Chorvatská společnost vymáhající pohledávky zaplatí obří pokutu ve výši 5,4 milionu eur za porušení ochrany osobních údajů. Na vině je zpracování citlivých údajů i masivní únik dat subjektů údajů, na což upozornil anonym, možná z řad zaměstnanců. Případ bude mít nejspíš i trestněprávní dohru.
Chorvatsko jistě patří k našim oblíbeným letním destinacím. Ostatně, významným pojítkem mezi našimi dvěma zeměmi je i fakt, že Chorvatsko obývá početná česká menšina: podle sčítání lidu z roku 2021 se tu k naší národnosti hlásí celkem 7862 osob. Jen v letní sezóně roku 2022 vyrazilo do Chorvatska celkem 894 tisíc českých turistů, kteří tam strávili rekordních šest milionů nocí. I někoho z nich se mohlo dotknout nedávné rozhodnutí chorvatského úřadu pro ochranu osobních údajů, který udělil na tamním území rekordní pokutu společnosti, jež se zabývala vymáháním pohledávek.
Chorvatskému dozorovému orgánu se na stůl dostal zajímavý případ. V březnu tohoto roku obdržel anonymní podnět, který se týkal neoprávněného zpracování osobních údajů společností EOS Matrix. Přesvědčivosti daného tvrzení pomohl fakt, že osoba, která podala anonymní podnět, přiložila ke svému udání USB disk, jenž obsahoval osobní údaje celkem 181 641 fyzických osob včetně celkem 294 nezletilých, vůči kterým odkoupila pokutovaná osoba pohledávky k dalšímu vymáhání.
Dejte si pozor, zda ve vaší databázi s osobními údaji neprobíhají neobvyklé operace
Pro dozorový orgán tak nebylo složité identifikovat porušení čl. 32 GDPR, tedy povinnost zavést bezpečnostní opatření, jelikož důkaz o takovém jednání měl na stole už od okamžiku podání podnětu. Chorvatský úřad tak poměrně lapidárně konstatoval, že v okamžiku, kdy správce v hlavní databázi zpracovává údaje okolo 370 tisíc fyzických osob, ale není schopen včas rozpoznat činnosti, které vybočují z obvyklého provozu (například zvýšený počet vyhledávání dat v databázi, export dat mimo systém, kompromitace uživatelského účtu a podobně), nelze považovat povinnost uloženou dle GDPR za splněnou. Systém, který měl takovým anomáliím předcházet, respektive na ně upozorňovat, měl být implementován až v roce 2021. Pokutovaná osoba tak nebyla schopna vysvětlit okolnosti ztráty předmětných dat ani důvod, proč nad nimi ztratila kontrolu.
Tím však zjištění porušení GDPR nekončilo. V rámci kontroly bylo totiž zjištěno, že pokutovaná osoba zpracovává i osobní údaje osob, jež nejsou dlužníky, a zároveň zákonných zástupců, u nichž nebyl opatřen příslušný právní základ. To se však jeví jako minoritní prohřešek ve světle skutečnosti, že pokutovaná osoba si pečlivě zaznamenávala komunikaci s dlužníky v interní databázi, a to včetně obsahu takové komunikace, která obsahovala zejména údaje o zdravotním stavu dlužníka. Dle chorvatského dozorového orgánu byla situace skutečně tristní z toho důvodu, že některé záznamy obsahovaly konkrétní diagnózu, a to i u nemocí v terminálním stadiu.
Argument pokutované osoby spočíval v tom, že předmětné údaje od nich nikdo nevyžadoval a naopak subjekty údajů se s nimi svěřovaly samy. Odpověď chorvatského úřadu nikoho nepřekvapí – to, že takové informace někdo někomu sdělí, ještě neznamená automatickou možnost si takové údaje zapisovat do své interní databáze. Ostatně ani pokutovaná osoba o takovém zpracování subjekty údajů neinformovala, čímž dle chorvatského dozorového orgánu porušila zásadu transparentnosti. Nikdo ze subjektů údajů totiž nevěděl, že pokud se v telefonním hovoru svěří zaměstnanci správce s tím, že je nemocný, budou se takové údaje zpracovávat.
Co se týče telefonních hovorů, chorvatský úřad dále odhalil, že od účinnosti GDPR do 16. 1. 2019 došlo k nahrání telefonátů celkem 49 850 osob, aniž by správce disponoval právním základem. Předmětná společnost totiž teprve 16. 1. 2019 provedla test oprávněného zájmu.
Odcizením osobních údajů zřejmě došlo ke spáchání trestného činu
Chorvatskému úřadu se také nelíbil způsob, jak o takovém nahrávání předmětná společnost informovala. Ta totiž na začátku hovoru uváděla (v praxi velmi často slýchanou) větu ve významu „Tento hovor může být monitorován“. Pokutované osobě tak bylo vyčteno, že v zásadě nepostupuje vůči subjektům údajů transparentně, neboť nemohou jednoznačně vědět, zda konkrétní hovor nahrán byl, či nikoliv. Chorvatský úřad uvedl, že správně měl správce uvést větu „Tento hovor je monitorován za účelem…“, a tím pádem by se vyhnul porušení čl. 12 odst. 1 GDPR.
Jaký účet byl společnosti EOS Matrix za vše výše uvedené vystaven? Celkem společnost zaplatí pokutu ve výši 5 470 000 eur (tedy asi 135 milionů korun).
Odcizení osobních údajů bezmála 182 tisíc osob má pochopitelně i trestněprávní dohru, jelikož při takovém jednání pravděpodobně došlo ke spáchání trestného činu. Uvidíme tedy, jak moc úspěšná bude pokutovaná osoba se svou argumentací, že předmětné údaje ve skutečnosti nepocházejí z její databáze. Tento argument totiž chorvatský dozorový orgán neuznal s odkazem na to, že formát databáze se neshoduje s žádným jiným subjektem, než je pokutovaná osoba, a také že původní věřitelé mohli disponovat pouze příslušným zlomkem databáze, nikoliv v rozsahu všech 182 tisíc subjektů údajů.
Comments