Společnost International Card Services B.V. (ICS) dostala od nizozemské úřadu pro ochranu dat pokutu 150.000 EUR za porušení obecného nařízení o ochraně osobních údajů (GDPR). Klíčovým pochybením bylo, že společnost neprovedla posouzení vlivu na ochranu osobních údajů (DPIA) a dostatečně nezajistila ochranu osobních údajů při zavádění nového procesu pro identifikaci a kontrolu zákazníků.
Tento případ opět poukazuje na význam systematických opatření pro ochranu dat a nabízí cenné lekce pro podniky, které se snaží pohybovat v komplexním prostředí souladu s GDPR.
Pokuta za porušení čl. 35 GDPR
Nizozemská společnost ICS je významným hráčem ve finančním sektoru, který vydává vlastní kreditní karty a zajišťuje další služby na finančním trhu ve spolupráci s obchodníky, bankami a zájmovými skupinami. Na začátku roku 2024 byla potrestána za to, že neprovedla dostatečné hodnocení dopadu na ochranu údajů (DPIA) pro jí prováděná riziková zpracování osobních dat. GDPR zdůrazňuje význam DPIA, zejména pokud zpracovatelské činnosti představují vysoké riziko pro soukromí jednotlivců.
Proč je důležité hodnotit dopady zpracování na soukromí?
DPIA slouží k posouzení a minimalizaci rizik, jež může způsobit zpracování osobních údajů pro jednotlivce.
Jak konkrétně DPIA pomůže zajistit ochranu práv dotčených osob?
Identifikace rizik: V rámci DPIA správce identifikuje a hodnotí rizika spojená se zpracováním osobních údajů. To zahrnuje možná porušení zabezpečení, nedostatečnou ochrany soukromí, riziko diskriminace, zveřejnění důvěrných údajů a další aspekty, které by mohly negativně ovlivnit jednotlivce.
Preventivní opatření: Na základě zjištěných rizik lze v rámci DPIA navrhnout a implementovat preventivní opatření. To zahrnuje technická, organizační a právní opatření, která mají za cíl minimalizovat nežádoucí dopady na subjekty údajů.
Zajištění souladu s předpisy: Provedení DPIA je pro rizikovější zpracování přímo vyžadováno GDPR, jeho provedení přispěje k souladu i s mnoha dalšími právními předpisy v oblasti ochrany osobních údajů. Nedodržení této povinnosti může vést k sankcím, včetně udělení pokut.
Transparentnost: DPIA přispívá k transparentnosti zpracování vůči dotčeným osobám. Na základě DPIA je možné nastavit vhodný způsob, jak poskytnout subjektu údajů informace o zpracování údajů a souvisejících rizicích.
Důkazní materiál pro dozorové orgány: Dokumentovaná a aktualizovaná DPIA slouží jako důkazní materiál pro dozorové orgány, který pomáhá organizacím prokázat, že přistupují k ochraně osobních údajů vážně.
Povinnost provést posouzení dopadů (DPIA)
DPIA je potřebné provést vždy, když připravované zpracování osobních údajů zahrnuje:
Profilování dotčených osob.
Automatizované zpracování osobních údajů, jehož výstupem je rozhodnutí s právním účinkem na dotčenou osobu, např. posuzování bonity registry bankovních či nebankovních klientů, AML systémy ve finančním sektoru, systémy na omezení přístupu k hazardu apod.
Zpracování tzv. citlivých osobních údajů (např. rasa, zdravotní údaje, biometrické údaje, náboženské vyznání, členství v odborech, rodné číslo apod.) ve velkém rozsahu – přičemž není explicitně jasné, co se tím rozumí. Existují pouze určité výkladové pomůcky pro stanovení velkého rozsahu (např. počet dotčených osob v poměru k relevantní populaci, rozsah celkových údajů zahrnutých do zpracování, trvání zpracování, geografický rozsah aktivit).
Systematické monitorování veřejně přístupných míst ve velkém rozsahu, typicky využívání kamerových systémů v nákupních centrech, RFID čipové náramky v zábavních parcích a velkých rezortech, IMSI catchery nebo WIFI tracking využívaný v retailových provozovnách.
Monitorování zaměstnanců v práci, např. systematické sledování prohlížení, elektronické pošty, elektronická docházka apod.
Provádění systematických přeshraničních přenosů osobních dat do zemí mimo EU, resp. do zemí, o kterých nebylo rozhodnuto, že zajišťují stejnou úroveň ochrany osobních údajů dotčených osob.
Zpracování osobních údajů, které zahrnuje zranitelné skupiny lidí (děti, zaměstnanci, pacienti, zdravotně znevýhodnění apod.).
Využívání inovativních technologických a organizačních řešení, jako např. otisk prstu a rozpoznávání tváře pro zlepšení kontroly fyzického přístupu do určených objektů, příp. některé IoT technologie s vlivem na soukromí lidí, např. data z palubních navigací nebo chytrých televizorů.
Jak byla stanovena výše pokuty za porušení GDPR?
Pokuta byla určena s ohledem na zásady nizozemského orgánu pro ochranu osobních údajů a usměrnění Evropského sboru pro ochranu osobních údajů o výpočtu správních pokut podle GDPR.
Proces zahrnoval několik klíčových kroků:
Stanovení výchozí hodnoty: Nizozemský dozorový úřad zvážil možný rozsah pokuty podle pravidel pro výpočet správních pokut a identifikoval porušení podle článku 35(1) GDPR jako spadající do kategorie II. Základní částka této kategorie byla stanovena na 310.000 EUR.
Hodnocení okolností případu: Závažnost porušení byla stanovena se zohledněním faktorů, jako jsou povaha, trvání, úmyslný nebo nedbalý charakter porušení a kategorie zpracovávaných osobních údajů. Počet postižených osob, v tomto případě 1,5 milionu zákazníků, zvýšil závažnost porušení. Postup společnosti ICS byl vyhodnocen jako nedostatečný, protože neobsahoval systematický popis zpracování, nevyhodnotil nezbytnost a proporcionalitu zpracování a opatření přispívajících k ochraně práv subjektů údajů. Navíc dozorový úřad poznamenal, že nebylo jasné, zda byl do zpracování zapojen pověřenec pro ochranu údajů (DPO).
Další faktory: Úřad zohlednil další faktory, včetně implementace procesu opětovné identifikace zákazníka, který zahrnoval dopadu do soukromí. ICS do jisté míry řídila související rizka, avšak nesprávně vyhodnotila potřebu vypracování hodnocení dopadu na ochranu osobních údajů (DPIA).
Vzhledem k příslušným faktorům nizozemský úřad dospěl k závěru, že závažnost porušení GDPR byla nízká. Pokuta ve výši 150.000 EUR pak odráží vyvážený přístup mezi trestem a generální preventivní funkci pokuty v smyslu GDPR.
Soulad s GDPR: Průvodce pro podniky
I na základě zkušeností z případu ICS mohou podniky přijmout preventivní kroky k zajištění souladu s GDPR:
Pravidelné audity ochrany údajů: Pravidelně auditujte zpracovávání osobních údajů k identifikaci možných nesouladů a zajištění shody s principy GDPR.
Nastavení a dokumentování procesu pro zajištění souladu: Vypracujte komplexní proces pro zajištění souladu s GDPR, při rizikovém zpracování jmenujte pověřence pro ochranu údajů (DPO) a integrujte požadavky GDPR do každodenních operací.
Školení zaměstnanců: Pravidelně školte zaměstnance v principech GDPR i souvisejících interních postupech, abyste snížili riziko neúmyslného porušení pravidel.
Implementace principu ochrany údajů od návrhu: Integrujte zásady ochrany údajů do produktů, služeb a procesů už od počátku (privacy by design), abyste zajistili, že ochrana údajů bude výchozím nastavením.
Přehledná dokumentace: Dokumentujte všechny činnosti zpracování údajů, na vyžádání tak můžete poskytnout důkazy o souladu s GDPR.
Sledování regulace: Pravidelně sledujte novinky od zákonodárců, soudů a orgánů pro ochranu údajů a přizpůsobte se se vyvíjejícím se požadavkům.
Spolupráce s orgány pro ochranu údajů: Rozvíjejte spolupráci s dozorovými úřady, vyhledávejte radu, když je to nutné.
Příprava plánů reakce na incidenty: Vypracujte, zaveďte a testujte plány reakce na incidenty spočívající v porušení GDPR.
Přijetím těchto preventivních opatření mohou podniky efektivně snížit riziko porušení GDPR. A tím ochránit práva jednotlivců na soukromí a zvýšit svoji důvěru a kredibilitu v digitální době, kdy má ochrana údajů klíčový význam.