Za nedostatečné zabezpečení osobních údajů padla další velmi vysoká pokuta
Německý provozovatel mobilních služeb 1&1 Telecom GmbH dostal pokutu 9,6 milionu eur za nezavedení dostatečných technických a organizačních opatření k zabezpečení osobních údajů svých zákazníků. Jedná se o jednu z doposud nejvyšších pokut za porušení GDPR od účinnosti tohoto evropského nařízení. Společnost avizovala, že se proti pokutě odvolá.
Společnost 1&1 Telecom GmbH je jedním z největších poskytovatelů telekomunikačních služeb v Německu. Pokutu dostala za to, že telefonicky poskytovala řadu informací o účtu zákazníka, a to na základě autentizace spočívající pouze v uvedení jména, příjmení a data narození zákazníka. Německý úřad takový způsob autentizace shledal jako zcela nedostatečný. Kdokoliv totiž mohl snadno shromažďovat osobní údaje o zákaznících společnosti na základě znalosti těchto jejich základních identifikačních údajů, které jsou přitom na internetu často běžně dostupné.
Za porušení GDPR lze uložit pokutu až do výše 20 milionů eur nebo 4 % celkového ročního obratu
podniku, podle toho, která hodnota je vyšší. Přestože byla v daném případě společnost při nápravě závadného stavu velmi transparentní a kooperativní a přidala neprodleně další autentizační údaj, čímž výrazně zlepšila zabezpečení osobních údajů zákazníků, je uložená pokuta velmi vysoká. Roli při stanovení její výše totiž hrál jak vysoký obrat dané společnosti, tak i velký význam daného porušení, jelikož ohroženy byly osobní údaje všech zákazníků společnosti. Velmi vysoké pokuty v řádu stovek milionů eur za nedostatečné zabezpečení osobních údajů hrozí v současnosti také hotelovému řetězci Marriott nebo aerolinkám British Airways.
Správci i zpracovatelé osobních údajů by si tak měli prověřit úroveň zabezpečení jimi zpracovávaných osobních údajů, například zda při poskytování informací zákazníkům mají nastavené dostatečné ověření totožnosti dotazujícího, aby vyloučili sdělení osobních údajů neoprávněné osobě. Najít dostatečnou míru zabezpečení, aby na druhou stranu nebyl přístup ke službě příliš ztížen nebo nepředstavoval nepřiměřenou administrativní zátěž pro daného správce či zpracovatele, může být v některých případech poměrně složité. Zvlášť když GDPR naopak například stanoví, že správce má povinnost co nejvíce usnadňovat výkon práv ze strany subjektů údajů, mezi která patří i jejich právo na informace o zpracovávaných údajích. S ohledem na výše uvedenou rozhodovací praxi evropských úřadů pro ochranu osobních údajů doporučujeme věnovat této problematice náležitou pozornost.