Bezpečnostní novinky

Evropou otřásají pokuty kvůli porušení GDPR

Jeff Elder, 5. srpna 2019

V prvním roce platnosti nařízení GDPR bylo uloženo jen několik pokut – mezi nimi jsou i dvě velké pokuty z Velké Británie.

Hrozba velkých pokut již před dvěma lety přiměla podniky, aby nařízení GDPR braly vážně. Nikdo však nečekal, že se tyto pokuty stanou skutečností. Nyní v Evropě zaznělo důrazné varování v podobě významných rozsudků. 

Britská vládní agentura pro ochranu soukromí v polovině července oznámila uložení pokuty ve výši 230 milionů dolarů společnosti British Airways za porušení ochrany údajů o zákaznících v září 2018. Krátce na to tato agentura – Information Commissioner's Office (ICO) – oznámila pokutu ve výši 123 milionů dolarů pro hotelový řetězec Marriott za porušení, k němuž došlo v listopadu 2018. 

Obě společnosti porušili Obecné nařízení o ochraně osobních údajů (GDPR). Evropská unie schválila zákon na ochranu soukromí na jaře roku 2016 a přibližně o dva roky později jej uvedla v platnost. Obchodní svět věnoval pečlivou pozornost hrozícím pokutám ve výši až 25 milionů dolarů nebo 4 % z celosvětových ročních příjmů společnosti. 

V prvním roce platnosti nařízení GDPR bylo uloženo pouze několik velkých pokut. (Např. pokuta 57 milionů dolarů pro společnost Google za zpracování informací o uživatelích v reklamě udělená v lednu ve Francii.)

Od května však vlády uložily nejméně stejné množství významných pokut. Britská agentura se svými dvěma pokutami z minulého týdne také zařadila na seznam. 

Německo pokutovalo policistu 1 500 dolary za vyhledání mobilního čísla řidiče pomocí státní poznávací značky a následné telefonování z osobních důvodů.

Mezi pokuty udělené na jaře tohoto roku patřil trest ve výši více než 400 milionů dolarů udělený ve Francii realitní společnosti za nesprávné zacházení s daty z bezpečnostních kamer a pokuta 280 000 dolarů pro provozovatele španělské fotbalové ligy La Liga za zneužití mikrofonu aplikací pro mobilní telefony. Méně rozsáhlý je případ policisty v Německu, který obdržel pokutu 1 500 dolarů za to, že pomocí státní poznávací značky zjistil mobilní telefonní číslo řidiče, kterému pak volal z osobních důvodů. (Agentura ICO tvrdí, že dbá i na dodržování ze strany jednotlivců.) 

Pokuty z tohoto týdne byly uděleny za porušení ochrany údajů – která je pro podniky nákladná již sama o sobě – a odkazují na konkrétní porušení nařízení GDPR s odpovídajícím stanovením pokuty. „Šetření ICO zjistilo, že u společnosti British Airways došlo z důvodu nedostatečných bezpečnostních opatření k porušení zabezpečení velkého množství informací, a to včetně přihlašovacích údajů, čísel platebních karet, údajů o rezervovaných cestách a také jmen a adres osob,“ uvedla agentura. Letecká společnost s agenturou ICO spolupracuje, přičemž dostane možnost problémy odstranit a snížit tak pokutu. 

Pokud jde o hotelový řetězec Marriott, zjistila britská agentura nedostatky v zabezpečení v souvislosti s akvizicí, která u společnosti proběhla. „Šetření ICO zjistilo, že společnost Marriott nedodržela dostatečně postupy náležité péče,“ uvádí agentura ve svém prohlášení, „a rovněž jsme našli nedostatky v zabezpečení systémů společnosti.“

Avast Blog položil britské agentuře ICO dotaz, zda obě pokuty z tohoto týdne mají sloužit jako varování pro společnosti, které se nejdříve na nařízení GDPR připravily, ale poté přestaly věnovat zabezpečení pozornost a vrátily se k běžnému provozu. Z odpovědi vyplývá, že agentura hodlá plně dbát na dodržování odpovědnosti. 

„Ve druhém roce platnosti nařízení GDPR musíme jít za hranici základních požadavků – organizace se musí přeorientovat na odpovědnost se skutečně patrným porozuměním rizikům, která jednotlivcům při zpracování údajů hrozí,“ odpovídá jménem úřadu komisařka pro informace Elizabeth Denhamová. 

Navzdory trestům, před nimiž stojí některé velké společnosti, které se dostaly do konfliktu s agenturou ICO, věří společnost Avast, že nařízení GDPR představuje rozumnou myšlenku, kterou je vhodné přijmout, nikoli hrozbu, které je třeba se bát.