Vodafone Španělsko, SDEU o souběhu stížností a polský starosta na cizím Facebooku: výběr rozhodnutí z GDPRhub
Španělský regulátor uložil Vodafonu pokutu přesahující milion eur za bezpečnostní selhání. Soudní dvůr EU rozhodl o vzájemném vztahu správní a soudní stížnostní cesty. Soud v Polsku zkoumal, zda šéf radnice smí procházet cizí Facebook.
Španělský regulátor AEPD uložil Vodafonu Španělsko pokutu 1 050 000 eur za nedostatečné bezpečnostní opatření, které umožnilo třetím osobám neoprávněně zřídit další telefonní linku na jméno existujícího zákazníka a získat kopie jeho faktur. Případ připomíná, co pojem „bezpečnostní opatření" ve smyslu čl. 32 GDPR v praxi znamená: nestačí mít politiku na papíře, je třeba fakticky zabránit tomu, aby se k osobním údajům a k úkonům konaným v zastoupení zákazníka dostala neautorizovaná osoba. Úniky identity v telekomunikačním sektoru, kdy útočník nebo podvodný operátor přenesou číslo nebo zřídí účet bez vědomí klienta, patří ve Španělsku k opakovaně sankcionovaným jevům.
Soudní dvůr EU rozhodl ve věci C-414/24 (Datenschutzbehörde – Articulation des recours), že dozorový orgán nesmí odmítnout stížnost podanou podle čl. 77 odst. 1 GDPR pouze proto, že subjekt údajů mezitím podal žalobu k soudu podle čl. 79 odst. 1 GDPR ve stejné věci. Obě cesty – správní (dozorový orgán) a soudní (přímá žaloba) – mohou probíhat souběžně a dozorový orgán nemá právo přenést celou odpovědnost na soud. Rozsudek je prakticky důležitý pro každého, kdo řeší porušení svých práv a zvažuje, zda se obrátit na regulátora nebo přímo na soud: odpověď zní, že nemusí volit.
Ve druhém rozsudku SDEU (C-484/24, NTH Haustechnik) soud konstatoval, že zásada minimalizace dat nebrání tomu, aby národní soud zpracoval osobní údaje předložené mu jako důkazy, i když tyto údaje byly původně zpracovány v rozporu s GDPR a správce nesplnil informační povinnost. Jinými slovy: protiprávní původ dat nevylučuje jejich použití v soudním řízení jako důkazu.
Polský Nejvyšší správní soud (NSA) v rozsudku III OSK 2508/25 shledal, že starosta obce porušil GDPR, když se přihlásil do osobního účtu na Facebooku svého bývalého zaměstnance a obsah soukromé konverzace použil jako podklad pro trestní oznámení. Případ zachycuje specifickou situaci: veřejný funkcionář jednal v kontextu, který formálně nebyl výkonem veřejné moci, ale zneužití přístupu k osobním datům jiné osoby bez jejího souhlasu a za účelem, který neslouží původnímu účelu zpracování, zakládá porušení GDPR bez ohledu na to, zda je aktér správcem nebo fyzickou osobou jednající mimo svůj úřední rámec.
Z dalších rozhodnutí zahrnutých v přehledu stojí za zmínku belgický rozsudek ve věci datového makléře, který zpracovával a prodával osobní data pro přímý marketing bez souhlasu dotčených osob. Soud potvrdil porušení, ale odvolací instance snížila pokutu z 40 000 eur na 5 000 eur s poukazem na nízkou závažnost. Obdobnou trajektorii – porušení potvrzeno, ale sankce výrazně snížena – ukazuje i rumunský případ, kde DPA pokutovala provozovatele za to, že záznamy z kamerového systému uvnitř prodejny se dostaly na sociální sítě; odpovědným byl zpracovatel dat, nikoli správce.
Italský dozorový orgán Garante pokutoval aerolinky částkou 180 000 eur za to, že formulář, který cestující s omezenou pohyblivostí vyplňují při žádosti o asistenci, neobsahoval dostatečné informace o zpracování osobních dat. Garante přitom neshledal, že by samotné zpracování bylo nezákonné – šlo o nedostatek transparentnosti. Případ ukazuje, že povinnosti čl. 13 a 14 GDPR (informace poskytované subjektu údajů) platí i tam, kde zpracování osobních dat jinak obstojí.
Další články
Vodafone Španělsko, SDEU o souběhu stížností a polský starosta na cizím Facebooku: výběr rozhodnutí z GDPRhub
Meta pozastavila sledování stisků kláves zaměstnanců po úniku dat z monitorovacího systému
