top of page
Obrázek autoraJosef Bátrla

Letem světem za GDPR pokutami

Ignorování žádosti subjektu údajů v e-mailové schránce, vylepení osobních údajů na poštovní schránku či sporné marketingové praktiky banky – za to všechno padaly letos pokuty v oblíbených evropských letních destinacích. Jak se podobným chybám vyhnout?

Léto se sice chýlí ke konci a tím pádem už čistě statisticky máme za sebou většinu dovolených, ale byla by škoda nevyužít poslední příležitosti trochu si zacestovat – i když pouze prostřednictvím tohoto Zpravodaje a v souvislosti s ochranou osobních údajů. V dnešním díle se proto podíváme na zajímavá rozhodnutí z různých zemí, jež nám mohou pomoci lépe se zorientovat v některých otázkách, které jsme doposud řešili pouze v teoretické či nepříliš praktické rovině.


Kam vám můžu napsat?

Hned první případ je celkem zajímavý, protože se dotýká prakticky všech. S příchodem GDPR téměř každá organizace zřídila dedikovanou e-mailovou schránku (většinou v podobě gdpr@doména.cz) a očekávala, že každý ze subjektů údajů tuto schránku bude využívat pro komunikaci v otázkách ochrany osobních údajů, a to zejména v případě uplatnění práv subjektů údajů. Co když však subjekt údajů napsal jinam?


Pokud jste se někdy u některé banky pokoušeli odvolat (mnohdy nikdy neudělený) souhlas se zpracováním osobních údajů, nejspíš jste se setkali s administrativním ping-pongem mezi infolinkou, pověřencem banky a obsluhou e-mailové schránky, kteří si vás jakožto subjekt údajů mezi sebou přehazovali jak horký brambor s tvrzením, že poslat e-mail nestačí. Může však banka takto postupovat?


Odpověď nabídlo nedávné rozhodnutí italského úřadu pro ochranu osobních údajů, který se zabýval obdobnou situací. Na začátku byla stížnost subjektu údajů, jemuž se nelíbilo, že správce (zdravotnická organizace) včas neprovedla opravu jeho osobních údajů, o kterou ji e-mailem požádal. Stěžovatel chtěl opravit adresu bydliště a spádovou oblast, a proto na stránkách správce vyhledal e-mail, na který zaslal svoji žádost v souladu s čl. 16 GDPR. Na to však zdravotnická organizace nereagovala, a tak se stěžovatel obrátil na úřad. Ten následně vyzval zdravotnickou organizaci, aby právu stěžovatele na opravu vyhověla.


Zdravotnická organizace samozřejmě adresu opravila, přičemž jako důvod včasného nevyhovění žádosti uvedla fakt, že stěžovatel svoji žádost zaslal na chybný e-mail (obecný e-mail, který je uveden na internetových stránkách), respektive nevyužil k tomu určený komunikační kanál, tedy speciální platformu ani speciální adresy pro přijímání jiných žádostí.

Na žádost subjektu musíte reagovat, i když přijde na jiný mail, než byl pro tento účel zřízený

Jenže takový argument ve světle pokynů EDPB k právu na přístup úplně neobstojí, což potvrdil i italský úřad, který za výše popsané pochybení vypsal italské zdravotnické organizaci pokutu ve výši 4 500 eur. Pokud totiž subjekt údajů nevyužije speciálního komunikačního kanálu, jenž je určen pro příjem žádostí o výkon práv, nemění to nic na povinnosti správce na takovou žádost reagovat a naložit s ní tak, jak předpokládá GDPR. Sám EDPB ve svých pokynech sice uvádí, že správce není povinen reagovat na žádosti zaslané na zcela náhodné nebo zjevně nesprávné adresy, tím však podle italského úřadu není jakákoliv jiná adresa než ta, která byla správcem pro příjem takových žádostí speciálně zřízena.


Italský úřad tak konstatoval, že adresa, na kterou se stěžovatel původně obrátil, byla veřejná adresa, přičemž správce měl vynaložit veškeré přiměřené úsilí k tomu, aby byla žádost předána příslušnému oddělení a s žádostí bylo naloženo v souladu se lhůtami uvedenými v GDPR.


Příjemce nebyl zastižen za 55 tisíc eur

Za relativně zajímavým případem se nyní přesuneme o něco západněji, do Španělska. Zde stěžovatelka podala podnět u dozorového orgánu na to, že doručovatelská služba, která jí měla doručit balíček, zasáhla do jejích práv. Paní si totiž objednala balíček v online obchodě Amazon, jenž však doručovací společnosti sdělil chybnou adresu, na které se stěžovatelka v ten okamžik nenacházela. Stěžovatelka se vše snažila sama vyřešit tím, že Amazon kontaktovala a na tuto chybu jej upozornila. Ani ne za týden se však od svých příbuzných, kteří se zdržovali v okolí chybné adresy, dozvěděla, že na schránce jejího domu je nalepen štítek s informací, že nebyla zastižena pro doručení balíčku. Štítek obsahoval také další její osobní údaje a přesně v tom byl problém, protože osobní údaje stěžovatelky byly prakticky komukoliv, kdo kolem schránky prošel, viditelné.


I když se doručovací společnost zaklínala tím, že se jednalo o chybu v lidském faktoru, neboť doručovatel měl štítek vhodit do schránky, nikoliv jej lepit na ni, společnost to neuchránilo před pokutou ve výši 55 tisíc eur za zásah do práva stěžovatelky na soukromí.


Chyba internetových stránek

Řecko patří mezi oblíbené turistické destinace, a to díky velmi příjemné kultuře a také bohaté historii. Přestože okolí Atén sužují čím dál častější požáry, městečko Alimos na jejich předměstí je velmi malebné. Škoda je jen to, že tomuto městu bude v rozpočtu chybět 20 tisíc eur, a to za poměrně nepříjemný zásah do soukromí jeho občanů způsobený laxností odpovědných osob.


Toto město provozovalo internetové stránky pro své občany, prostřednictvím kterých bylo možné získávat různé certifikáty a osvědčení, včetně dalších úředních dokumentů, jako jsou potvrzení o trvalém bydlišti, rodné listy či další listiny, jež byly digitalizovány a následně zpřístupněny prostřednictvím těchto stránek.


Stránky však obsahovaly poměrně zásadní chybu. Pokud jste se totiž dostali ke specifické URL adrese, mohli jste jejím pozměněním získat přístup k dokumentům, které se však vaší osoby netýkaly, a to včetně cizích kopií občanských průkazů, řidičských průkazů či jiných citlivých listin. Prakticky kdokoliv tak mohl získat přístup k zásadnímu množství osobních údajů (cca 45 tisíc souborů, z nichž k 1200 bylo skutečně neoprávněně zpřístupněno, a to dle zjištění úřadu).


Řecký úřad pro ochranu osobních údajů na tuto chybu přirozeně municipalitu upozornil a ta se ji pokusila opravit – dle úřadu však bez kýženého účinku, neboť bezpečnostní chyba na stránkách zůstala i po údajné úpravě.


Pokutu tak obdržela jak samotná obec, tak i zpracovatel (technický support předmětné webové služby), a to za nedostatečnou ochranu osobních údajů.


Legitimní očekávání bývalých zákazníků

Náš výlet po oblíbených destinacích nemůžeme zakončit nikde jinde než v Chorvatsku. Zde se totiž tamní úřad zabýval otázkou marketingu banky vůči jejím bývalým zákazníkům. Kdo nepřeskakoval odstavce v tomto článku, ví, že banky někdy využívají nepřiměřenou praktiku, kdy neodpovídají na žádosti subjektů údajů. Stejný problém stál i na počátku rozhodnutí chorvatského úřadu. Bývalý zákazník, který měl u banky otevřený osobní účet, se totiž obrátil na pověřence banky s žádostí o výmaz osobních údajů. Reakce pověřence? Ticho, a to přesto, že stěžovatel se obrátil na vícero adres.


Banka pak v rámci řízení uvedla, že ve skutečnosti disponuje souhlasem stěžovatele z roku 2014 pro rozesílku obchodních sdělení, přičemž každé obchodní sdělení obsahovalo odkaz pro odhlášení a také příslušný kontakt pro výkon práv. Toho stěžovatel údajně nevyužil, neboť se rozhodnul kontaktovat přímo předsedu představenstva banky. V každém případě měl obchodní vztah zaniknout v roce 2017 po zrušení účtu, přičemž banka je ze zákona povinna uchovávat některé osobní údaje pro účely archivace po dobu dalších 11 let. Samotný souhlas pak měl být zaevidován jako zrušený v roce 2021 a jen chybou lidského faktoru (velmi očekávatelně) došlo k zaslání sdělení i v roce 2023, ve kterém byl stěžovatel vyzván k aktualizaci svých údajů z důvodu AML.


Přístup chorvatského úřadu je v tomto ovšem velmi zajímavý. Úřad se totiž zamýšlel nad časovou osou – souhlas byl udělen v roce 2014, přičemž v roce 2017, kdy stěžovatel od banky „odešel“, nebyl předmětný souhlas odvolán. To se mělo stát až v roce 2021, tedy dva roky před tím, než stěžovatel obdržel sdělení o aktualizaci údajů. Porušila banka zákon? Podle chorvatského úřadu ano. Úřad totiž zastává zajímavý názor, a sice že po ukončení smluvního vztahu má sice banka povinnost uchovávat některé údaje (z důvodu zákonné povinnosti), nicméně bývalý zákazník má dle úřadu legitimní očekávání, že další zpracování osobních údajů již nebude probíhat, a to ani v oblasti marketingu. Dle chorvatského úřadu tak pro další zpracování chyběl jak legitimní účel, tak i samotný právní základ.


Komentáře


bottom of page