Brzy tomu budou dva roky, co vstoupilo v účinnost Obecné nařízení o ochraně osobních údajů neboli GDPR. Toto nařízení míří na všechny, kdo nějakým způsobem zachází s osobními údaji druhých, a zajišťuje, že s těmito citlivými daty bude nakládáno zodpovědně a ve všech členských státech Evropské unie stejně. Ačkoliv byly implementaci GDPR vyhrazeny více než dva roky, ne všichni se stihli pravidlům přizpůsobit. Pojďme se teď spolu podívat na ty největší provinilce v této oblasti.
Brzy tomu budou dva roky, co vstoupilo v účinnost Obecné nařízení o ochraně osobních údajů neboli GDPR. Toto nařízení míří na všechny, kdo nějakým způsobem zachází s osobními údaji druhých, a zajišťuje, že s těmito citlivými daty bude nakládáno zodpovědně a ve všech členských státech Evropské unie stejně. Ačkoliv byly implementaci GDPR vyhrazeny více než dva roky, ne všichni se stihli pravidlům přizpůsobit. Pojďme se teď spolu podívat na ty největší provinilce v této oblasti.
Zatím nejvyšší GDPR pokuta byla vyměřena společnosti British Airways. Ta se provinila především slabými bezpečnostními opatřeními, kvůli kterým webové stránky společnosti přesměrovávaly své zákazníky na podvodnou doménu. Skrze tu pak získávali hackeři citlivá data zákazníků, jako jsou jméno a příjmení, adresa bydliště, přihlašovací údaje, informace o plánované cestě, ale také informace o platebních kartách zákazníků, zahrnující jejich čísla, data expirace i CVV kód. Celkově se hackerům podařilo ukrást informace od přibližně 500 000 klientů. A jak velkou pokutu si aerolinky vysloužily? Její výše se v tomto případě vyšplhala na neuvěřitelných 204,6 milionů eur, čímž umístila britskou aerolinku do čela žebříčku nejvyšších GDPR pokut.
Druhá největší sankce v hodnotě 110,3 milionů eur byla udělena mezinárodnímu řetězci hotelů Marriott. Ten čelil na konci roku 2018 kybernetickým útokům, které vedly k odcizení citlivých osobních údajů. Mezi nimi byly detaily platebních karet, čísla osobních dokladů nebo například data narození více než 300 milionů hostů, z nichž více než 30 milionů bylo rezidenty EU. Za tímto malérem stála stejně jako v předchozím případě především nedostatečně zajištěná kybernetická bezpečnost. Hotelový řetězec ale navíc nedokázal své klienty včas upozornit na skutečnost, že jejich osobní data byla zpronevěřena. Ačkoliv byl únik dat zjištěn už v září, veřejně byla tato aféra přiznána až v listopadu.
Pokuta 50 milionů eur byla první velkou GDPR sankcí a zároveň znamením větším společnostem, že Evropa začala brát ochranu dat skutečně vážně. Sankce byla udělena poté, co byly na společnost Google podány dvě stížnosti přesně v den, kdy GDPR vstoupila v účinnost. A za co že byla pokuta 50 milionů vlastně udělena? Google používal příliš nesrozumitelný slovník a jeho prohlášení o zpracování dat uživatelů bylo téměř nemožné nalézt. Společnost zároveň využívala osobní data uživatelů pro personalizaci reklam, aniž by od nich předem získala souhlas.
Pozornost se začátkem tohoto roku obrátila také na mezinárodní síť H&M, konkrétně na její německé vedení, které údajně špehovalo zaměstnance svého zákaznického centra v Norimberku. Našel se totiž 60GB pevný disk obsahující citlivé informace o zaměstnancích, mezi nimiž byly také detaily z jejich soukromého života, například jejich zdravotní stav, rodinné spory a zážitky z dovolených. Společnost se ihned po zveřejnění skandálu omluvila a slíbila plnou spolupráci při vyšetřování případu. Výše pokuty zde zatím nebyla stanovena, ale podle zákona o GDPR by mohla dosáhnout až výše 22 miliard eur, čímž by s přehledem strčila všechny předešlé kauzy do kapsy.
A jak jsme na tom s GDPR sankcemi u nás v Česku? Ačkoliv se pokuty udělené v České republice zatím neblíží částkám uvedeným v našem článku, bez viny nejsou ani české společnosti. Nejvyšší GDPR pokuta, která na našem území zatím padla, byla udělena bance za uchovávání osobních dat i po uplynutí lhůty pro jejich likvidaci. Sankce byla ve výši 250 tisíc Kč, což se sice zdá v porovnání se zahraničními rekordmany zanedbatelné, i taková částka ale dokáže udělat společnosti čáru přes rozpočet. Navíc u nás padly i pokuty v řádu milionů, které ale vzhledem k tomu, že přestupky vznikly ještě před účinností GDPR, byly souzeny podle zákonu č. 101, a úplně se tak nedají zařadit mezi sankce zmíněné v našem článku. Jedním z nich byl například e-shop, který kvůli špatnému zabezpečení umožnil únik osobních dat až 750 000 svých uživatelů a kterému byla vyměřena pokuta 1 500 000 Kč. Jak vysoká by pokuta byla, pokud by byla souzena podle GDPR, můžeme jen hádat. Pokud si tedy nejste jistí, zda máte data uložena v souladu se směrnicí EU, neriskujte zbytečné pokuty. S implementací GDPR vám rádi pomůžeme!
Copyright © 2024 - Algotech a.s., all rights reserved
| Zpracování osobních údajů |
Všeobecné obchodní podmínky