Rumunsko: pokuta za sdílení osobních údajů a za cookies
Energetická společnost Restart Energy One S.A. nezavedla vhodná technická a organizační opatření, což vedlo k narušení bezpečnosti osobních údajů, které se dotklo nejméně 750 subjektů údajů, a porušila tak čl. 32 odst. 1 písm. b) a čl. 32 odst. 1 písm. d) obecného nařízení o ochraně osobních údajů. Rumunský úřad pro ochranu údajů v důsledku toho uložil správci údajů pokutu ve výši 25 000 EUR. Kromě toho byla společnosti uložena pokuta ve výši 8 000 EUR za nedodržení požadavků na soubory cookie podle zákona č. 506/2004 (kterým se provádí směrnice o soukromí a elektronických komunikacích).
Úřad zahájil vyšetřování energetické společnosti Restart Energy One S.A. (správce údajů) poté, co obdržel stížnost týkající se porušení ochrany osobních údajů na internetových stránkách společnosti. Na internetových stránkách správce údajů byl veřejně přístupný soubor, který obsahoval osobní údaje nejméně 750 subjektů údajů, včetně údajů týkajících se jména, příjmení, adresy, telefonních čísel, e-mailové adresy, čísla smlouvy a data, kdy subjekty uzavřely smlouvu s energetickou společností. Soubor byl veřejně přístupný po dobu dvou a půl roku.
Během šetření úřad rovněž vyhodnotil, že správce údajů při přístupu uživatelů na internetové stránky používal soubory cookie, které nebyly pro provoz internetových stránek nezbytné. Soubory cookie byly instalovány předtím, než uživatel dostal možnost souhlasit s jejich instalací nebo je odmítnout. I v případech, kdy uživatel soubory cookie odmítl, byly přesto do jeho zařízení nainstalovány bez ohledu na jeho volbu.
V čl. 4 odst. 5 zákona č. 506/2004, kterým se provádí čl. 5 odst. 3 směrnice o soukromí a elektronických komunikacích, je uvedeno, jak je povoleno používat síť elektronických komunikací k ukládání informací nebo k přístupu k informacím uloženým v koncovém zařízení uživatele. Jedna z podmínek uvádí, že uživatelům musí být nabídnuta možnost odmítnout takové ukládání nebo přístup k uloženým informacím.
Stanovisko
Úřad zjistil porušení čl. 32 odst. 1 písm. b) a čl. 32 odst. 1 písm. d) obecného nařízení o ochraně osobních údajů, jakož i porušení čl. 4 odst. 5 zákona č. 506/2004.
Pokud jde o článek 32 nařízení GDPR, úřad pro ochranu osobních údajů zjistil, že správce údajů neprovedl vhodná technická a organizační opatření k zabezpečení osobních údajů subjektů údajů, neboť soubor bylveřejně přístupný po dobu více než dvou let.
Kromě toho úřad zjistil porušení čl. 4 odst. 5 zákona č. 506/2004, neboť webové stránky správce údajů instalovaly soubory cookie bez ohledu na odmítnutí uživatele a předtím, než uživatelé dostali možnost vyjádřit souhlas.
V reakci na porušení GDPR byla správci údajů uložena pokuta 25 000 EUR a v reakci na porušení ePrivacy (čl. 4 odst. 5 zákona 506/2004) byla správci uložena pokuta 8 000 EUR. Celkem tedy pokuty dosáhly výše 33 000 EUR.
Kromě výše uvedených pokut uložil úřad také nápravná opatření. Zejména správci údajů nařídil, aby uvedl své operace zpracování do souladu s předpisy zavedením příslušných bezpečnostních standardů, které zajistí, že informace o subjektech údajů již nebudou veřejně přístupné. Správci údajů rovněž nařídil, aby uvedl svůj systém souborů cookie do souladu se zákonem č. 506/2004.