Nejvyšší pokutu za porušení GDPR dostal zatím Amazon

Obecné nařízení na ochranu osobních údajů (General Data Protection Regulation, GDPR) má za cíl pomoci hájit práva občanů EU proti zneužívání jejich dat. Týká se veřejných institucí, firem a společností, které nakládají s osobními údaji zákazníků či zaměstnanců.

Nařízení vstoupilo v platnost v květnu 2018 a platí jednotně ve všech státech EU a na Islandu, v Norsku a Lichtenštejnsku. Týká se ale i společností, které podnikají v tomto prostoru, ale sídlo mají jinde. Regulátoři mohou za porušení pravidel GDPR vyměřit společnosti pokutu ve výši až čtyř procent jejích ročních celosvětových tržeb.

Americký internetový prodejce Amazon dostal od EU dosud rekordní pokutu 746 milionů eur (19 miliard Kč) za předávání osobních údajů v rozporu s pravidly pro jejich ochranu; pokuta odpovídala zhruba čtyřem procentům čistého zisku Amazonu v roce 2020, který činil 21,3 miliardy dolarů. Amazon se odvolal.

Americká sociální síť Instagram, která patří společnosti Meta, dostala v Irsku pokutu 405 milionů eur (9,9 miliardy Kč). Jedná se o druhou nejvyšší pokutu udělenou podle pravidel Evropské unie pro ochranu osobních údajů. Vyšetřování irské Komise pro ochranu dat (DPC), která je v Evropské unii hlavním regulátorem firmy Meta, se soustředilo na to, jak Instagram odhalil osobní údaje uživatelů ve věku 13 až 17 let, včetně e-mailových adres a telefonních čísel. Minimální věk uživatelů sítě Instagram je 13 let. Společnost Meta uvedla, že pokuta se týká starých nastavení, které před více než rokem aktualizovala. S peněžitým postihem nesouhlasí a hodlá se proti němu odvolat.

Provozovatel komunikační aplikace WhatsApp dostal v Irsku za porušování práva na soukromí pokutu 225 milionů eur (5,7 miliardy Kč). Podle irské Komise pro ochranu dat (DPC) WhatsApp unijní pravidla porušuje v tom, jak s daty uživatelů a dalších osob zachází, a také v tom, jak je sdílí s ostatními aplikacemi, které vlastní Facebook. WhatsApp oznámenou pokutu považuje za nepřiměřenou a odvolal se.

Americký technologický gigant Google dostal pokutu ve výši 50 milionů eur (téměř 1,3 miliardy Kč) od francouzského úřadu na ochranu osobních údajů CNIL. Důvodem bylo podle úřadu pochybení při nakládání s osobními údaji uživatelů. Google se proti rozhodnutí francouzského regulátora odvolal, ale francouzský nejvyšší soud pokutu loni v červnu potvrdil.

Německé úřady udělily pokutu 35,3 milionu eur (zhruba 900 milionů korun) švédskému prodejci oděvů Hennes & Mauritz (H&M) za špehování zaměstnanců. Sledování stovek pracovníků v servisním centru v německém Norimberku zahrnující i intimní podrobnosti podle úřadů porušovalo pravidla pro ochranu osobních údajů. „Výše vyměřené pokuty je adekvátní tomu, aby odradila podniky od narušování soukromí zaměstnanců,“ uvedl hamburský komisař pro ochranu údajů Johannes Caspar.

Italský mobilní operátor Telecom Italia (TIM) dostal pokutu 27,8 milionu eur (709 milionů korun) od italského úřadu pro ochranu osobních údajů. Pokuta byla udělena na základě stovek stížností z let 2017 až 2019 na nevyžádané a obtěžující hovory od operátora.

Letecká společnost British Airways dostala od britského úřadu pro ochranu osobních údajů pokutu 23 milionů eur (687 milionů korun) za to, že v roce 2018 neochránila osobní a finanční údaje o více než 400 000 zákaznících. Před stanovením konečné pokuty Úřad komisaře pro informace (ICO) zvážil mimo jiné ekonomický dopad koronavirové krize na její podnikání. Konečná pokuta tak byla výrazně nižší než 183,4 milionu liber, což ICO navrhl o rok dříve. Aerolinky British Airways letos v červenci oznámily, že urovnaly spor, který s klienty a zaměstnanci kvůli rozsáhlému úniku osobních údajů vedly.

Britský ICO vyměřil hotelové společnosti Marriott International pokutu 21,6 milionu eur (550 milionů korun) kvůli rozsáhlému úniku dat, který se mohl dotknout až 339 milionů hostů. Únik dat byl důsledkem kybernetického útoku na rezervační systém hotelového řetězce Starwood Hotels. Útok začal v roce 2014, odhalen byl až v roce 2018.

Irská Komise pro ochranu dat (DPC) vyměřila americké internetové společnosti Meta Platforms pokutu 17 milionů eur (zhruba 420 milionů Kč) v souvislosti se sérií narušení bezpečnosti osobních údajů v roce 2018. Firma Meta Platforms provozuje sociální síť Facebook.