GDPR zákon

30 decembra, 2021

GDPR zákon

Čo je zákon o všeobecnom nariadení o ochrane údajov (GDPR)?

Zákon Európskej únie o všeobecnom nariadení o ochrane údajov (GDPR) je zákon platný v celej Únii, ktorý riadi ochranu osobných údajov. Zákon GDPR je navrhnutý tak, aby chránil súkromie údajov všetkých občanov EÚ a usmerňoval organizačné prístupy k zaobchádzaniu s údajmi, ako aj k ich prenosu cez hranice. Podľa GDPR je oznámenie o porušení povinné do 72 hodín, ak je pravdepodobné, že porušenie „povedie k riziku pre práva a slobody jednotlivcov“. GDPR sa vzťahuje na organizácie v rámci EÚ, ako aj organizácie mimo EÚ, ak ponúkajú tovar alebo služby európskym občanom. Vzťahuje sa aj na organizácie, ktoré online monitorujú správanie dotknutých osôb.

Organizácie, vrátane cloudových, môžu čeliť značným pokutám za porušenie všeobecného nariadenia o ochrane údajov. Podľa nariadenia sa vyžaduje súhlas rodičov, keď sa osobné údaje detí mladších ako 16 rokov spracúvajú online.

Pokuty GDPR vo svete v predchádzajúcich rokoch:

1. Amazon – 746 miliónov EUR (877 miliónov USD)

Gigantická pokuta spoločnosti Amazon v súvislosti s GDPR zákonom, oznámená v správe o výnosoch spoločnosti z júla 2021, je takmer 15-krát väčšia ako predchádzajúci rekord.

Úplné dôvody pokuty ešte neboli potvrdené, ale vieme, že príčina súvisí so súhlasom so súbormi cookie.

A nie je to prvýkrát, čo bol Amazon potrestaný za spôsob, akým zhromažďuje a zdieľa osobné údaje prostredníctvom súborov cookie. Koncom roka 2020 Francúzsko udelilo Amazonu pokutu 35 miliónov EUR po tom, čo tento technologický gigant údajne nezískal súhlas na používanie cookies na svojej webovej stránke.

Ako sa dalo predísť pokute: Je lákavé prinútiť používateľov, aby „súhlasili“ so súbormi cookie – alebo sťažili odhlásenie od súborov cookie – aby zhromaždili čo najviac osobných údajov.

2. WhatsApp – 225 miliónov EUR (255 miliónov USD)

Len niekoľko mesiacov po tom, čo kolosálna pokuta od Amazonu zrazila Google z prvého miesta podľa GDPR zákona, WhatsApp posunul Google na tretie miesto s takmer päťkrát väčším trestom, ako bol predchádzajúci rekord vyhľadávacieho giganta.

Írsko uvalilo na WhatsApp pokutu vo výške 225 miliónov EUR po tom, čo tvrdilo, že služba odosielania správ vo svojom oznámení o ochrane osobných údajov riadne nevysvetlila svoje postupy spracovania údajov.

Čo teda WhatsApp urobil zle? Je to komplikované a spoločnosť sa proti rozhodnutiu odvolá. To sa však scvrkáva na údajné zlyhanie WhatsApp pri vysvetlení svojho právneho základu pre určité spracovanie údajov – „oprávnené záujmy“.

Ak sa spoliehate na „oprávnené záujmy“, musíte sa uistiť, že ste vysvetlili, aké sú tieto záujmy v súvislosti s každou relevantnou operáciou spracovania.

3. Google – 50 miliónov EUR (56,6 milióna USD)

Pokuta od Googlu, uložená v roku 2019 a finalizovaná po neúspešnom odvolaní v marci 2020, bola najvyššia v histórii do augusta 2021.

Prípad sa týkal toho, ako spoločnosť Google poskytla svojim používateľom oznámenie o ochrane osobných údajov a ako spoločnosť požiadala o ich súhlas s prispôsobenou reklamou a inými typmi spracovania údajov.

Ako sa dalo pokute vyhnúť: Google mal používateľom poskytnúť viac informácií v pravidlách pre získanie súhlasu a poskytnúť im väčšiu kontrolu nad tým, ako sa spracúvajú ich osobné údaje.

4. H&M – 35 miliónov EUR (41 miliónov USD)

Dňa 5. októbra 2020 udelil úrad na ochranu údajov v Hamburgu v Nemecku maloobchodnému predajcovi odevov H&M pokutu 35 258 707,95 EUR, čo je druhá najväčšia pokuta podľa GDPR, aká bola v tom čase uložená.

Porušenie GDPR zákona zo strany H&M zahŕňalo „monitorovanie niekoľkých stoviek zamestnancov“. Keď si zamestnanci vzali dovolenku alebo práceneschopnosť, museli sa zúčastniť porady o návrate do práce. Niektoré z týchto stretnutí boli zaznamenané a prístupné pre viac ako 50 manažérov H&M.

Vedúci zamestnanci H&M získali „široké znalosti o súkromnom živote svojich zamestnancov… od dosť neškodných detailov až po rodinné záležitosti a náboženské presvedčenie.“ Tento „podrobný profil“ bol použitý na pomoc pri hodnotení výkonnosti zamestnancov a rozhodovaní o ich zamestnaní.

Ako sa dalo predísť pokute: Zdá sa, že H&M porušila zásadu minimalizácie údajov GDPR – nespracovávajte osobné informácie, najmä citlivé údaje o zdraví a viere ľudí, pokiaľ to nepotrebujete na konkrétny účel.

Spoločnosť H&M mala tiež zaviesť prísne kontroly prístupu k údajom a spoločnosť by tieto údaje nemala používať na rozhodovanie o zamestnaní ľudí.

5. British Airways – 22 miliónov EUR (26 miliónov USD)

V októbri udelili British Airways pokutu 26 miliónov dolárov za porušenie, ku ktorému došlo v roku 2018.

Čo sa teda stalo v roku 2018? Systémy British Airway boli ohrozené. Narušenie ovplyvnilo 400 000 zákazníkov a hackerom sa dostali do rúk prihlasovacie údaje, informácie o platobných kartách a mená a adresy cestujúcich.

Ako sa dalo vyhnúť pokute: Podľa úradu sa útoku dalo predísť, ale BA nemala dostatočné bezpečnostné opatrenia na ochranu svojich systémov, sietí a údajov. V skutočnosti sa zdá, že BA v čase porušenia ani nemala zavedené základy, ako je viacfaktorová autentifikácia.

V budúcnosti by letecká spoločnosť mala zaujať prístup v prvom rade k bezpečnosti, investovať do bezpečnostných riešení a zabezpečiť, aby mali zavedené prísne zásady a postupy ochrany osobných údajov.

6. Marriott – 20,4 milióna eur (23,8 milióna dolárov)

Po napadnutí databázy rezervácií hostí hotelového reťazca bolo odhalených 383 miliónov záznamov o hosťoch (30 miliónov obyvateľov EÚ). Boli odhalené osobné údaje, ako sú mená hostí, adresy, čísla pasov a informácie o platobných kartách.

Poznámka: Hack vznikol v rezervačnom systéme Starwood Group v roku 2014. Kým Marriott získal Starwood v roku 2016, hack bol odhalený až v septembri 2018.

Ako sa dalo predísť pokute: Zistilo sa, že Marriott nevykonal primeranú náležitú starostlivosť po akvizícii Starwood. Mali urobiť viac pre ochranu svojich systémov so silnejšou stratégiou prevencie straty údajov (DLP) a využívali metódy deidentifikácie.

7. Vodafone Italia – 12,3 milióna EUR (14,5 milióna USD)

Pokuta spoločnosti Vodafone Italia z novembra 2020 bola udelená v súvislosti so širokým rozsahom údajných porušení GDPR vrátane ustanovení v článkoch 5, 6, 7, 16, 21, 25, 32 a 33.

Problémy so spracovaním údajov spoločnosti zahŕňali nesprávne zabezpečenie údajov o zákazníkoch, zdieľanie osobných údajov s call centrami tretích strán a spracovanie bez právneho základu – to všetko vyšlo najavo po sťažnostiach na telemarketingovú kampaň spoločnosti.

Ako sa dalo predísť pokute: Marketingové operácie spoločnosti Vodafone mohli spustiť vyšetrovanie talianskeho úradu pre ochranu údajov, ale základnými problémami tu boli správa údajov a bezpečnosť spoločnosti.

Vodafone sa mohol vyhnúť tejto vysokej pokute tým, že by vykonával pravidelné audity svojich údajov a riadne dokumentoval všetky vzťahy so spracovateľmi údajov tretích strán.

8. Rakúska pošta – 9 miliónov EUR (10,23 milióna USD)

Najväčšia rakúska pokuta GDPR bola uvalená v septembri 2021, keď Austrian Post dostala sankciu vo výške 9 miliónov EUR za to, že údajne riadne neuľahčila žiadosti o práva dotknutých osôb.

Jediným komunikačným prostriedkom, ktorý však Austria Post neuznala, bol e-mail – a rakúsky DPA uviedol, že poštový dopravca mal umožniť dotknutým osobám podať žiadosť o práva prostredníctvom akéhokoľvek média, ktoré uprednostňujú.

Ako sa dalo predísť pokute: Rakúska pošta (ktorá sa plánuje proti pokute odvolať) mala spracovať žiadosti o práva dotknutých osôb bez ohľadu na ich doručenie – nútiť dotknuté osoby, aby používali konkrétny spôsob komunikácie a vylúčenie e-mailu nie je prijateľným spôsobom, ako im uľahčiť práva.

9. Google znovu – 7 miliónov EUR (8,3 milióna USD)

Z hľadiska presadzovania GDPR nebol rok 2020 pre Google dobrým rokom.

Spolu s tým, že spoločnosť v januári prehrala svoje odvolanie proti francúzskemu DPA, v marci švédsky úrad na ochranu údajov Švédska (SDPA) udelil pokutu spoločnosti Google za zanedbanie odstránenia dvojice záznamov výsledkov vyhľadávania podľa európskych pravidiel GDPR „právo byť zabudnutý“.

Ako sa dalo pokute vyhnúť: Google mal splniť práva dotknutých osôb, predovšetkým ich právo byť zabudnutý. Tým, že „zabezpečil, že bol zavedený proces na odpovedanie na žiadosti o vymazanie bez zbytočného odkladu a do jedného mesiaca od prijatia“.

AKÝ JE ZÁKON VŠEOBECNÉHO NARIADENIA O OCHRANE ÚDAJOV NA SLOVENSKU?

Ak chcete získať praktické kroky, ktoré môže vaša firma podniknúť na dosiahnutie súladu s GDPR, sledujte novinky na stránke úradu alebo na našej stránke.

Podobné články

Získajte príručku a staňte sa GDPR guru.

Neváhajte, množstvo je limitované

Objednať zadarmo

V Slovenskom jazyku úplne zadarmo, vrátane poštového doručenia

Príručka o európskych právnych predpisoch v oblasti ochrany údajov