Jak ochrana osobních údajů vypadat nemá: Pár nedávných pokut za porušení GDPR
13. 8. 2021
Zoom, Amazon, Monsanto… Evropské úřady pro ochranu údajů berou porušování pravidel čím dál vážněji – padla i rekordní pokuta.
Videokonferenční služba Zoom
Uživatelů Zoomu během pandemie značně přibylo, bohužel se však nejeden z nich setkal s tzv. zoombombingem – narušováním videohovorů nezvanými hosty. Vniknutí rušivých elementů mají na svědomí trollové, kteří následně spustí například záznam obrazovky, na níž přehrávají reklamy, ale i pornografii a další nevhodný obsah.
Zoom problém nedokázal odstranit. Že při zajištění dostatečné ochrany videohovorů selhal, není jediným důvodem k žalobě. Služba bez vědomí a souhlasu uživatelů sdílela data s Facebookem, a to aniž by na něm měli účet. Jakmile uživatel spustil aplikaci v iOS, poslala o tom informaci Facebooku, včetně informace o zařízení a poloze uživatele. Také předala Facebooku unikátní identifikátor sloužící ke sledování chování uživatele pro efektivnější cílení reklamy.
Proto musí Zoom zaplatit pokutu 85 milionů amerických dolarů (asi 1,8 miliardy korun). Uživatelé Zoomu se dočkají kompenzace buď ve výši 25 dolarů, nebo 15 % z ceny předplatného (podle toho, jaká varianta je pro danou osobu výhodnější. Ostatní dostanou maximálně 15 dolarů. Zoom teď samozřejmě musí zlepšit bezpečnostní opatření a nabídnout svým zaměstnancům školení pro lepší ochranu a nakládání s personalizovanými daty.
Společnost Monsanto
Francouzský CNIL uložil společnosti Monsanto pokutu 400 000 eur (asi 10 milionů korun) za to, že neinformovala více než 200 osob, včetně politiků a politických aktivistů, o shromažďování jejich osobních údajů pro lobbistické účely související s obnovením povolení glyfosátu v Evropě.
Předmětný soubor obsahoval informace o mateřské organizaci, pracovní pozici, profesní adrese, čísle pevné linky, čísle mobilního telefonu, e-mailové adrese a v některých případech i účtu na Twitteru. CNIL dále uvedl, že každé osobě bylo přiděleno skóre v rozmezí od 1 do 5, aby bylo možné posoudit její vliv, důvěryhodnost a podporu společnosti Monsanto v různých oblastech, jako jsou pesticidy nebo geneticky modifikované organismy.
CNIL zejména zdůraznil, že shromažďování takových údajů a vytváření takových souborů pro lobbistické účely není samo o sobě nezákonné, ale že jednotlivci mají právo být informováni o existenci souboru, aby mohli uplatnit další práva, zejména právo vznést námitku. CNIL dále zjistil, že shromažďování údajů ve skutečnosti prováděl dodavatel najatý společností Monsanto, společnost Fleishman-Hillard, a že společnost Monsanto rovněž porušila článek 28 GDPR tím, že do smluv se společností Fleishman-Hillard nezahrnula ustanovení stanovená GDPR, zejména pokud jde o bezpečnost údajů.
Společnost Foodinho
Italský úřad pro ochranu osobních údajů (Garante) pokutuje společnost Foodinho částkou 2,6 milionu eur (asi 64 milionů korun) za nezákonné algoritmy používané k řízení zaměstnanců. Foodinho je společnost zabývající se rozvozem a doručováním potravin a jídla na principu, jaký známe od českých firem jako Dámejídlo, Rohlík apod.
Tato digitální platforma v mnoha případech porušila ochranu osobních údajů. Zejména nedostatečně informovala pracovníky o fungování systému a nezaručila přesnost a správnost výsledků algoritmických systémů používaných pro hodnocení řidičů. Dále nezajistila postupy na ochranu práva na lidský zásah, vyjádření názoru a napadení rozhodnutí přijatých prostřednictvím dotčených algoritmů, a to i v souvislosti s algoritmem, který některé řidiče vylučuje z pracovních příležitostí.
Kromě toho italský úřad zjistil řadu dalších nedostatků v oblasti ochrany údajů, například pokud jde o posouzení vlivu na ochranu údajů, technická a organizační bezpečnostní opatření, jmenování pověřence pro ochranu údajů, vedení záznamů a ochranu údajů již od návrhu.
Vedle finanční sankce musí Foodinho vykonat řadu nápravných opatření:
- určit opatření na ochranu práv a svobod řidičů v souvislosti s automatizovaným rozhodováním, včetně profilování;
- ověřit přesnost a relevanci údajů používaných systémem;
- identifikovat opatření, která zabrání nesprávnému nebo diskriminačnímu využívání mechanismů založených na zpětné vazbě od zákazníků a obchodních partnerů.
„Algoritmy a umělá inteligence se využívají v čím dál více oblastech. Je proto důležité, aby si firmy uvědomovaly, že využití těchto technologií s sebou přináší i povinnosti a odpovědnost za to, že použité technologie budou férové a transparentní,“ dodává Jakub Hruška z Privatry.
Amazon
Americký internetový prodejce Amazon dostal od Evropské unie rekordní pokutu 746 milionů eur (19 miliard korun) za nedostatky v ochraně osobních údajů. Společnost to uvedla v podrobné zprávě o hospodaření, kterou veřejně obchodované firmy ve Spojených státech musejí povinně předkládat Komisi pro cenné papíry (SEC).
Společnost La Quadrature du Net vydala prohlášení, v němž upřesňuje, že rozhodnutí navazuje na její kolektivní žalobu proti společnosti Amazon zahájenou v březnu 2018. Plné znění rozhodnutí zatím není k dispozici, nicméně mělo by se týkat používání systému cílené reklamy bez svobodného souhlasu dotčených osob.
Perlička na závěr
Španělský úřad pro ochranu osobních údajů (AEPD) uložil fyzické osobě pokutu ve výši 2 000 eur (asi 50 000 korun) za porušení GDPR. Zmíněná osoba vytvořila falešný profil na seznamce s použitím fotografie a telefonního čísla žalobce, aniž by od něj získala souhlas.
Mohlo by vás také zajímat:
Hromadná žaloba proti sociální síti TikTok
Ceny Velkého bratra: ukázka toho, jak ochranu osobních údajů „chápou“ některé české instituce