Foto: Shutterstock

Pokuta za chyby z roku 2018

Írska komisia pre ochranu údajov (DPC) uložila spoločnosti Meta pokutu vo výške 17 miliónov dolárov za nedodržanie nariadení GDPR, presnejšie článku 5 (bod č. 2) a 24 (bod č. 1), v období od 7. júna 2018 do 4. decembra 2018.

Komisia v priebehu roka 2018 dostala viac ako 12 oznámení o porušení ochrany údajov zo strany spoločnosti Meta. Táto skutočnosť mala ovplyvniť až 30 miliónov používateľov sociálnej siete Facebook, ktorým hekeri ukradli prístupy k účtom. Pomocou nich sa nielenže mohli dostať do účtov, ale tiež získať osobné informácie o jednotlivých používateľoch.

Podľa vyjadrenia spoločnosti Meta nešlo o porušenie GDPR, alebo o nesprávne vedenie záznamov. „Táto pokuta sa týka postupu vedenia záznamov z roku 2018, ktoré sme odvtedy aktualizovali. Nebolo to zlyhanie ochrany osobných údajov. Naše povinnosti vyplývajúce z GDPR berieme vážne a toto rozhodnutie dôkladne zvážime,” tvrdí Meta vo svojom stanovisku.

S pokutou pre spoločnosť Meta súhlasia aj ostatné krajiny Európskej únie, s ktorými komisia DPC na prípade spolupracovala. To, či však bude mať nejaký vplyv na vyššie zabezpečenie sociálnych sietí Facebook, Instagram, WhatsApp a Messenger, ktoré Meta vlastní, je otázne. Pokuta vo výške 17 miliónov eur je pomerne nízka a predstavuje len 0,055 % jej štvrťročných príjmov.

Problémy má aj Instagram

Facebook nie jedinou sociálnou sieťou spoločnosti Meta, ktorá porušuje pravidlá GDPR. Rovnako je na tom aj Instagram, ktorému začiatkom septembra 2022 DPC udelila pokutu vo výške 405 miliónov eur. Dôvodom pokuty je porušenie nariadení o narábaní s údajmi detí a mladistvých.

Vyšetrovanie v súvislosti s obavami o tom, ako Instagram narába s osobnými údajmi detí a mladistvých, začala komisia na konci roka 2020. Vyšetrovanie sa zameralo na vhodnosť instagramových profilov, zodpovednosť sociálnej siete za ochranu osobných údajov detí a nastavenie používateľských účtov na základe GDPR, ktoré vstúpilo do platnosti v roku 2018.

Spoločnosť s udelenou pokutou nesúhlasí a plánuje sa odvolať. Podľa hovorcu sa DPC sústredila na staré nastavenia, ktoré boli aktualizované pred viac ako rokom. Instagram mal medzitým zaviesť množstvo nových prvkov, ktoré podporujú bezpečnosť mladistvých.

„Instagramový profil každej osoby mladšej ako 18 rokov je automaticky nastavený ako súkromný, čiže ich príspevky môžu vidieť len ich sledovatelia. Dospelí takisto nemôžu posielať správy tínedžerom, ak ich nesledujú,” uviedol hovorca spoločnosti.

Pokuta vo výške 405 miliónov eur sa považuje za druhú najvyššiu kvôli porušeniam GDPR. Prvou je pokuta vo výške 746 miliónov eur, ktorú ešte v roku 2021 dostala spoločnosť Amazon od Luxemburskej národnej komisie pre ochranu údajov (CNPD).

Štvrťmiliardová pokuta pre WhatsApp

S nariadeniami GDPR bojuje aj ďalšia sociálna sieť spoločnosti Meta, ktorou je WhatsApp. Tej za ich nedodržanie udelila DPC pokutu v hodnote 225 miliónov eur.

Vyšetrovanie, ktoré zistilo nedostatky v súvislosti s GDPR, sa zaoberalo tým, či si WhatsApp plní záväzky týkajúce sa transparentnosti voči svojim používateľom. V praxi malo ísť o sprístupnenie informácií, ako napríklad spôsob narábania s údajmi, ktoré WhatsApp o používateľoch zozbierala.

Komisia zistila množstvo porušení transparentnosti zo strany sociálnej siete. Okrem udelenia finančnej pokuty jej nariadila, aby podnikla niekoľko opatrení na zlepšenie úrovne transparentnosti, ktorú ponúka svojim používateľom.

Problémy neobišli ani Twitter

Porušovanie pravidiel GDPR sa nevyhlo ani ďalšej sociálnej sieti – Twitter. Spoločnosť dostala od DPC pokutu vo výške 450-tisíc eur. Stalo sa to ešte v roku 2020  a príčinou bol únik dát, o ktorom neinformoval do 72 hodín.

Sankcia je, na rozdiel od pokút, ktoré dostala spoločnosť Meta, veľmi nízka. Írsky kontrolný úrad sa však vyjadril, že išlo o zanedbanie situácie, nie o zámerné porušenie nariadenia GDPR, kvôli čomu by sankcia mohla byť mnohonásobne vyššia. Twitter sa proti rozhodnutiu neodvolal a pokutu zaplatil. Následne podnikol kroky potrebné na to, aby sa do budúcnosti vyhol podobným incidentom.

Komplikácie spôsobujú najmä nejednotné zákony

Situáciu s GDPR komplikujú aj nejednotné zákony v oblasti prenášania dát medzi Európskou úniou, ktorá má prísne podmienky, a Spojenými štátmi, ktoré majú nariadenia oveľa miernejšie. Kvôli tomu porušujú mnohé spoločnosti, vrátane Meta či Google, množstvo nariadení.

V minulosti existoval na prenos dát program Privacy Shield. Ten však mal množstvo nedostatkov, kvôli ktorým bol v roku 2020 zrušený. V súčasnosti sa čaká na novú dohodu, ktorá by mohla všetko uľahčiť. Dovtedy musia veľké spoločnosti buď posilniť ochranu európskych údajov, alebo ich začať spracovávať v Európe.