Nizozemský dozorový úřad (AP) v průběhu dubna definitivně potvrdil konec šetření a udělení
pokuty tamní Daňové a celní správě (daňová správa). Na rozdíl od naší právní úpravy je v Nizozemsku možné pokutovat i místní veřejné orgány, čehož AP využil a udělil vcelku vysokou pokutu 3,7 milionu euro (cca 90 milionů korun). Pokuta sestává z několika oddělených částek za jednotlivá zjištěná porušení Nařízení GDPR.

Celé šetření se týkalo seznamu nizozemské daňové správy, který obsahoval osobní údaje více než
250 tisíc subjektů údajů, včetně dětí. Na tomto seznamu se mj. nacházela i data spadající do zvláštní
kategorii osobních údajů dle čl. 9 Nařízení GDPR.

Daňová správa tento seznam vedla za účelem předcházení daňovým podvodům, přičemž většina
osob, která se na tomto seznamu nacházela, byla podezřívána právě z toho, že by se mohla dopustit
daňových podvodů. Nešlo tak ani o již usvědčené podvodníky. Daňová správa tento seznam vedla
sedm let, přičemž přístup k němu měla většina zaměstnanců daňové správy.

AP během svého šetření nalezlo hned 6 pochybení proti Nařízení GDPR. Tím prvním byla absence
řádného právní titulu, kdy vedení takové seznamu nenašlo oporu jak v Nařízení GDPR, tak ani v nizozemském právním řádu. Nedostatečně vymezený byl i účel zpracování, který byl vzhledem k specifičnosti zpracování značně vágní. Část osobních údajů v seznamu byla navíc již zastaralá nebo dokonce nepřesná – osoby tak byly podezřívány z budoucího spáchání daňových podvodů zbytečně. Daňová správa navíc v mnoha případech postupovala diskriminačně, kdy například jako rizikové vyhodnotila finanční příspěvky na provoz místních mešit.

Seznam nebyl dostatečně zabezpečen, o čemž svědčí i velmi malé omezení přístupu k němu zmíněné výše. Jako nepřiměřená byla vyhodnocena i doba zpracování seznamu. Vzhledem k rozsáhlému zpracování pak daňová správa dle AP nedostatečně a pozdě do celého procesu zapojila pověřence pro ochranu osobních údajů.

CNIL udělil další milionovou pokutu

Francouzský dozorový úřad CNIL opět potvrdil svou pověst jednoho z nejobávanějších dozorových úřadů napříč Evropskou unií. Tentokrát se CNIL zaměřil na únik dat softwarové společnosti Dedalus, která mj. funguje jako zpracovatel osobních údajů pro více než 3 tisíce zdravotních laboratoří. A právě data z těchto laboratoří, která se týkala více než půl milionu osob, se stala obětí úniku. Část uniklých dat pak obsahovala informace o zdravotním stavu dotčených osob, jejich medikace, určené léčby atd. Jde tedy o osobní údaje zvláštní kategorie, které je možné zpracovávat jen za předpokladu, že je nakládání s nimi opravdu důkladně ošetřeno.

Což se ovšem v tomto případě nestalo, neboť zabezpečení během transferu dat bylo dle CNIL velmi chabé a zapříčinilo již zmíněný únik. Na samotné výši pokuty se pak jistě podepsala i skutečnost, že o tomto nedostatečném zabezpečení informoval jeden ze zaměstnanců laboratoří již v roce 2020. V témže roce pak francouzské bezpečnostní orgány varovaly před tím, že část dotčených osobních údajů je dostupná k prodeji na darknetu.

Pochybení na úrovni zabezpečení byla opravdu vážná. Dedalus například nepřistoupil ani ke zcela základním bezpečnostním opatřením, včetně zašifrování citlivých dat. 

CNIL dále ve svém rozhodnutí přistoupil k ojedinělému kroku. Dedalus jakožto zpracovatel neměl s laboratořemi uzavřenou zpracovatelskou smlouvu. Vzhledem k okolnostem celého případu se nicméně za toto pochybení rozhodl CNIL pokutovat pouze Dedalus a nikoliv jednotlivé laboratoře, které vystupovaly v postavení správce osobních údajů.

Svou roli v tom mohla hrát i skutečnost, že v mnoha případech Dedalus značně překračoval zadání laboratoří ohledně zpracování dotčených osobních údajů a nerespektoval tak jako zpracovatel pokyny správce.

CNIL pak postupoval zajímavě i v rámci stanovení výše pokuty. V tomto konkrétním případě mohl CNIL dle Nařízení GDPR udělit pokutu až ve výši 2 % celkového ročního obratu nebo 10 milionů euro. A byť se konečná částka 1,5 milionu euro může zdát jako nízká, jde o téměř 9 % celkové obratu společnosti za rok 2020. CNIL se tak rozhodl pro vcelku přísnou výši pokuty, vzhledem k ekonomickým výsledkům potrestané společnosti