Meta a LinkedIn: Rekordní pokuty za porušení GDPR

Oběma zmíněným společnostem uložil citelné pokuty Data Protection Commission („DPC“), irský úřad pro ochranu osobních údajů, neboť právě v Irsku mají obě společnosti své evropské pobočky.  

Co konkrétně se odehrálo? 

Nejprve byla společnosti Meta Platformst Ireland Limited uložena pokuta ve výši 91 milionů eur za nedostatečné zabezpečení hesel uživatelů Facebooku a Instagramu. Šetření DPC odhalilo, že Meta uchovávala hesla v prostém textu, bez potřebného šifrování. Tímto jednáním Meta porušila povinnosti vyplývající z GDPR, zejména požadavek na zavedení odpovídajících bezpečnostních opatření pro ochranu osobních údajů a řádnou dokumentaci bezpečnostních incidentů. Uchovávání hesel v prostém textu totiž podle DPC představuje zásadní riziko pro práva a svobody subjektů údajů. Kromě pokuty bylo společnosti Meta uloženo přijmout opatření k zajištění souladu s GDPR a k nápravě identifikovaných nedostatků. Finální rozhodnutí DPC bylo oznámeno 27. 9. 2024, ačkoliv šetření trvala již od dubna 2019. 

Rekordní pokuta pro LinkedIn: Porušení GDPR při cílené reklamě

Hned v říjnu 2024 oznámil DPC uložení rekordní 310milionové pokuty společnosti LinkedIn Ireland Unlimited Company za porušení ustanovení GDPR při zpracování osobních údajů pro účely cílené reklamy. Šetření zahájené v roce 2018 na základě stížnosti francouzské neziskové organizace La Quadrature Du Net zaměřující se na obranu digitálních práv a svobod občanů v on-line prostředí odhalilo, že LinkedIn neoprávněně opíral zpracování osobních o souhlas subjektů údajů, který nesplňoval náležitosti dle GDPR, zejména svobodnost, konkrétnost a informovanost. Rovněž nesprávně aplikoval právní základ oprávněného zájmu, jehož uplatnění bylo v kolizi s právy a svobodami subjektů údajů. Společnost navíc nedostatečně plnila informační povinnosti ohledně právních základů zpracování a porušila zásadu transparentnosti a korektnosti. Kromě citelné finanční sankce bylo společnosti LinkedIn uloženo nápravné opatření směřující k uvedení procesů zpracování osobních údajů do souladu s GDPR. 

Důraz na ochranu osobních údajů a přísnější sankce

Kontroly a především znatelné sankce za porušení GDPR jsou ukládány čím dál častěji a ukazují, že i velcí hráči na trhu mnohdy s osobními údaji nakládají v rozporu s právními předpisy. Přísné trestání takového jednání ukazuje nejen na stále se zvyšující význam osobních údajů a potřeby jejich ochrany nejen v Evropské unii, ale vytváří také tlak na velké technologické společnosti, aby zajišťovaly vysoké standardy ochrany dat a byly transparentními a odpovědnými. 

Správné nastavení a zabezpečení ochrany osobních údajů není záležitostí formálního přijetí informačního dokumentu či směrnice, ale představuje komplexní proces, který by se měl neustále vyvíjet a reflektovat nejen okolnosti zpracování údajů, ale i nepřetržitě se vyvíjející rozhodovací praxi kontrolních orgánů. Ochrana osobních údajů by totiž měla být prioritou, nikoliv pouze zákonnou povinností, a to pro velké i malé subjekty.

Dále by Vás mohlo zajímat:

Jak vyzrát na whistleblowing a compliance?

Jak správně označit obchodní sdělení?

Může podnikatel rozesílat obchodní sdělení i bez souhlasu?