Chorvatsko: Porušení GDPR v souvislosti s online rezervačním systémem
Chorvatský úřad pro ochranu údajů uložil správci údajů správní pokutu ve výši 15 000 EUR za několikanásobné porušení GDPR v souvislosti s jeho online rezervačním systémem.
Subjekt údajů si chtěl rezervovat ubytování v hotelu. Správce údajů na svých internetových stránkách nabízel tři možnosti, jak tak učinit: prostřednictvím externího poskytovatele služeb, webového formuláře a e-mailu, přičemž poslední dvě možnosti umožňovaly pouze provést rezervaci, ale bez platby.
Při rezervaci prostřednictvím webového formuláře byl subjekt údajů požádán, aby uvedl své jméno, příjmení, e-mail, adresu a fakturační údaje včetně bezpečnostního čísla své kreditní karty (číslo CVC). Naproti tomu při rezervaci prostřednictvím e-mailu bylo nutné poskytnout stejné údaje a také kopii platného dokladu totožnosti s fotografií, což bylo podle správce údajů nezbytné, aby se zabránilo zneužití údajů o kreditní kartě třetími osobami.
Subjekt údajů nenalezl žádné informace ohledně zákonného důvodu zpracování ani žádné další relevantní informace o způsobu zpracování svých osobních údajů a podal stížnost u Chorvatského úřadu pro ochranu údajů.
Stanovisko
Úřad zjistil, že v podmínkách hotelu nebyl uveden právní základ podle čl. 6 odst. 1 GDPR, který by umožňoval zpracování čísla CVC kreditní karty subjektu údajů a kopie jeho osobního dokladu, což činí takové zpracování neoprávněným. Dále úřad upřesnil, že zpracování těchto údajů bylo nadbytečné. Protože tyto údaje nebylo možné považovat za nezbytné pro účely, pro které byly shromážděny, tedy pro pouhé provedení rezervace hotelu.
Kromě toho správce údajů neposkytl jasným a transparentním způsobem informace o zpracování osobních údajů pro účely rezervace ubytování prostřednictvím svého webového formuláře a e-mailu, čímž jednal v rozporu s čl. 13 odst. 1 a čl. 13 odst. 2 GDPR.
Úřad dále rozhodl, že správce údajů nepřijal vhodná technická a organizační opatření, aby zajistil odpovídající úroveň bezpečnosti zpracování. Správce údajů mimo jiné shromážděné osobní údaje nešifroval a nezavedl žádné procesy pro pravidelné testování, hodnocení a posuzování účinnosti technických a organizačních opatření. Tím správce údajů porušil článek 32 GDPR.
Konečně úřad pro ochranu údajů zjistil, že správce jmenoval ředitele hotelu do funkce DPO, čímž jednal v rozporu s ustanovením čl. 38 odst. 6 GDPR. Ve skutečnosti je na správci údajů, aby zajistil, že úkoly DPO nepovedou ke střetu zájmů, což byl tento případ, neboť manažer hotelu a DPO byl odpovědný jak za přijímání řídících rozhodnutí o zpracování údajů, tak za zajištění souladu těchto činností se zpracováním.
V daném případě a s ohledem na zjištěná porušení se úřad rozhodl uložit správní pokutu ve výši 15 000 EUR z důvodu existence vysokého rizika pro práva a svobody subjektů údajů, které byl správce údajů povinen před zpracováním zohlednit.