SITUÁCIA:

Reálny prípad kontroly a následného udelenia pokuty za porušenie GDPR zo strany úrady v malej prevádzke – kozmetickom salóne.

Aj Vy si myslíte, že Úrad na ochranu osobných údajov SR (ďalej len „úrad“) nevykonáva kontroly, lebo ste o tom vo svojom okolí od nikoho nepočuli? Aj Vy ste presvedčený, že sa určite nebude zameriavať na malé prevádzky akou je Vaša spoločnosť? Aj Vy veríte, že máte požiadavky Nariadenia GDPR aplikované správne?

KLIENT:

Kozmetický salón – Bratislava

Na úvod je dôležité uviesť, že tento kozmetický salón neodignoroval povinnosti vyplývajúce z Nariadenia GDPR a našiel si externú osobu, prostredníctvom ktorej mal požiadavky GDPR aplikované. Takto bol presvedčený, že všetko má v súlade a nikoho nenapadlo, že to tak v skutočnosti nie je.

Porušenie GDPR vzniklo tak, že Nariadenie nebolo aplikované správne

Všetko sa začalo telefonickým objednaním a následne návštevou zákazníčky v tomto salóne. Ako osoba znalá požiadaviek Nariadenia GDPR ihneď pochopila, že salón nemá aplikované GDPR správne. O čo vlastne išlo a čo nakoniec úrad vytkol ako nedostatky:

• pri telefonickom objednávaní zákazníčka nebola informovaná o spracúvaní svojich osobných údajov, napriek tomu, že osobné údaje na účel objednania služby poskytla (hoci informačná povinnosť bola zverejnená na webovej stránke);
• pri vstupe do priestoru salónu monitorovaného kamerovým systémom zákazníčka nenašla označenie kamerového systému vo výške očí, vo formáte a s náležitosťami odporúčanými Usmernením EDPB z januára 2020 (označenie kamerového systému bolo, ale nie v súlade s Usmernením EDPB);
• zamestnankyňa salónu jej pri vstupe dala podpísať papier – informáciu o spracúvaní osobných údajov, ktoré označila ako súhlas a označila podpísanie dokumentu ako podmienku na poskytnutie služby (informačná povinnosť takto bola nesprávne a zbytočne administratívne zaťažujúco nastavená a súčasne poučenie zamestnancov nebolo dostatočné).

Následne došlo k ďalším pochybeniam zo strany kozmetického salónu. Keď sa zákazníčka dopytovala svojich práv a žiadala informáciu o spracúvaní jej osobných údajov, kozmetický salón jej síce odpovedal, ale neposkytol jej informácie tak, ako to vyžaduje Nariadenie GDPR.

Po týchto udalostiach zákazníčka podala na úrad podnet pre porušenie jej práv ako dotknutej osoby zo strany kozmetického salónu.

Firma poskytujúca salónu poradenstvo nereagovala na porušenie GDPR dostatočne odborne

Ďalším nevhodným krokom bola odpoveď úradu po začatí vykonávania kontroly, kde osoba vykonávajúca poradenstvo v oblasti ochrany osobných údajov vypracovala v mene kozmetického salónu odpoveď s nedostatočnou argumentáciou a neodborným vysvetlením.

Úrad tak argumentáciu kozmetického salónu neuznal a salónu bola kvôli GDPR pokutu vo výške 900 €, kde podľa vyjadrenia úradu zohľadnil pokles obratu kozmetického salónu spôsobený epidemiologickými opatreniami. Súčasne kozmetickému salónu nariadil určité opatrenia.

Kozmetický salón rozklad proti rozhodnutiu úradu nepodal a pokutu zaplatil. O pomoc so zavedením nariadených opatrení sa obrátil na našu spoločnosť. U klienta sme následne zistili, že pri implementácii opatrení Nariadenia GDPR bolo nastavených veľa chybných aj zbytočne administratívne zaťažujúcich procesov, ktoré však neboli v súlade s Nariadením GDPR a ktoré v konečnom dôsledku spôsobili nedostatky, ktoré im úrad vytkol.