Na začátku července britský ICO zveřejnil záměr udělit pokutu British Airways ve výši odpovídající 5,2 miliardám korun za únik osobních údajů zhruba půl milionu subjektů a v těchto dnech řeší udělení pokuty společnosti Marriott International ve výši 2,8 miliardy korun za nedostatečné zabezpečení záznamů o ubytovaných po celém světě při akvizici z roku 2016. Ani Amerika nezůstává v sankcích v oblasti ochrany osobních údajů pozadu a její úřady aktuálně uvalily na Facebook pokutu ve výši odpovídající pro tuzemce jen těžko představitelným 115 miliardám korun.
Výše těchto pokut samozřejmě reflektuje celosvětový obrat, význam a velikost postihovaných společností, proto je významně pocítí, jejich akcie klesnou, nemluvě o pošramoceném goodwill.
Za co vlastně vysoké pokuty začaly přistávat? Existují nějaké polehčující okolnosti? Může podobná padnout (byť v odpovídajícím měřítku) i u nás? Pojďme se na jednotlivé případy podívat blíž.
Případ první – British Airways / nedostatečné zabezpečení dat
Navrhovaná pokuta se týká porušení zabezpečení osobních údajů, které oznámila dozorovému orgánu sama společnost British Airways v září 2018. Incident spočíval v tom, že na webovou stránku společnosti zaútočili v červnu hackeři, kteří přesměrovali návštěvníky webu na podvodnou stránku, prostřednictvím které shromáždili v období tří měsíců osobní údaje přibližně 500 000 zákazníků letecké společnosti. Není prokázáno, že by osobní údaje byly útočníky zneužity.
ICO po šetření konstatoval, že společnost nevyužila všechny dostupné možnosti zabezpečení osobních údajů, díky čemuž unikly přihlašovací údaje, údaje o platebních kartách, o rezervované destinaci, jakož i informace o jméně a adrese zákazníků této letecké společnosti.
Připomínáme, že společnost British Airways incident sama zjistila, nahlásila a při jeho šetření aktivně spolupracovala. Bezprostředně pak zavedla zvýšená bezpečnostní opatření.
Případ druhý – Facebook / slučování a nedostatečné splnění informační povinnosti
Americká Federální obchodní komise (FTC) začala provozovatele největší sociální sítě světa vyšetřovat před více než rokem kvůli podezření, že se citlivá osobní data milionů uživatelů dostala do rukou společnosti Cambridge Analytica, která pracovala pro prezidentskou kampaň Donalda Trumpa. Cambridge Analytica, se dostala k údajům o zhruba 87 milionech uživatelů Facebooku, a to bez jejich souhlasu. Facebook navíc zatajil uživatelům detaily zpracování včetně rozpoznávání rysů v obličeji. Problémem Facebooku je i spojení s dalšími aplikacemi WhatsApp nebo Instagram, následkem čehož od začátku tohoto roku v Německu nesmí bez souhlasu uživatelů vyhodnocovat společně data, která o nich získala na těchto různých platformách. Facebook totiž sbírá data z mnoha různých zdrojů a platforem – ze samotné sociální sítě, z výše zmíněných aplikací, které skupině patří, a také třeba z řady webových stránek, které jeho uživatelé navštíví. Všechna data pak sloučí, přiřadí k příslušnému facebookovému kontu a společně vyhodnocuje.
O problematickém přístupu Facebooku k dodržování pravidel ochrany osobních údajů svědčí i pokuta ve výši deseti milionů eur (téměř 260 milionů korun), kterou uložil společnosti jeden z nejbenevolentnějších evropských dozorových úřadů – italský Úřad pro ochranu spotřebitelů a hospodářské soutěže – za to, že společnost neinformovala uživatele „adekvátně a okamžitě“ ohledně užívání jejich osobních údajů.
Případ třetí – Marriott International / nedostatečné zabezpečení dat při akvizici
Incident, který Marriott oznámil ICO v listopadu 2018, se týká cca 400 miliónů záznamů o návštěvnících hotelů Starwood po celém světě. Předpokládá se, že k incidentu došlo v roce 2014. Marriott následně získal Starwood v roce 2016, přičemž k odhalení Incidentu došlo až v roce 2018.
Šetřením ICO zjistil, že Marriott neprovedl dostatečnou kontrolu zabezpečení osobních údajů v době, kdy hotely převzal. ICO v této souvislosti konstatuje, že společnost vždy odpovídá za osobní údaje, které vlastní, byť je získala akvizicí jiného správce osobních údajů.
ICO výslovně uvádí: „Osobní údaje mají skutečnou hodnotu, takže organizace mají zákonnou povinnost zajistit jejich bezpečnost, stejně jako by to udělaly s jakýmkoli jiným aktivem.“
Osobní údaje nebyly zneužity, společnost incident sama zjistila, nahlásila ho a při jeho šetření aktivně spolupracovala. Bezprostředně po zjištění problému zavedla zvýšená bezpečnostní opatření.
Co mají uvedené případy společného?
Ve všech třech případech byla ochrana osobních údajů správcem podceněna.
Existují polehčující okolnosti?
Existují, ale je zřejmé, že jen ve velmi omezené míře. Uvědomíme-li si všechny souvislosti, tak pokuty mohly být jistě i vyšší, ale zároveň je zřejmé, že pro dozorové autority je při vyhodnocení rozhodující chování společností před vznikem incidentu, a to především ve vztahu k dodržování povinností daných nařízením. Dodatečná snaha o nápravu a součinnost s orgány dozoru je zohledněna, nicméně zásadním sankcím zdá se nezabrání.
Padnou podobné pokuty i u nás?
Evropská komise v těchto dnech zveřejnila zprávu o dopadu nových pravidel EU na ochranu osobních údajů, ve které směle konstatovala, že nový systém napomáhající prosazování pravidel na ochranu osobních údajů působí tak, jak má. Podniky se snaží, občané si stále více uvědomují svá práva a hodnotu svého soukromí. Současně však stále intenzivněji sílí snahy o sbližování pravidel při posuzování jednotlivých pochybení a jejich následného vyhodnocení prostřednictvím výše uložených pokut.
Snahou Komise je neumožnit vznik šedých zón a narovnat prostředí tak, aby třeba už za rok opravdu platilo ono tolik prosazované „Jeden kontinent, jeden právní rámec, stejná míra právních jistot“. Podíváme-li se na výši pokut doposud udělovaných českým dozorovým úřadem, nelze nevidět jisté disproporce. Je tedy spíše otázkou času, kdy s velkými pokutami dojde i na subjekty nakládajícími s osobními údaji v České republice.