Pokuty dle GDPR: 14,5 mil. EUR za porušení zásady "omezení uložení"

Autor: Mgr. Petr Otevřel | Vloženo: 11. 11. 2019 20:02 | Přečteno: 2417X

Na německé poměry rekordní pokutu za porušení povinností vyplývajících z obecného nařízení Evropského Parlamentu a Rady č. 2016/679 o ochraně osobních údajů, u nás známějšího pod anglickou zkratkou GDPR (dále jen „Nařízení“), uložil německý dozorový úřad společnosti Deutsche Wohnen SE, která je jedním největších poskytovatelů nájemního bydlení, vlastní zhruba 165 tisíc bytů a její akcie jsou obchodovány na burze. Důvodem bylo porušení zásady „omezení uložení“ a absence ucelených pravidel a nástrojů pro výmaz osobních údajů.

Zásada „omezení uložení“ 

Zásada omezení uložení je zakotvena v čl. 5 odst. 1 písm. e) Nařízení a vyžaduje po správci osobních údajů, aby byly osobní údaje uloženy ve formě umožňující identifikaci subjektů údajů po dobu ne delší, než je nezbytné pro účely, pro které jsou zpracovávány. Jak vyplývá z Preambule Nařízení, správce je povinen zajistit, aby byla doba, po kterou jsou osobní údaje uchovávány, omezena na nezbytné minimum. Správce je za tímto účelem povinen stanovit lhůty pro výmaz nebo pravidelný přezkum. 

Zásada „omezení uložení“ navazuje zejména na zásadu „účelového omezení“ (osobní údaje musí být shromažďovány a zpracovávány pouze pro určitý, výslovně vyjádřený a legitimní účel a nesmí být zpracovávány pro jiné účely) a na zásadu „minimalizace údajů“ (musí být zpracovávány pouze takové osobní údaje, které jsou relevantní, přiměřené a omezené na nezbytný rozsah, který vyplývá právě ze stanoveného účelu zpracování).

Tyto tři shora citované zásady omezují možnosti správce shromažďovat a zpracovávat osobní údaje, a správce proto musí:

• určit, jaký je legitimní účel zpracování osobních údajů, 
• určit, jaké osobní údaje jsou za tímto účelem nezbytné (a které naopak pro daný účel zpracování nepotřebuje a jejich zpracování by překročilo ono nezbytné minimum), 
• stanovit lhůty a pravidla pro výmaz těch osobních údajů, které sice zpracovával v souladu s Nařízením a dalšími právními předpisy, nicméně jejich další zpracování není nezbytné. 

Právě implementace zásady „omezení uložení“ bývá v praxi nejsložitější, protože zejména při zpracování osobních údajů většího rozsahu musí mít správce zavedenu řadu opatření, bez nichž nemůže fakticky uvedenou zásadu naplňovat, a bez nichž by ani nebyl schopen dozorovému úřadu doložit, že zpracovává osobní údaje v souladu se zásadou „omezení uložení“. 

Povinnost doložit dodržování jednotlivých zásad zpracování osobních údajů je zakotvena přímo v čl. 5 odst. 2 Nařízení a tvoří samostatnou zásadu, a to zásadu „odpovědnosti“. Už samotné porušení zásad dle článku 5 Nařízení, včetně zásady odpovědnosti, představuje porušení Nařízení, za které může dozorový úřad udělit správní pokutu. 

Skutkový stav případu „Deutsche Wohnen“ 

V tomto článku čerpám z tiskové zprávy dozorového úřadu (Berliner Beauftragte für Datenschutz und Informationsfreiheit). Celý případ začal už v roce 2017, kdy dozorový úřad prováděl kontrolu včetně místního šetření a zjistil, že informační systém společnosti Deutsche Wohnen v podstatě neobsahuje příslušné funkcionality, které by umožňovaly odstraňovat osobní údaje, jejichž další zpracování již není zapotřebí (a tím pádem je v rozporu se zásadou „minimalizace údajů“ a především „omezení uložení“). Docházelo tak k ukládání osobních údajů do databáze informačního systému, aniž by bylo přezkoumáno, že je takové zpracování přípustné a nezbytné. Bylo zjištěno, že databáze informačního systému obsahovala „staré“ osobní údaje, které byly kdysi do databáze vloženy, avšak ke dni kontroly v žádném případě nesloužily účelu, za kterým byly shromážděny a zpracovány (viz zásada „účelového omezení“). Takto nezákonně byly uchovávány osobní údaje o nájemcích bytů, včetně údajů o jejich finanční situaci, např. potvrzení o mzdě, výpisy z účtu, potvrzení a dokumenty vystavené za účelem čerpání sociálních dávek apod. 

Nutno dodat, že dozorový úřad už v červenci 2017 vyslovil doporučení (v tiskové zprávě je slovo „dringende Empfehlung“, asi bychom mohli přeložit jako urgentní doporučení) k tomu, aby Deutsche Wohnen provedla úpravy informačního systému i svých vnitřních procesů vztahujících se k archivaci a výmazu osobních údajů. 

Společnost Deutsche Wohnen sice provedla přípravné kroky k tomu, aby závadný stav odstranila, přesto nedokázala tyto kroky implementovat. Proto ani při druhé kontrole, která proběhla v březnu 2019 nebyla společnost Deutsche Wohnen schopná prokázat, že zpracování osobních údajů probíhá v souladu s Nařízením. 

Z tohoto důvodu udělil dozorový úřad správní pokutu, kterou odvodil na základě čl. 83 odst. 4 Nařízení z celkového ročního obratu. Vzhledem k tomu, že obrat Deutsche Wohnen přesáhnul v roce 2018 jednu miliardu EUR, bylo možné uložit pokutu až do výše 28 mil. EUR. Dozorový úřad pak při uložení pokuty přihlédnul k okolnostem upraveným v čl. 83 odst. 2 Nařízení a neuložil maximální možnou pokutu. 

Jako přitěžující okolnost zmínil už samotnou skutečnost, že společnost Deutsche Wohnen založila rozsáhlou databázi nájemců, aniž by zavedla potřebné procesy nezbytné k naplnění zásady „omezení uložení“, která byla v právních předpisech zakotvena samozřejmě už před nabytím účinnosti Nařízení (ano, dokonce i v České republice).

Jako polehčující okolnost naopak uvedl skutečnost, že společnost Deutsche Wohnen situaci začala řešit, provedla shora zmíněné přípravné kroky a po celou dobu s dozorovým úřadem dobře spolupracovala.  

Co z toho všeho vyplývá? 

Kromě obecně naformulovaných zásad zpracování osobních údajů v čl. 5 ukládá Nařízení správcům i další povinnosti, které jsou upraveny konkrétněji. Jednou z nich je zásada Privacy by Design v čl. 25 Nařízení, která ukládá správci aby s přihlédnutím ke stavu techniky, nákladům na provedení, povaze, rozsahu, kontextu a účelům zpracování a na základě posouzení rizik, zavedl účinným způsobem „vhodná technická a organizační opatření, jako je pseudonymizace, jejichž účelem je provádět zásady ochrany údajů, jako je minimalizace údajů … …a začlenit do zpracování nezbytné záruky tak, aby splnil požadavky tohoto nařízení a ochránil práva subjektů údajů.“ Článek 25 odst. 2 Nařízení pak tuto povinnost dále rozvádí a konkretizuje.

Samotná zásada Privacy by Design se trochu skrývá v bodě 78 recitálu (preambule) Nařízení, podle kterého by měl správce případné dodavatele produktů, služeb a aplikací určených ke zpracování osobních údajů „vybízet k tomu, aby při vývoji a koncipování těchto produktů, služeb a aplikací zohledňovali právo na ochranu údajů a brali náležitý ohled na stav techniky s cílem zajistit, aby správci a zpracovatelé mohli plnit své povinnosti v oblasti ochrany údajů“. 

V této souvislosti odkazuji na článek v časopise IT Systems 1-2/2018 s názvem: Privacy by Design anebo je Váš informační systém „GDPR Ready“?, ve kterém je zásada Privacy by Design blíže rozvedena. 

V souvislosti se zásadou  „omezení uložení“ a zásadou Privacy by Design musí správce: 

1. Provést kategorizaci jednotlivých operací zpracování (včetně popisu kategorie subjektů údajů, kategorie zpracovaných osobních údajů a kategorie příjemců), stanovit účel zpracování včetně lhůt pro výmaz jednotlivých kategorií. Ideální jsou pro toto záznamy o činnostech zpracování dle čl. 30 Nařízení, které je většina správců povinna tak jako tak vést (a valná část z nich nemá ponětí, co to vůbec je). 
2. Nastavit vnitřní procesy jako sadu organizačních opatření, v rámci kterých stanoví konkrétní osoby (zpravidla dle pracovního zařazení) odpovědné za provádění příslušných technických i organizačních opatření, např. za průběžnou aktualizaci záznamů o činnostech zpracování, za proškolení příslušných zaměstnanců ve věci zpracování osobních údajů, a dále musí správce stanovit procesy a pravidla pro evidenci lhůt pro výmaz osobních údajů a jejich bezpečný výmaz. Za tímto účelem by měl mít správce zpracovánu sadu vnitřních předpisů. 
3. Aplikovat zásadu Privacy by Design na informační systémy a produkty užívané při zpracování osobních údajů, tj. implementovat takové informační systémy, které umožní fakticky aplikovat přijatá opatření tak, aby správce mohl doložit (viz shora zmíněná zásada odpovědnosti), že jednotlivé zásady naplňuje, zejména pak zásadu „omezení uložení“ a „minimalizace údajů“. Pokud jeho stávající informační systém příslušné funkcionality neobsahuje, měl by po dodavateli informačního systému požadovat provedení takových úprav, které by mu umožnily zásadu omezení uložení naplnit. Informační systém by měl podle kritérií nastavených správcem automaticky upozornit na blížící se lhůtu pro výmaz, a případně obsahovat funkcionality pro provedení bezpečného výmazu příslušných osobních údajů, včetně jejich anonymizace. 

V této souvislosti nezbývá než konstatovat, že řada správců především z řad menších a středních firem problematiku osobních údajů podceňuje a často nepřistoupili ani k opatřením dle bodu 1) shora. Představují si totiž, že v případě kontroly jim musí dozorový úřad prokázat porušení při zpracování osobních údajů, a protože dosud neměli potíže s úniky či bezpečnostními incidenty v této oblasti, mají za to, že jsou „v pohodě“. Ve skutečnosti dozorový úřad může odkázat na zásadu odpovědnosti upravenou v čl. 5 odst. 2 Nařízení a jednoduše vyzvat správce, aby předložil důkazy o tom, že dodržuje zásady zakotvené v čl. 5 odst. 1 Nařízení. Při totální absenci záznamů o činnostech zpracování a vnitřních předpisů nebude pro dozorový orgán složité prokázat dotyčnému správci porušení povinností dle Nařízení.

 

Závěr

Na závěr je třeba uvést, že proti rozhodnutí dozorového úřadu se společnost Deutsche Wohnen může odvolat a lze předpokládat, že tak i učiní. Pokud byly informace v tiskové zprávě dozorového úřadu korektní, pak se ovšem domnívám, že ve sporu půjde spíše o výši uložené správní pokuty a její přiměřenost, protože zjištěné porušení zásady „omezení uložení“ je vcelku jasným a vážným porušením Nařízení. Zástupkyně dozorového úřadu v tiskové zprávě výslovně uvádí, že s obdobnými „hřbitovy osobních údajů“, se dozorový úřad setkává často a poukazuje na rizika vyplývající z existence takto rozsáhlých a prakticky neřízených databází. 

 

Mgr. Petr Otevřel, otevrel@lawyer.cz 
Autor působí v advokátní kanceláři Jansa, Mokrý, Otevřel & partneři s.r.o., kde se zabývá zejména smluvní úpravou v oblasti informačních technologií, autorským a obchodním právem a problematikou zpracování osobních údajů.