Advokátní kancelář Jansa, Mokrý, Otevřel & partneři - specialisté na problematiku IT práva

Pokuty v GDPR: 500.000 EUR mimo jiné za porušení zásady Privacy by Design

Autor: Mgr. Petr Otevřel | Vloženo: 11. 12. 2019 11:51 | Přečteno: 222X

Zahraniční dozorové úřady tvrdě sankcionují porušení povinností upravených v obecném nařízení Evropského Parlamentu a Rady č. 2016/679 o ochraně osobních údajů, u nás známějšího pod anglickou zkratkou GDPR (dále jen „Nařízení“) a každý týden jsou zveřejňována nová. Pro dnešní článek jsem vybral zajímavé rozhodnutí vztahující se k provozování CRM systému v souvislosti s telemarketingem. 

Skutkový stav

Pokutovaná společnost dodává a montuje řešení zaměřené na úsporu energií, jako jsou speciální okna, izolace střech, solární panely nebo tepelná čerpadla (dále jen „společnost“). Kontrola dozorového orgánu byla prováděna na základě stížnosti na nevyžádaný telemarketing, dotčená osoba uváděla, že byla oslovena telefonicky s reklamní nabídkou, přestože proti tomuto způsobu komunikace (tedy přímého marketingu) dala již dříve námitku. Pokud subjekt údajů vznese námitku proti zpracování pro účely přímého marketingu ve smyslu čl. 21 odst. 3 Nařízení, nesmí správce za tímto účelem osobní údaje zpracovávat, a tedy ani oslovovat dotčený subjekt údajů s dalšími reklamními nabídkami (viz níže v tomto článku).  

Francouzský dozorový úřad (CNIL) v září 2018 zjistil, že společnost využívá subdodavatele se sídlem v Africe, call centra, která prováděla „první kontakt“ s vybranými osobami (které jsou v postavení subjektu údajů). Následně již byly tyto osoby kontaktovány zaměstnanci společnosti s konkrétní nabídkou služeb. Nicméně společnost neměla nastavené procesy, které by zohledňovaly námitky oslovených osob, z nichž některé (námitky) byly společnosti doručovány např. prostřednictvím e-mailu.

Kontaktní údaje oslovených osob byly shromažďovány a zpracovávány v CRM systému (Customer Relationship Management), v němž byly uloženy i vybraná data o zdravotním stavu osob stejně jako poznámky o tom, že si nepřejí být kontaktovány. Rovněž bylo zjištěno, že hovory byly nahrávány bez toho, aby o tom byly oslovené osoby informovány. Společnost nebyla schopna doložit ani smlouvy o zpracování osobních údajů, které by správně měly být uzavřeny s jednotlivými call centry (viz čl. 28 Nařízení), a navíc nijak neřešila předání osobních údajů africkým subdodavatelům, tedy subjektům, které nepodléhají jurisdikci EU. Předání osobních údajů má přitom svá přísná pravidla uvedená v čl. 44 a násl. Nařízení, které společnost ignorovala.

Aby toho nebylo málo, zjistil dozorový úřad také porušení zásady minimalizace údajů (čl. 5 odst. 1 písm. c) Nařízení), protože komentáře ukládané v rámci CRM systému byly nepřiměřené a obsahovaly příliš mnoho informací, aniž by to odpovídalo účelu zpracování. 

Rozhodnutí dozorového úřadu

Dozorový úřad už v průběhu řízení, a to v září 2018, uložil společnosti, aby provedla výmaz nepřiměřených komentářů z CRM systému a provedla opatření, která by i do budoucna bránila ukládání takových nepřiměřených komentářů do CRM systému, tedy komentářů, které nesouvisí s účelem jejich zpracování a porušují tak zásadu minimalizace údajů. Dozorový orgán rovněž požadoval, aby společnost vyškolila příslušné zaměstnance a upozornila je na skutečnost, že lze shromažďovat jen osobní údaje, které jsou přiměřené, relevantní a omezené na nezbytný rozsah ve vztahu k účelu zpracování. 

Ke splnění jednotlivých povinností uložil dozorový orgán společnosti lhůtu, nicméně nebyl spokojen s mírou spolupráce ze strany společnosti za účelem nápravy zjištěných porušení (viz čl. 83 odst. 2 písm. f) Nařízení). V důsledku toho uložil vysokou správní pokutu ve výši 500.000 EUR a ještě další „drobnější“ sankce a opatření. 

Jak vyplývá ze shora uvedeného, společnost se dopouštěla celé řady porušení povinností stanovených v Nařízení. Z těch „zajímavých“ závěrů dozorového úřadu bychom mohli uvést následující:

Informační povinnost v rámci telemarketingu:

V rámci telemarketingu je nutno podat informace subjektu údajů ihned, jakmile je kontaktován. Společnost postupovala tak, že oslovená osoba nebyla informována o rozsahu a účelu zpracování při zahájení hovoru, ale až následně formou e-mailu zaslaného na adresu, kterou jim dotyčná osoba sdělila. Takový postup je dle dozorového úřadu nedostatečný a je v rozporu s čl. 13 Nařízení a s jeho účelem, neboť subjekt údajů musí být informován už v okamžiku, kdy osobní údaje poskytuje, a nikoliv až dodatečně. 

Aplikace práva subjektů vznést námitky:

Právo vznést námitky proti zpracování za účelem přímého marketingu dle čl. 21 odst. 2 a 3 Nařízení zní velice složitě, fakticky to znamená možnost subjektu údajů ohradit se proti tomu, že je kontaktován (telefonicky, e-mailem i poštou) formou reklamních sdělení, a to v případech, kdy správce dovozuje, že k takovému přímému marketingu je dán jeho oprávněný zájem ve smyslu čl. 6 odst. 1 písm. f Nařízení. Jakmile subjekt údajů vznese námitku proti takovému zpracování svých údajů, neřeší se vůbec, zda je nebo není dán oprávněný zájem správce – v případě námitky subjektu údajů musí správce okamžitě přestat zpracovávat osobní údaje za účelem přímého marketingu, jak výslovně stanoví čl. 21 odst. 3 Nařízení. 

Vedle informaci o právu vznést námitky musí mít správce procesy nastaveny takovým způsobem, aby byly námitky zaevidovány a důsledně aplikovány. V tomto případě tedy měla společnost nejen okamžitě ukončit zpracování osobních údajů za účelem přímého marketingu, ale zejména měla mít nastaven proces, v rámci kterého by v těchto případech informovala své subdodavatele (jednotlivá call centra) nebo provedla výmaz z jim dostupné databáze tak, aby již nedocházelo ani ze strany call center k telefonickému kontaktu osob, které vznesly námitky. 

Část odůvodnění vztahující se k zásadě Privacy by Design

Ještě zajímavější jsou závěry vztahující se k nakládání s osobními údaji v rámci CRM systému (nebo jakéhokoliv jiného informačního systému). Tyto závěry jsou uvedeny v části odůvodnění vztahující se k porušení zásady minimalizace údajů, kterou lze laicky vysvětlit slovy „neshromažďuj a nezpracovávej údaje, které nejsou zcela nezbytné k účelu zpracování.“ Pokud někomu společnost nabízí izolaci střechy, nemusí zpracovávat údaj o tom, že majitel tohoto domu má problémy s klouby, a to ani v případech, kdy to na sebe ochotně prozradil. 

V této souvislosti dozorový úřad jednak konstatoval, že zásada minimalizace údajů byla porušena (byly zpracovávány údaje, které jsou nepřiměřené a nejsou nezbytné k stanovenému účelu zpracování), a současně se zabýval procesy, které by měla mít společnost nastaveny a které chybí.

Přitom nestačí pouze proškolit uživatele CRM systému a dát jim pokyn, aby nezaznamenávali určité údaje a pojmy, ale naopak je nezbytné samotný proces shromažďování osobních údajů už od počátku nastavit tak, aby nedocházelo k ukládání určitých údajů a pojmů. Dozorový úřad v odůvodnění zmiňuje možnost nastavit CRM systém tak, aby vůbec neumožnil ukládat vybraná slova, případně nastavit proces následné kontroly a výmazu osobních údajů, které neodpovídají účelu, za kterým společnost osobní údaje shromažďuje a zpracovává.

Dozorový úřad tak aplikoval poměrně extenzivně zásadu Privacy by Design, upravenou v čl. 25 Nařízení, podle které by každý správce měl na základě posouzení rizik zavést účinná a vhodná technická a organizační opatření, jejichž účelem je provádět zásady ochrany údajů, jako je minimalizace údajů, a následně „začlenit do zpracování nezbytné záruky tak, aby splnil požadavky tohoto nařízení a ochránil práva subjektů údajů.“ 

Samotný princip Privacy by Design se trochu skrývá v bodě 78 recitálu (odůvodnění) Nařízení, podle kterého by měl správce případné dodavatele produktů, služeb a aplikací určených ke zpracování osobních údajů „vybízet k tomu, aby při vývoji a koncipování těchto produktů, služeb a aplikací zohledňovali právo na ochranu údajů a brali náležitý ohled na stav techniky s cílem zajistit, aby správci a zpracovatelé mohli plnit své povinnosti v oblasti ochrany údajů“. Jednoduše řečeno správce musí „tlačit“ na dodavatele svých informačních systémů a požadovat takové úpravy, aby mohl jejich prostřednictvím mohl efektivně dodržovat povinnosti stanovené v Nařízení. 

Závěr

Důvodů k uložení pokuty našel dozorový úřad celou řadu, počínaje neřízeným předáním osobních údajů do třetích zemí (tedy mimo EU), porušením zásady minimalizace údajů, nesplněním informační povinnosti a konče ignorováním námitek subjektů údajů a neposkytnutím řádné součinnosti vůči dozorovému úřadu. Vedle všech uvedených důvodů je citované rozhodnutí určitě jedním z prvních, kdy dozorový úřad v souvislosti s porušením zásady minimalizace údajů uvádí výslovně nedostatečně nastavený informační systém a následné kontrolní procesy a fakticky tak odkazuje na zásadu Privacy by Design. Správci by se proto měli zabývat i tím, co všechno umí jejich informační systém v rámci nakládání s osobními údaji, přičemž samotná možnost provést výmaz dat (kterou obsahuje každý systém) zdaleka nemusí stačit. V případě kontroly pak nemusí stačit ani konstatování ve smyslu „ono to nejde“ nebo „náš systém to prostě neumí.“ 

Mgr. Petr Otevřel, otevrel@lawyer.cz
Autor působí v advokátní kanceláři Jansa, Mokrý, Otevřel & partneři s.r.o., kde se zabývá zejména smluvní úpravou v oblasti informačních technologií, autorským a obchodním právem a problematikou zpracování osobních údajů.