Prvé obete GDPR – v roku 2018 padli prvé vysoké pokuty

GDPR straší mnohé firmy v Európe. Jeho spustenie si vyžaduje dodatočné náklady pre firmy a i tak to neznamená, že vaše údaje sú v bezpečí. Väčšina spoločností pôsobiacich v Únii sa na opatrenie pripravila v predstihu a svojich zákazníkov informovala, aj tak už došlo k prvým pokutám za porušenie resp. únik osobných údajov.

Prvá pokuta padla v Českej republike

Český Úrad pre ochranu osobných údajov udelil pokutu vo výške 1,5 milióna českých korún (58 000 eur) online obchodu mall.cz za to, že nezabezpečil osobné údaje takmer štvrť milióna zákazníkov. Údaje unikli ešte v roku 2017 a udialo sa tak prostredníctvom servera ulozto.cz.

Čo sa vlastne stalo? Spoločnosť Internet Mall, a.s. nedokázala dostatočne zabezpečiť mená, priezviská, e-mailové adresy, heslá do užívateľských účtov či telefónne čísla najmenej 735-tisíc svojich zákazníkov a to od konca decembra 2014 do augusta 2017. Údaje o zákazníkoch boli zrejme pre zlyhanie ľudského faktoru dostupné takmer tri roky na obľúbenom online serveri, kde ľudia bežne nachádzajú pirátske kópie filmov, hudby a iné súbory.

Mall s týmto verdiktom, samozrejme, nesúhlasil a odvolal sa voči nemu na súd. Výsledok tohto konania zatiaľ nepoznáme.

Prvá pokuta pre nemocnicu padla v Portugalsku

Ani nie pol roka po uvedení GDPR zákona do platnosti prišla druhá pokuta, avšak prvá pre zdravotnícke zariadenie. Nemocnicu v mestečku Barreiro pokutovali za to, že osobné údaje pacientov sprístupnila neoprávneným osobám. Upozornil na to pred niekoľkými týždňami ekonomický týždenník Trend.

V informačnom systéme nemocnice bolo registrovaných 985 užívateľských účtov lekárov, ktorí mali povolený prístup k osobným údajom pacientov, pritom v danom čase tam bolo zamestnaných len 296 lekárov. Ostatné účty boli používané buď inými pracovníkmi, alebo boli neaktívne. Vyplýva však z toho fakt, že zvyšné účty boli falošné profily, ktoré niekto využíval na získavanie dát o pacientoch.

Pokuty za porušenie boli dve, v celkovej hodnote 400 000 eur spolu. Rovnako ako v Čechách, aj portugalská nemocnica sa voči rozhodnutiu odvolala. Na svoju obhajobu nemocnica uviedla, že využíva informačný systém, ktorý verejným nemocniciam poskytuje samotné ministerstvo zdravotníctva.

Portugalský úrad pre ochranu osobných údajov však rozhodol, že je zodpovednosťou nemocnice zabezpečiť, aby IT systém, ktorý používa, bol v súlade s GDPR. Ide o jednu z najvyšších pokút, ktorá bola v súvislosti s porušením pravidiel GDPR uložená.

Proti pokute za GDPR sa dá aj poistiť

Poistenie je určené pre spracovávateľov (subjekty, ktoré reálne spracúvajú osobné údaje tretích osôb alebo vlastných zamestnancov pre správcu) ako aj pre správcov (subjekty, ktoré sa rozhodli vykonávať spracovanie osobných údajov). Nezáleží na veľkosti spoločnosti. Poistenie zodpovednosti za škodu súvisiacu s ochranou osobných údajov je určené pre fyzické osoby, malé či veľké firmy.

Najväčšie GDPR pasce resp. na čo si dať pozor

• Zastaraný hardvér a softvér – najčastejšie je to práve nedostatočná ochrana dát a s tým spojené neoprávnené sprístupnenie osobných a dôverných informácii tretích osôb.
• Nelojálni zamestnanci - sprístupnenie dát tretích osôb prostredníctvom zamestnancov – je nesmierne dôležité, aby firmy mali plnú kontrolu nad tým, kto a akým spôsobom nakladá s citlivými osobnými údajmi.
• Strata alebo krádež hardvéru - zariadenia obsahujúce citlivé informácie, údaje, dáta (napr. mobilné telefóny, notebooky, tablety, PC…) – v prípade straty je potrebné okamžite nahlásiť skutočnosť.

Zdroj foto: Pixabay.com