Pokuty dle GDPR: Snížení pokuty 9,5 mil EUR německým soudem
Autor: Mgr. Petr Otevřel | Vloženo: 11. 4. 2021 20:50 | Přečteno: 1694XNavazuji na sérii starších článků vztahujících se k pokutám za porušení povinností vyplývajících z obecného nařízení Evropského Parlamentu a Rady č. 2016/679 o ochraně osobních údajů, u nás známějšího pod anglickou zkratkou GDPR (dále jen „Nařízení“). Zatímco po nabytí účinnosti Nařízení v platnost jsme mohli citovat pouze rozhodnutí dozorových úřadů, tedy správních orgánů, nyní už je k dispozici řada rozhodnutí správních soudů. Toto by mělo časem vést k nějaké ustálené praxi a tím také k větší míře právní jistoty pro adresáty Nařízení. Dnes se podíváme na jeden rozsudek německého správního soudu, kterým výrazně snížil pokutu uloženou dozorovým úřadem.
Skutkový stav
Dotčenou společností je jedna dceřiná společnost německého koncernu 1&1, poskytovatele služeb elektronických komunikací, zejména připojení k internetu, ale také telefonních, hostingových a dalších služeb (dále jen „společnost“).
Společnost provozuje pro své zákazníky call centrum určené pro běžnou komunikaci, např. za účelem hlášení závad, objednávky či změny služeb nebo uzavírání smluv se společností. Identifikace volajících probíhala v závislosti na tom, z jakého čísla volal. Pokud se jednalo o telefonní číslo udělené společností, zobrazily se pracovníkovi call centra rovnou údaje volajícího. V případě neznámého nebo skrytého telefonního čísla proběhla identifikace volajícího, buď na základě jména a data narození, nebo na základě čísla zákaznické smlouvy.
Problematická byla zejména identifikace členů rodiny, kdy bylo praxí, že sdělil-li volající, že volá jako člen rodiny (aniž by byl uveden jako zákazník v zákaznické smlouvě) a uvedl-li základní identifikační údaje uvedené v zákaznické smlouvě, společnost měla za to, že volající člen rodiny je oprávněn jednat i za toho člena, který byl v zákaznické smlouvě uveden. Tak se stalo, že ochotný pracovník call centra sdělil volající ženě telefonní číslo „ex-partnera“, který si však toto číslo změnil právě proto, aby nemohl být svou „ex-partnerkou“ nadále kontaktován, neboť z její strany docházelo k jednání charakterizovanému jako stalking.*
Dozorový úřad (BfDI neboli Der Bundesbeauftragte für den Datenschutz und Informationsfreiheit, obdoba českého ÚOOÚ) byl na uvedený případ upozorněn přímo policií, která se případem stalkingu zabývala. V listopadu 2019 tak dozorový orgán uložil společnosti správní pokutu ve výši 9.550.000,-EUR, a v odůvodnění konstatoval, že společnost nezajistila přiměřenou úroveň ochrany osobních údajů ve smyslu čl. 32 Nařízení. Dozorový úřad se odvolal na možnost uložit pokutu „až do výše 2% celkového ročního obratu celosvětově“ upravenou v čl. 83 odst. 4 Nařízení a vzhledem k vysokým tržbám společnosti (3,63 miliardy EUR v roce 2018) konstatoval, že jí mohl vyměřit pokutu až 73.260.000,-EUR, a proto shledal uložených 9.550.000,-EUR jako přiměřenou výši správní pokuty.
Článek 32 Nařízení
Zabezpečení zpracování
- S přihlédnutím ke stavu techniky, nákladům na provedení, povaze, rozsahu, kontextu a účelům zpracování i k různě pravděpodobným a různě závažným rizikům pro práva a svobody fyzických osob, provedou správce a zpracovatel vhodná technická a organizační opatření, aby zajistili úroveň zabezpečení odpovídající danému riziku, případně včetně:
a) pseudonymizace a šifrování osobních údajů;
b) schopnosti zajistit neustálou důvěrnost, integritu, dostupnost a odolnost systémů a služeb zpracování;
c) schopnosti obnovit dostupnost osobních údajů a přístup k nim včas v případě fyzických či technických incidentů;
d) procesu pravidelného testování, posuzování a hodnocení účinnosti zavedených technických a organizačních opatření pro zajištění bezpečnosti zpracování.
Ještě předtím, než byla pokuta uložena, provedla společnost průzkum toho, jakým způsobem call centra konkurence řeší identifikaci volajících a zjistila, že v řadě případů stejně vágně, jako ona sama. V souvislosti s probíhajícím řízením před BfDI společnost zavedla nový způsob identifikace volajících, nejdříve zvýšila počet identifikátorů a od začátku prosince 2019 se musí volající identifikovat pětimístným PINem, který je jim zaslán poštou nebo mailem.
Snížení správní pokuty soudem
Společnost napadla rozhodnutí dozorového úřadu (BfDI) u správního soudu (LG Bonn). Soud přisvědčil dozorovému úřadu, že společnost nedostála své povinnosti přijmout dostatečná technická a organizační opatření na ochranu práv, čímž došlo k neoprávněnému zpřístupnění a neoprávněnému přístupu k osobním údajům subjektu údajů, protože pravidla pro identifikaci volajících byla nedostatečná.
Při posuzování toho, zda došlo k porušení článku 32 Nařízení, zmínil soud v odůvodnění následující hlediska:
- Pracovníci call centra nemají přístup k žádným citlivým osobním údajům ve smyslu čl. 9 Nařízení (tzv. zvláštní kategorie osobních údajů, jako je rasový či etnický původ, politické názory, náboženské či filozofické přesvědčení, zdravotním stavu, sexuální orientaci apod.).
- Pracovníci call centra pracují pouze s obecnými kontaktními osobními údaji (adresa, telefonní číslo a e-mailová adresa) a s číslem bankovního účtu. Rovněž riziko zneužití těchto údajů je nízké a nedá se očekávat, že by nějaká třetí osoba vůbec měla o získání těchto údajů zájem, natož aby k nim získávala neoprávněně přístup prostřednictvím hovorů na call centrum.
- Jako reálné riziko, jemuž musí společnost čelit, však soud vyhodnotil případné útoky na konkrétní osoby, které volající zná, ať už se jedná o veřejně známé osoby, nebo o jiné osoby, kdy by získání kontaktních údajů bylo nežádoucí, podobně jako v případě bývalé partnerky, která se dopouštěla stalkingu. I když počet takových případů nebývá vysoký, má společnost několik milionů zákazníků, a tak jde o reálné riziko dotýkající se relativně vysokého počtu osob.
- Snížení rizika lepší identifikací volajících je možno zajistit, a niž by to znamenalo nepřiměřené náklady pro společnost, chování pracovníků mohla společnost ovlivnit v rámci organizačních opatření (lepším nastavením pravidel pro identifikaci volajících) a tedy s minimálními náklady.
- Z organizačních opatření zmínil soud výslovně povinnost dle čl. 32 odst. 1 písm. d) Nařízení, tedy povinnost reagovat na neustálý vývoj techniky a s tím spojených rizik, a provádět pravidelné testování a hodnocení účinnosti technických a organizačních opatření. Tuto povinnost společnost porušila a nedoložila, že by se zabývala tím, zda je ochrana osobních údajů v rámci provozu call centra dostatečná.
Přes shora uvedené správní soud výši správní pokuty výrazně snížil, a to z původních 9,5 mil. EUR na "pouhých" 900.000,-EUR. V odůvodnění zmínil následující hlediska:
- Nebyly dotčeny ani ohroženy žádné citlivé osobní údaje ve smyslu čl. 9 Nařízení (tzv. zvláštní kategorie osobních údajů, viz vysvětlení výše). Rovněž riziko neoprávněného zpřístupnění osobních údajů je malé, viz body 1) až 3) uvedené výše.
- Neoprávněný přístup k osobním údajům byl zaznamenán pouze v jednom shora uvedeném případě.
- Pro ochranu osobních údajů v rámci provozu call centra neexistují žádná vodítka nebo pokyny, ze kterých by mohli adresáti Nařízení vycházet nebo je považovat za minimální standardy.
- Snížená bezpečnostní úroveň při identifikaci volajících existovala z důvodu co nejvyššího komfortu zákazníků společnosti, kterým společnost nechtěla klást překážky pro kontaktování společnosti.
- Společnost velmi dobře spolupracovala s dozorovým úřadem, neprodleně zvýšila úroveň autentifikace volajících a následně na základě konzultací s dozorovým úřadem zavedla servisní PIN pro své zákazníky.
- Jedná se o první případ, kdy byla společnosti udělena správní pokuta ze strany dozorového úřadu pro porušení povinností v souvislosti s ochranou osobních údajů.
Závěr
Zdá se, že německé soudy budou trochu pečlivěji zohledňovat okolnosti, které s porušením Nařízení souvisí. To přeci jen kontrastuje se značnou lehkostí, s jakou německé dozorové úřady ukládají mnohdy docela astronomické správní pokuty. Nicméně v tomto případě soud zdůraznil jako polehčující okolnost především nízkou míru rizika pro subjekty údajů. Pokud by zmíněná společnost nakládala s citlivějšími osobními údaji, pak by soud nepochybně nebyl zdaleka takto velkorysý. Za zmínku rovněž stojí důraz, který soud v odůvodnění kladl na provádění organizačních opatření, včetně pravidelných kontrol a testování přijatých technických opatření na ochranu osobních údajů. Správci osobních údajů by organizační opatření neměli rozhodně podceňovat, protože v případě jakékoli kontroly ze strany dozorového úřadu (v ČR je jím ÚOOÚ) nesou důkazní břemeno a jsou povinni prokázat, že naplňují zásady ochrany osobních údajů uvedené v Nařízení. Bez kvalitně zpracovaných vnitřních předpisů v této oblasti bude velmi obtížné doložit, že se skutečně systematicky touto problematikou zabývají.
* z pojmu „Ex-Partner“ užívaného v judikátu není zřejmé, zda jde o ex-manžela, nebo pouze o nesezdaného ex-partnera
Autor: Mgr. Petr Otevřel, otevrel@lawyer.cz
Autor působí v advokátní kanceláři Jansa, Mokrý, Otevřel & partneři s.r.o., kde se zabývá zejména smluvní úpravou v oblasti informačních technologií, autorským a obchodním právem a problematikou ochrany osobních údajů.