Španělská pobočka banky ING dostala pokutu 500.000 EUR za ztrátu klientských údajů. Data, resp. papírové dokumenty s řadou citlivých klientských dat, neztratila banka sama, např. při převozu z pobočky na centrálu, nebo kvůli nepořádku v archivu. Dokumenty ztratila, a pak nebyla schopna dohledat, spolenčost, která pro ING banku zajišťovala kurýrní služby. Pokutu za porušení GDPR ale i tak dostala přímo banka.
Kurýr ztratil smlouvu, pokutu dostala banka
Jak to celé bylo?
Klient měl zájem stát se spoluvlastníkem účtu vedeného u španělské pobočky ING banky. Banka mu poslala instrukce, jak podepsat smluvní dokumentaci bez návštěvy pobočky. Mělo se tak stát prostřednictvím kurýrní společnosti Dynamic Express Courier, resp. jejího dalšího subzpracovatele, společnosti Autoradio. Právě zaměstnanec této společnosti od klienta vyzvedl obálku se smluvní dokumentací, kterou ale do banky nedoručil. Klient banku opakovaně kontaktoval a ptal se, kde je jeho smlouva a kdy bude mít přístup k účtu. Banka odpovídala, že smlouvu zatím neobdržela a že to řeší s kurýrní společností. Po nějakém čase byla banka nucena připustit, že se zásilka ztratila. Klientovi se omluvila a se společností Dynamic Express Courier ukončila spolupráci.
Klientovi to všem nestačilo a podal stížnost ke španělské centrální bance, která podnět předala dozorovému úřadu pro ochranu osobních údajů. Dozorový úřad provedl kontrolu, ve které se zaměřil právě na bezpečnost osobních údajů, zejména při využívání externích společností, zpracovatelů dat.
Co úřad zjistil? Banka sice měla ve smlouvě s dodavateli sjednáno, jaká bezpečností opatření mají zavést, ale nekontrolovala, jestli to doopravdy dělají. V důsledku toho došlo i k popisovanému incidentu, kdy se zásilka se smluvní dokumentací u dalšího subzpracovatele prostě ztratila a banka ji nebyla schopna dohledat. Úřad to celkově vyhodnotil jako nedostatečná technická a organizační opatření pro ochranu dat, za což španělské pobočce ING banky udělil pokutu ve výši půl milionu EUR.
5 ponaučení pro praxi
Co si z tohoto případu odnést do praxe? Ta hlavní společná pravidla pro dodržení povinnosti zajistit bezpečnost a integritu osobních údajů podle GDPR lze shrnout takto:
Bezpečnostní záruky, které si správce sjedná se zpracovatelem, musí odrážet specifika a rizikovost konkrétní zpracovatelské situace. Jiné zabezpečení musí správce nastavit, pokud pro něj dodavatel spravuje kamerový systém, jiné s provozovatelem cloudové služby a jiné s kurýrní společností.
Bezpečnostní opatření je vhodné co nejkonkrétněji popsat ve zpracovatelské smlouvě, včetně možností a pravidel pro zapojení dalších dílčích zpracovatelů.
Plnění domluvených bezpečnostních opatření je nutné také pravidelně kontrolovat. Jistě není nezbytné kontrolovat všechny (sub)zpracovatele v plném rozsahu, ale na základě vyhodnocení rizikovosti jejich podílu na zpracování pravidelně ověřovat, jestli a jak plní klíčová smluvní ujednání, včetně těch týkajících se zabezpečení dat.
Na případně zjištěné nedostatky (zpracovatel smluvní ujednání neplní, nebo sjednaná bezpečnostní opatření nejsou dostatečná) musí správce reagovat. Například zavedeních dalších opatření na své straně, uplatněním smluvní pokuty či ukončením spolupráce.
Ani sebelepší smlouva nezbavuje správce primární odpovědnosti za ochranu osobních údajů a zajištění a doložení souladu s GDPR. Správné smluvní nastavení a kontrola, zda dodavatel, zpracovatel údajů, řádně plní své povinnosti, je tak i v jeho nejvlastnějším zájmu.
