ACRESIA

Španělská orgán dozoru dospěl k závěru, že použití termokamery k ověření, zda uživatelé služby mají vyšší teplotu než stanovený limit, v kontextu pandemie COVID-19, nespadá do oblasti působnosti GDPR, pokud nedochází k dalšímu ukládání, zpracování nebo jiné operací s údaji zobrazenými kamerou, a osoby nejsou požádány, aby se identifikovaly.

Fakta

Potrestaná společnost pravidelně informovala polský orgán dohledu o porušení ochrany osobních údajů zákazníků společnosti, které spočívalo mimo jiné v tom, že kurýři ztratili dokumenty obsahující osobní údaje zákazníků nebo poskytli někomu jinému dokumenty obsahující osobní údaje, jako jsou: jméno a příjmení, adresa pobytu nebo pobytu, číslo PESEL (národní identifikační číslo), e-mailová adresa, série a číslo průkazu totožnosti nebo jiného dokladu totožnosti, telefonní číslo a údaje týkající se smluv mezi stranami.

Při analýze oznámení o porušeních orgán dohledu poukázal na značný časový odstup od data, kdy došlo k události, která způsobila porušení ochrany osobních údajů, do data jejího zjištění Společností, a následné oznámení o porušení zabezpečení subjektům údajů a orgánu dohledu. Oznámení učiněná Společností v analyzovaném období červen 2020 zahrnovala události způsobující porušení ochrany osobních údajů v únoru a lednu 2020 a dokonce události až z roku 2019.

Společnost uvedla, že případy porušení pravidel s dopravcem průběžně objasňuje, aby odstranila problém zpoždění při poskytování informací o ztrátě dat. Společnost dále vysvětlila, že období probíhající pandemie mělo významný dopad na včasnost oznámení o porušení ochrany osobních údajů v souvislosti s dotčeným řízením, pokud jde o ověření správnosti zpracování procesu vrácení dokumentu. Podle vysvětlení Společnosti se z důvodu omezení kurýrních společností souvisejících s obdobím pandemie prodloužil proces ověřování a vyřizování návratových dokladů, takže informace o událostech dopravce nahlásil se zpožděním. Společnost zdůraznila, že podle jejího názoru opatření, která podniká, mají dlouhodobý dopad, protože procento porušení ochrany osobních údajů ve vztahu k objemu všech dodávek je malé a v tomto ohledu předložila výpočty za měsíc červen .

Orgán dozoru konstatoval, že Společnost neposkytla dostatečné důkazy o přijatých opatřeních k minimalizaci rizika opakování protiprávního jednání.

Rozhodnutí

Polský orgán dohledu pokutoval provozovatele satelitní platformy 250 000 EUR za to, že při spolupráci s kurýrní společností neprovedl vhodná technická a organizační opatření. Správce nahlásil porušení předpisů (spočívající v tom, že zásilka byla ztracena kurýrní společností nebo doručena nesprávné osobě) orgánu dohledu, stejně jako informoval postižené osoby o událostech dva nebo dokonce tři měsíce po jejich vzniku. Podle názoru orgánu dohledu je to správce, který by měl přijmout účinná opatření, která jednak minimalizují rozsah porušení a jednak umožní rychlejší identifikaci takových incidentů, a tím oznámení dotčených osob a orgánu dohledu. Nedostatek adekvátních organizačních a technických opatření k rychlé identifikaci porušení vede k tomu, že subjekty údajů po dlouhou dobu nevědí o riziku, že jejich údaje budou použity neoprávněnými osobami, např. krádež identity.

Zdroj: Decyzje Prezesa UODO