Španělský úřad pro ochranu osobních údajů (Agencia Española de Protección de Datos – AEPD) zveřejnil dne 11. srpna 2025rozhodnutí ve věci PS-00283-2025, kterým uložil společnosti Bizum, S.L. pokutu ve výši 100 000 EUR za porušení povinností podle čl. 32 nařízení (EU) 2016/679 (GDPR). Sankce byla uložena v souvislosti s porušením zabezpečení osobních údajů, které zůstalo neodhaleno po dobu delší než jednoho roku. Rozhodnutí je dostupné ve španělštině zde.
Skutkové okolnosti
Řízení bylo zahájeno na základě oznámení společnosti Bizum ze dne 27. listopadu 2023, kterým správce informoval AEPD o neoprávněném zveřejnění 2 634 pseudonymizovaných záznamů obsahujících mobilní telefonní čísla a uživatelské aliasy. Únik byl způsoben zneužitím interní služby Validación de Usuario Ordenante, která je určena výhradně pro subjekty zapojené do systému Bizum.
K incidentu docházelo již od 21. září 2022, avšak byl odhalen až poté, co se část dotčených údajů objevila veřejně dostupná na internetu v listopadu 2023. Bizum ve svém oznámení uvedl, že potenciálně mohlo být dotčeno více než 20 000 uživatelů.
Závěry dozorového úřadu
AEPD po provedeném šetření dospěl k závěru, že společnost Bizum porušila povinnost zajistit odpovídající úroveň zabezpečení osobních údajů podle čl. 32 GDPR. Konkrétně bylo zjištěno, že:
správce nepřijal přiměřená technická a organizační opatření k ochraně osobních údajů,
interní služby určené výlučně partnerským subjektům byly fakticky přístupné koncovým uživatelům,
chyběly mechanismy umožňující detekci a včasnou reakci na neobvyklou aktivitu, zejména na hromadné sekvenční dotazy,
i přes pseudonymizaci šlo o identifikátory, které mohly být zneužity k dalšímu neoprávněnému zpracování.
Úřad přihlédl k rozsahu incidentu, délce jeho trvání i povaze dotčených údajů.
Uložená sankce a nápravná opatření
AEPD původně navrhl pokutu ve výši 100 000 EUR. Společnost Bizum využila možnosti dobrovolné úhrady bez uznání odpovědnosti, čímž podle španělského správního práva získala nárok na 20% snížení sankce. Konečná zaplacená částka činila 80 000 EUR.
Vedle peněžité sankce uložil AEPD správci povinnost přijmout nápravná opatření, zejména:
prokázat zavedení odpovídajících technických a organizačních bezpečnostních opatření,
zajistit, aby k osobním údajům docházelo pouze v rozsahu nezbytném pro stanovený účel,
zabránit neoprávněnému přístupu k osobním údajům prostřednictvím interních služeb.
Význam rozhodnutí
Rozhodnutí AEPD potvrzuje, že pseudonymizace sama o sobě nepředstavuje dostatečné zabezpečení, pokud nejsou zavedeny účinné mechanismy řízení přístupů, monitoringu a detekce anomálního chování. Případ zároveň zdůrazňuje odpovědnost správců za včasné odhalení incidentů a průběžné vyhodnocování rizik, zejména v prostředí finančních a digitálních služeb.
