Některá porušení GDPR mohou mít zásadní dopad na osobní život subjektu údajů. Přesvědčil se o tom muž, jehož banka zpřístupnila bez jeho souhlasu historii transakcí jeho manželce. Dozorový úřad udělil bance pokutu ve výši 60 tisíc eur.
Rodinná pohoda a ochrana osobních údajů nejsou zrovna témata, která se běžně vyskytují společně, přesto porušení ochrany osobních údajů může takovou rodinnou pohodu narušit – a eventuálně skončit až pokutou ve výši 60 tisíc eur (cca 1,5 milionu korun). Taková pokuta totiž byla uložena řecké bance za to, že v důsledku jejího postupu v rozporu s GDPR došlo k zásahu do práva subjektu údajů na soukromí.
Vše začalo stížností řeckého občana k tamnímu dozorovému orgánu, jenž má na starosti ochranu soukromí. Tento stěžovatel upozorňoval na to, že jeho banka, Alpha Bank, zpřístupnila jeho osobní údaje osobě, jíž je pravděpodobně v tu chvíli obzvláště nechtěl sdělovat, totiž jeho manželce. Ta si totiž bez vědomí manžela požádala o informace o jeho kreditní kartě, ale také transakcích, které v minulosti s touto kartou provedl. Banka jí předmětné informace poskytla. Manželka tak dostala přístup k historii transakcí za poslední tři až čtyři měsíce, aniž by o tom manžel věděl. Celá věc měla poměrně zásadní dopad na rodinný život a vztah obou manželů, jenž byl touto skutečností, respektive samotnými transakcemi, o kterých manželka neměla vědět, vážně narušen.
Řecký úřad pro ochranu osobních údajů (DPA) vydal rozhodnutí, ve kterém uložil bance Alpha Bank pokutu ve výši 60 tisíc eur za porušení zásady důvěrnosti osobních údajů a bankovního tajemství. Rozhodnutí bylo vydáno na základě stížnosti zákazníka banky, který tvrdil, že banka bez jeho vědomí a souhlasu poskytla jeho manželce informace o jeho kreditní kartě a transakcích.
Banka poskytla ženě informace o transakcích jejího manžela
Dozorovému orgánu se tento postup nelíbil a konstatoval, že kontrolovaná (a pokutovaná osoba) se dopustila porušení GDPR a taktéž řeckých zákonů na ochranu osobních údajů a bankovního tajemství. Podle dozorového orgánu totiž řecká banka pochybila, pokud řádným způsobem neověřila totožnost tazatele a skutečnost, zda má mít k takovým informacím skutečně přístup. Dozorový orgán se domníval, že banka měla řádně ověřit totožnost a oprávnění manželky a následně získat od manžela písemný souhlas, na jehož základě by banka předmětné informace manželce poskytla. To se však nestalo a došlo tak k dalšímu porušení.
Dozorový orgán totiž upozornil na to, že pokud došlo k poskytnutí takových informací manželce, měla banka o takovém zpřístupnění manžela informovat.
Problém dozorový orgán konstatoval v otázce zabezpečení. Dle něj měla pokutovaná banka zajistit a přijmout dostatečná bezpečnostní opatření, aby k takové situaci nedošlo. Tím spíše měla banka lépe dbát na organizační opatření, jejichž nedostatečnost byla pravděpodobně příčinou selhání. Sama banka totiž předložila dozorovému orgánu své interní předpisy a taktéž výsledky interního vyšetřování, v rámci nehož měla doložit, že se jednalo o nahodilé a excesivní porušení, které jde na vrub konkrétního zaměstnance lokální pobočky, jenž předmětné údaje poskytnul.
Konečně, banka měla správně předmětný problém kvalifikovat jako porušení zabezpečení, vyhodnotit dopad na porušení práv a svobod manžela a informovat ho o možnostech nápravy. Sama banka však vyhodnotila, že se o porušení zabezpečení ve smyslu čl. 33 a 34 GDPR nejednalo, neboť měla za to, že předmětný incident má pramalý vliv na práva a svobody subjektu údajů, protože se měl týkat právě jen jedné osoby.
Řecký úřad tak bance udělil dvě pokuty. Pokutu 10 tisíc eur obdržela banka za nezákonné zpřístupnění osobních údajů nesprávné osobě, 50 tisíc eur pak za to, že neohlásila předmětný incident v souladu s čl. 33 GDPR. Samotná pokuta měla být stanovena s přihlédnutím k závažnosti a trvání porušení, počtu zasažených osob, povaze a rozsahu zpracovaných údajů, zavinění banky, spolupráci s úřady a opatřením přijatým k nápravě a zamezení opakování takové situace.
Comments