2. 12. 2019

Stane se masivní GDPR pokuta udělená v Německu varováním pro realitní kanceláře?

Od David Kozák

Berlínský úřad pro ochranu dat a svobodu informací (Berliner Beauftragte für Datenschutz und Informationsfreiheit) uložil realitní společnosti Deutsche Wohnen SE se sídlem ve Frankfurtu nad Mohanem pokutu 14,5 milionu eur v rámci GDPR. Firma shromažďovala a ukládala osobní a finanční údaje nájemníků i přesto, že k tomu neměla právní základ a nepřijala požadované změny v systému archivace.

Německý úřad tak potvrdil trend vysokých pokut za porušení pravidel stanovených nařízením Evropského parlamentu o ochraně osobních údajů (GDPR), resp. za porušení lokálních zákonů o ochraně nebo zpracování osobních údajů.

Sankce pro společnost Deutsche Wohnen SE nebyla v letošním roce první. Už v červenci potrestala britská Information Commissioner’s Office realitní kanceláři Life at Parliament View Ltd se sídlem v Londýně pokutou ve výši 80 tisíc liber. Důvodem bylo, že firma mezi březnem 2015 a únorem 2017 náležitě nezajistila osobní a finanční informace pronajímatelů a nájemců.

Podle úřadu realitní kancelář nezajistila omezení přístupu, když převedla údaje ze svého serveru k partnerské organizaci. Kancelář přitom fakticky vydělala na tom, že pokutu úřad udělil podle zákona o ochraně údajů platného od roku 1998, tedy před platností GDPR. V opačném případě by mohla – podobně jako v Německu – dosáhnout milionů liber.

Milionové pokuty za neoprávněné zpracování dat

Pokuta německé realitní kanceláři úřad udělil proto, že firma ze svých databází nevymazala osobní a finanční údaje zákazníků, k jejichž zpracování neměla právní základ, a to přesto, že ji na tento prohřešek v červnu 2017 úřad upozornil a vyzval ji, aby změnila svůj systém archivace.

Společnost Deutsche Wohen SE podle úřadu uchovávala detailní osobní a finanční údaje nájemníků, jako jsou potvrzení o příjmech, vyplněné formuláře, výňatky z pracovních smluv a doklady o vzdělání, daňové, sociální a zdravotní údaje a bankovní výpisy. Šlo tedy o citlivé údaje, což v kombinaci s nedostatečnou reakcí na zmiňovanou výzvu ke změně systému archivace vedlo k milionové pokutě.

Úřad přitom údajně původně zvažoval pokutu v téměř dvojnásobné výši – 28 milionů eur. Firmě však neprokázal, že by s neoprávněně uloženými údaji zacházela nebezpečným způsobem.

Podobné “datové hřbitovy”, jaký německý úřad odhalil u realitní kanceláře, jsou podle odborníků velmi rizikové. To si však většina správců osobních údajů neuvědomuje až do okamžiku, kdy k neoprávněně uloženým údajům získají přístup kybernetičtí útočníci.

Podobně vysoké pokuty podle zástupců obou v tomto textu zmiňovaných institucí dávají jasně najevo, že osobní údaje mají svou hodnotu a systémové chyby při jejich zpracování budou tvrdě trestány.

Zdroj: teiss.