi. CNIL zjistil, že vzhled těchto formulářů neumožňoval osobám jasně pochopit, že jejich údaje mohou být použity oběma společnostmi. V důsledku toho se společnost Cosmospace nemohla dovolávat souhlasu získaného společností Telemaque jejím jménem a naopak.


Následky pro věštecké společnosti

CNIL uložil společnosti Cosmospace pokutu ve výši 250 tisíc eur (přibližně 6,3 milionu korun) a společnosti Telemaque pokutu ve výši 150 tisíc eur (přibližně 3,8 milionu korun). O výši těchto pokut bylo rozhodnuto na základě závažnosti porušení, citlivosti zpracovávaných údajů a počtu dotčených osob – společná databáze společností obsahovala údaje více než 1,5 milionu subjektů údajů. Zohledněna byla přitom i finanční situace společností.


Musíme si tak položit zásadní otázku: Předpověděly obě společnosti to, jaké pokuty jim budou uděleny, nebo jako kovářovy kobyly přesně předpověděly budoucnost všem svým zákazníkům, ale na otázky týkající se ochrany osobních údajů se samy sebe zapomněly zeptat?


Případ společností Cosmospace a Telemaque slouží jako důležitá připomínka povinností, jež mají společnosti při zpracovávání osobních údajů dodržovat, zejména pokud se jedná o citlivé údaje. CNIL zdůraznil, že dodržování GDPR a právních předpisů pro ochranu soukromí není volitelné a příliš volné nakládání s osobními údaji bude náležitě sankcionováno. Rovněž fyzické osoby by si měly dát pozor na to, jak jsou jejich osobní údaje zpracovávány, a neměly by uvádět své citlivé osobní údaje bez poskytnutí výslovného informovaného souhlasu s jejich zpracováním.


Comments


Sdělení pro spotřebitele: Případné spory z poskytování právních služeb můžete řešit mimosoudně prostřednictvím České advokátní komory v souladu se zákonem č. 634/1992 Sb., o ochraně spotřebitele. Další informace včetně postupu naleznete zde  

© 2020 - 2022 by Josef Bátrla.

bottom of page