Francouzský dozorový úřad udělil pokutu 120 tisíc eur internetovému poskytovateli věšteckých služeb za několikeré porušení GDPR a 30 tisíc eur za špatné nastavení cookies. Kromě systematického nahrávání hovorů mu vytkli špatné zabezpečení stránek. Jaké šifrování využít, abyste se vyhnuli sankcím?
Možná se i vám někdy stalo, že jste se vrátili z večírku a po zapnutí televize jste zůstali přikovaní k pořadu, kde věštci a jasnovidci po zavolání (a uhrazení poměrně drahého poplatku skrze operátora) vykládali budoucnost. Člověka fascinuje vystupování věštců a také životní příběhy, které jim lidé přes telefon v celonárodním vysílání sdělují. Je logické, že věštění, které se s příchodem televize přesunulo do tohoto multimediálního prostoru, potkalo to stejné i s příchodem internetu. Dnes tedy není nutné se kvůli zjištění své budoucnosti obracet na jasnovidce v jeho kanceláři či čekat na brzkou ranní hodinu, kdy pořady s věštěním dávají v televizi – z pohodlí domova lze jednoduše najít několik internetových stránek, kde pomocí online chatu či videa člověk zjistí svůj osud.
A právě jeden z takových provozovatelů internetových stránek (společnost KG COM) dostal pokutu od francouzského dozorového orgánu (CNIL) z důvodu porušení GDPR. Jedná se o několikátou pokutu v řadě, kdy se CNIL zaměřil na provozovatele rozličných služeb. Položme si tedy poměrně logickou otázku – copak nemohla společnost KG COM kontrolu a následnou pokutu předpovědět, třeba nějak vyvěštit, a připravit se na ni?
V roce 2020 se v médiích objevila zpráva, že jeden z věšteckých serverů prodělal zásadní únik osobních údajů. Dne 29. 9. toho roku totiž informoval jeden z novinářů provozovatele webu, že došlo k úniku. Tuto skutečnost doložil tím, že předmětné společnosti zaslal jako důkaz o narušení bezpečnosti vzorek klientské databáze z těchto stránek. Na to konto se CNIL rozhodl zahájit sérii vyšetřování, aby odhalil možný nesoulad s GDPR.
Jeho mise byla z tohoto pohledu úspěšná, neboť odhalil několik závažných porušení GDPR. V celkovém výčtu pochybení byl nedostatečný právní titul v rámci systematického nahrávání telefonních hovorů, shromažďování údajů o zdravotním stavu či sexuální orientaci a bankovních údajů či neplnění povinností v oblasti ukládání cookies – a ve vztahu k případu z roku 2020 povinnost oznámit porušení zabezpečení subjektům údajů. CNIL vyhodnotil, že nahráváním hovorů došlo k porušení zásady minimalizace, neboť společnost zaznamenávala všechny telefonní hovory mezi klienty a věštci – údajně za účelem kontroly kvality služeb, prokázání uzavření smlouvy či obhajoby právních nároků. Sama společnost pak ukončila telefonickou věštbu a s tím spojené nahrávání hovorů, nicméně to nemění nic na povinnosti zdůvodnit předchozí potřebu systematického nahrávání všech hovorů. Jistě si dovedete představit, s jakými problémy se lidé na věštce obrací – ne vždy jsou to čísla do loterie. Nahrávání hovorů je tak o to větším problémem, neboť nahrávky zaznamenávaly poměrně choulostivé popisy situací telefonujících.
Další problém CNIL viděl v extenzivním uchovávání platebních údajů, jež provozovatel stránek používal například pro usnadnění dalších nákupů – to však samo o sobě je bez právního titulu porušením GDPR. Kontrolovaná osoba pak argumentovala i potřebou uchování údajů pro účely předcházení podvodům a podobně, nicméně tato operace probíhala na základě oprávněného zájmu, a není ji tedy možné slučovat s operací, jež souvisí s větším pohodlím zákazníků kvůli zamezení opakovanému vyplňování platebních údajů.
To, že subjekt údajů dobrovolně poskytne své citlivé údaje, neznamená souhlas se zpracováním
Co se týče choulostivých hovorů, CNIL věc uzavřel s tím, že provozovatel stránek měl získat předchozí souhlas se zpracováním zvláštních kategorií osobních údajů. Skutečnost, že zájemce o věštbu volá sám a taktéž sám sděluje citlivé údaje ze svého života (včetně údajů o zdravotním stavu či sexuální orientaci), není sama o sobě udělením souhlasu. Zvláště pokud pokutovaná osoba selhala v rámci své povinnosti informovat subjekt údajů o okolnostech, které se týkají zpracování osobních údajů.
CNIL však také vadilo nedostatečné zabezpečení osobních údajů. Ostatně kontrola byla zahájena na základě zjištění o úniku osobních údajů. Jako v předchozích případech, CNIL vytkl provozovateli nepoužívání SSL certifikátů v rámci šifrování stránek. Vedle toho společnost selhala v rámci uchovávání, respektive šifrování přístupových údajů uživatelů a selhala také v rámci procesu placení, který obsahoval zranitelná místa.
Co dozorové úřady rozhodně nepromíjí, je neoznámení porušení zabezpečení v okamžiku, kdy k takovému porušení skutečně dojde a správce o něm ví. Dle CNIL měla totiž pokutovaná osoba po kontaktu s novinářem 29. 9. 2020 neprodleně ohlásit porušení zabezpečení CNIL. Společnost takto nepostupovala proto, že porušení zabezpečení nemohla ověřit, neboť na úrovni serveru neuchovává logy a tento server měl být uzavřen. Předmětná chyba měla být způsobena zpracovatelem, nicméně ani jeden z výše uvedených důvodů nezměnil nic na tom, že pokutovaná osoba jako správce je odpovědná za hlášení porušení zabezpečení, přičemž indicie měla již v momentu, kdy ji kontaktoval předmětný novinář.
Jako poslední porušení pak CNIL vyhodnotil ukládání cookies nejprve bez lišty (respektive bez získání souhlasu) a následně prostřednictvím lišty, která neumožňovala odmítnutí stejně jednoduše jako přijmutí.
Za porušení GDPR si správce vysloužil pokutu ve výši 120 tisíc eur (cca 2,8 milionu korun), kterou mu CNIL udělil ve spolupráci s evropskými protějšky v rámci režimu one-stop-shop, konkrétně s Belgií, Lucemburskem, Itálií, Španělskem, Portugalskem, Bulharskem, Německem a Irskem. Za porušení povinností v oblasti cookies již udělil pokutu CNIL sám, a to ve výši 30 tisíc eur.
Pokud bychom měli z tohoto případu vyvodit nějaké poučení, je vhodné začít od zabezpečení. Je to totiž již po několikáté, kdy se CNIL vyjadřuje k užití šifrování a bezpečnému přenosu údajů při návštěvě stránek. Pokud tedy máte stránky bez SSL certifikátu, je na čase to změnit.
Comments