Článek
Problém Hello bank! se netýkal samotného sběru dat, ten má banka zajištěný souhlasem klientů. Úřadu pro ochranu osobních údajů (ÚOOÚ) se ale nelíbilo, že banka biometrické údaje klientů získané přes technologii SignPad následně zbytečně uchovává.
„S biometrickými údaji musí správce obecně nakládat nanejvýš opatrně. Jako zvláštní kategorie osobních údajů může jejich zneužití znamenat hrubý zásah do soukromého a osobního života subjektu. Jejich zpracovávání je obecně zakázáno. Výjimku tvoří mimo jiné plnění smluvních podmínek,“ uvádí Vojtěch Marcín, zástupce tiskového mluvčího ÚOOÚ. „Pořád ale mluvíme jen o situacích, kdy je to nezbytně nutné. To se v tomto případě nestalo,“ doplnil.
Smlouva se v Hello bank! uzavírá buď na papíře, nebo elektronicky. Úřad podle Marcína zjistil, že biometrický podpis klienta pro účely uzavření a uchování smluvní dokumentace či zjednodušení tohoto procesu není nezbytný, protože v případě uzavírání smluv v listinné podobě také není potřeba.
„Správní orgán považuje dostatečné pro výše uvedené účely zpracovávat účastníkem řízení pouze prostý obraz podpisu klienta na dematerializované smluvní dokumentaci, který je srovnatelný s podpisem na smluvní dokumentaci v listinné formě. Účastník řízení uznal svoji chybu a přijal pokutu ve výši 250 000 Kč,“ informoval zástupce ÚOOÚ.
Zjednodušeně řečeno, podpis se skládá ze dvou částí – z obrázku podpisu a z dat s tímto podpisem spojených, jako je rychlost podpisu, tlak na tužku, zrychlení, doba podpisu a podobně. Argumentem banky pro sběr biometrických dat byla zejména ochrana klienta a jejich použití v případě potenciálního soudního řízení.
„Myslíme si, že klasický podpis na papírové smlouvě vykazuje podobné znaky jako ona metadata z biometrického podpisu, na papíře znalec také zkoumá různé tlaky nebo rychlost tahů. Nicméně jsme akceptovali rozhodnutí ÚOOÚ a uchováváme pouze ‚obrázek‘ podpisu, který zkoumání tohoto typu znemožňuje,“ reagovala na dotaz Seznamu Gabriela Pithartová, která v Hello bank! řídí oddělení značky a zákaznické zkušenosti.
„Nápravná opatření byla implementována od října 2018 a metadata spojená s podpisem smluv v prodejnách našich obchodních partnerů jsme přestali sbírat k prvnímu únoru letošního roku,“ konstatovala Pithartová. Hello bank!, bývalá splátková firma Cetelem, je pobočkou francouzské banky BNP Paribas.
Čtvrtmilionová sankce byla součástí balíku pravomocných pokut za prohřešky v oblasti ochrany osobních údajů včetně porušení nařízení GDPR, jejichž výši Úřad pro ochranu osobních údajů zveřejnil v půlce listopadu. K tomuto datu bylo uděleno celkem 105 pokut v souhrnné výši 7 467 000 Kč.
„Uvedená částka zahrnuje všechny pokuty od 25. 5. 2018 (platnost nařízení GDPR – pozn. red.), tedy jak za porušení původního zákona č. 101/2000 Sb. o ochraně osobních údajů, nového nařízení GDPR, tak také za porušení v oblasti šíření obchodních sdělení. Také jsou v ní zahrnuty pořádkové pokuty, které ÚOOÚ udělil,“ upřesnil ředitel odboru konzultačních agend úřadu Jiří Žůrek.
Sankce za nedostatečnou ochranu osobních údajů zatím v Česku nejsou vysoké. V Evropě už padly mnohem vyšší pokuty v řádu statisíců eur. Nejvyšší částky byly zatím nepravomocně vyměřeny britským společnostem Marriott International (110 390 200 eur) a British Airways (204 600 000 eur).
Balanční test
ÚOOÚ se zaměřil také na kvalitu vypracování balančního testu nebo na dostatečnost technicko-organizačních opatření při zpracování osobních údajů.
Kontroly zjistily, že většina tuzemských firem neví, co je balanční test. Ten přitom spadá do kategorie povinných úkonů v rámci GDPR. „Test proporcionality neboli balanční test je nástroj, který posuzuje, zda před oprávněným zájmem zpracovatele osobních údajů nemají přednost zájmy nebo základní práva a svobody toho, jehož osobní údaje jsou zpracovávány,” vysvětluje Renata Lukášová z poradenské firmy Ideal. „Toto GDPR vyžaduje pro každé zpracování osobních údajů, které správce hodlá vykonávat na základě zákonného důvodu oprávněného zájmu správce,“ dodává.
Balanční test je soubor 20 až 30 otázek pro každý účel zpracování (např. vlastní potřeby či manažerské rozhodování) a pro každý datový zdroj (např. životopis či hodnocení pracovníka). Musí být proveden před započetím zpracování osobních údajů a je nutné ho pečlivě uchovávat pro případnou kontrolu ÚOOÚ.
„Jestliže balanční test dospěje k závěru, že převažují zájmy toho subjektu, jehož údaje jsou zpracovávány, musí správce zvážit jiné řešení nebo od zamýšleného zpracování osobních údajů zcela upustit,“ upozorňuje Lukášová.
Technicko-organizační opatření
Z provedených kontrol je také zřejmé, že se ÚOOÚ zaměřuje na dodržování dostatečných technicko-organizačních opatření při zpracování osobních údajů. „Jedná se o způsob, jakým chráníme spravované citlivé údaje klientů, zaměstnanců či diskrétní zóny uvnitř firmy,“ říká IT specialista Petr Samek ze společnosti CNS.
Sem spadají například přístupová práva, nastavení rozsahu oprávnění, způsob zálohování a podobně. Dále do těchto opatření náleží ochrana IT infrastruktury jako celku a ochrana osobních údajů v tištěné podobě. Například uzamykatelné kartotéky, kanceláře s omezeným přístupem či trezory. „Nesmíme zapomenout ani na opatření v rámci prostorového zabezpečení v místech s výskytem většího množství osob, což je nejčastěji označení diskrétních zón, přijímací místnosti, vyvolávací systém a podobně,“ dodává Samek.