Rumunská automobilka pokutována za sdílení zdravotních záznamů zaměstnanců
BUKUREŠŤ — Rumunský Národní dozorový úřad pro zpracování osobních údajů (ANSPDCP) uložil společnosti Continental Automotive Products SRL pokutu v celkové výši 15 000 EUR za dvě závažná pochybení. Firma interně opakovaně distribuovala tabulku se zdravotními údaji svých současných a bývalých zaměstnanců a zároveň nezavedla dostatečná bezpečnostní opatření. Zjištění poukazují na hrubé porušení zásad minimalizace dat i základních bezpečnostních povinností.
Případ se na stůl úřadu dostal na základě vlastního oznámení společnosti o bezpečnostním incidentu, které je povinné dle čl. 33 GDPR. Ze šetření vyplynulo, že se v interním prostředí společnosti opakovaně šířil soubor Excel obsahující centralizovaný seznam zaměstnanců s citlivými údaji o jejich zdravotním stavu, odvozenými z lékařských posudků. Tím společnost zjevně porušila zásadu minimalizace údajů stanovenou v čl. 5 odst. 1 písm. c) GDPR, která ukládá zpracovávat pouze údaje nezbytné pro daný účel. Zároveň úřad shledal porušení zásady odpovědnosti podle čl. 5 odst. 2 GDPR, která vyžaduje, aby správce byl schopen prokázat dodržování pravidel.
Úřad však odhalil ještě druhý, neméně závažný prohřešek. Společnost systematicky selhala ve své povinnosti implementovat adekvátní technická a organizační opatření, která by zajistila trvalou bezpečnost zpracování. Toto pochybení, kvalifikované jako porušení čl. 32 GDPR, vytvořilo zranitelnost, jež umožnila neoprávněný přístup k citlivým datům velkého počtu osob. Z tohoto důvodu úřad společnosti udělil dvě samostatné pokuty. První, ve výši 5 000 EUR (25 455 RON), byla za porušení zásad zpracování (čl. 5 GDPR). Druhá, vyšší pokuta ve výši 10 000 EUR (50 911 RON), pak přímo trestá nedostatečná bezpečnostní opatření dle čl. 32 GDPR. ANSPDCP také společnosti nařídil, aby své procesy zpracování uvedla do souladu s předpisy.
Ponaučení z případu:
Tento incident slouží jako varovný příklad pro všechny společnosti, které zpracovávají zvláště citlivé kategorie údajů, jako jsou ty o zdraví. Nejenže je nezbytné přísně dodržovat zásadu minimalizace dat a nesdílet takové informace bez opodstatněného důvodu, ale je také povinností zajistit robustní bezpečnostní rámec. ANSPDCP svým rozhodnutím jasně ukazuje, že porušení bezpečnostních principů je považováno za velmi závažné a trestáno vyšší sankcí než formální pochybení v zásadách. Firmy by měly pravidelně revidovat přístupová práva a zabezpečení sdílených dokumentů.
Další články
K NÚKIBu se přihlásilo téměř 5 000 subjektů
NÚKIB zahájil projekt National Coordination Centre
