GDPR Academy

Povinnosť zaplatiť dotknutej osobe náhradu za bezpečnostný incident

Popis problému, ktorý vznikol

Súd v Holandsku uložil prevádzkovateľovi povinnosť zaplatiť dotknutej osobe 250 eur, ako náhradu škody, ktorá jej vznikla z dôvodu porušenia ochrany osobných údajov. O čo išlo?
Prevádzkovateľom je stavebná spoločnosť, ktorá v roku 2021 umožnila záujemcom o kúpu nových domov zaregistrovať sa na webovej stránke. Túto možnosť využilo približne 1100 osôb. Prostredníctvom elektronického formulára boli získané tieto osobné údaje záujemcov o kúpu a ich partnerov: meno a priezvisko, dátum a miesto narodenia, adresa, e-mailová adresa a telefónne číslo, požadovaná kúpna cena, ročný príjem, vlastné prostriedky financovania, výška možnej pôžičky na kúpu nehnuteľnosti a pod.

Prevádzkovateľ odoslal e-mail všetkých osobám, ktoré sa zaregistrovali. K tomuto e-mailu bol však priložený aj nezabezpečený súbor, ktorý obsahoval údaje o všetkých, ktorí sa zaregistrovali do stavebného projektu. Takže každému jednému príjemcovi boli neoprávnene zaslané údaje o všetkých záujemcoch. A keďže prevádzkovateľ nepoužil žiaden bezpečnostný mechanizmus, ktorý by chránil údaje – napríklad ich šifrovaním, došlo k porušeniu ochrany osobných údajov.

Prevádzkovateľ ešte v deň odoslania zistil, že došlo k chybe a všetkých príjemcov vyzval, aby e-mail s prílohou ihneď vymazali. Porušenie ochrany osobných údajov oznámil aj príslušnému dozorujúcemu orgánu.
Jedna s dotknutých osôb si následne u prevádzkovateľa uplatňovala náhradu majetkovej škody vo výške 750 eur a nemajetkovej ujmy vo výške 20000 eur. Tvrdila, že od incidentu ju obťažuje neznáma osoba, že sa necíti bezpečne a je sledovaná.

Celý dokument si môžete prečítať na adrese: https://uitspraken.rechtspraak.nl/inziendocument?id=ECLI:NL:RBROT:2022:1419&showbutton=true&keyword=AVG

Čo urobiť, aby ste sa neocitli v rovnakej situácii?

Každý prevádzkovateľ, ktorý spracúva osobné údaje je povinný prijať primerané bezpečnostné opatrenia, technického a personálneho charakteru. Cieľom je chrániť spracúvané osobné údaje, a to aj z hľadiska ich dôvernosti. Uvedený prevádzkovateľ síce nespracúval osobné údaje, ktoré by boli súčasťou osobitne chránenej kategórie (čl. 9 všeobecného nariadenia o ochrane údajov), napriek tomu však išlo o pomerne citlivé osobné údaje (údaje o finančnej situácii dotknutých osôb). Neoprávnené spracúvanie týchto údajov môže mať na dotknuté osoby závažné negatívne dopady. O to prísnejšie opatrenia mal prevádzkovateľ zaviesť. Minimom mal byť mechanizmus, ktorý by chránil údaje pred ich neoprávneným sprístupnením, a to napríklad ich šifrovaním. Práve v takýchto situáciach, keď ľudskou chybou dôjde k incidentu, pomáha šifrovanie účinne zachovať dôvernosť osobných údajov. Samotná výzva príjemcov e-mailov, aby osobné údaje ihneď vymazali, lebo im nepatria a prevádzkovateľ sa len pomýlil, ani zďaleka neznamená, že k ich výmazu naozaj dôjde a nebudú použité s cieľom poškodiť dotknutým osobám.

Kde v GDPR Academy nájdete jednoduché vysvetlenie ako to urobiť?

O technických a personálnych opatreniach, o anonymizácii údajov a o šifrovaní sa dozviete v 7 lekcii online kurzu GDPR pre firmy a organizácie. Ako zvládať bezpečnostné incidenty, komu ich oznamovať a ako to urobiť nájdete v 9 lekcii kurzu.

Praktické otázky a ich riešenia, ktoré sa týkajú porušenia ochrany údajov nájdete v databáze znalostí GDPR Academy. Stačí si vyhľadať napríklad slovné spojenie “porušenie”.

Pripojte sa k odberateľom GDPR spravodaja

Náš newsletter práve teraz odoberá
Aktívnych odberateľov

Scroll to Top