A to kvůli tomu, že neochránila údaje o svých zákaznících.
Komerční pojišťovna, které Úřad pro ochranu osobních údajů udělil - jako první instituci v Česku - vysokou pokutu za únik dat klientů, neuspěla s odvoláním u soudu. Žalobu pojišťovny, která patří mezi největší na tuzemském trhu, Nejvyšší správní soud zamítl.
Hlídali jste špatně
Instituci se tak nepodařilo zvrátit rozhodnutí úřadu, který pojišťovně uložil pokutu tři miliony korun za to, že před pěti roky nepřijala žádné opatření proti úniku dat jejích 500 tisíc až 700 tisíc klientů.
Ty totiž pojišťovně ukradl - společně se zálohovým zařízením - neznámý pachatel. Pravděpodobně proto, že zařízení vypadalo podobně jako CD přehrávač. Kvůli zakódóvání nemohla být data zneužita; policie případ odložila.
Úřad pro ochranu osobních údajů však i přesto rozhodl, že pojišťovna porušila zákon o ochraně osobních údajů a uložil jí pokutu ve výši tři miliony korun.
Infobox
Pokuty za úniky
- Případ Komerční pojišťovny není ojedinělý. Úřad pro ochranu osobních údajů od minulého listopadu do konce března 2006 rozdal pokuty převyšující celkem půl milionu korun.
- Ministerstvo vnitra dostalo čtyři sankce v celkové výši 120 tisíc korun. Ochránci soukromí jej pokutovali například za to, že policie poskytla České televizi mezinárodní zatykač i s osobními údaji obviněného a jeho rodičů.
- Stotisícovou pokutu dostala společnost ECM Finance za to, že si v letech 2000 až 2005 pořizovala fotokopie průkazů totožnosti dvou stovek hostů jednoho pražského hotelu bez jejich souhlasu.
- Sto tisíc korun pokuty dostala také Česká televize za postup proti neplatičům koncesionářských poplatků.
- Pokuty do výše 25 tisíc korun dostaly také některé finanční ústavy, například Československá obchodní banka, HVB Bank a Česká pojišťovna.
Klíče od místnosti, kde byla data uložena, podle kontrolorů vlastnilo osm lidí. Navíc nebyly tyto prostory nijak zabezpečeny. Budovu sice hlídala bezpečnostní agentura, ta však nedělala žádnou kontrolu lidí, kteří vcházeli nebo odcházeli z budovy.
Pokutu potvrdil také městský soud v Praze. Ten odmítl názor pojišťovny, že vzhledem k tomu, že v zákoně nejsou stanovena konkrétní opatření, která mají bránit krádeži dat, tak nemohlo dojít ani k porušení zákona.
A to nyní zamítl také Nejvyšší správní soud. Argumentoval mimo jiné tím, že po krádeži zavedla pojišťovna najednou řadu nových opatření, například kontrolu režimu vstupu do budov společnosti, evidenci přidělování klíčů či evidenci vstupu osob do servroven. A nic nebránilo podle soudu taková opatření přijmout už před krádeží.
Musíte se bránit
Soud se ve svém zamítavém postojí ke stížnosti pojišťovny odvolal také na směrnici Evropského společenství, která upravuje ochranu jednotlivců a jejich osobních dat. Směrnice totiž vyžaduje, aby byla přijata odpovídající technická a organizační opatření, která zabrání jakémukoli nepovolenému zpracování.
A směrnice také říká, že správce je povinen přijmout taková opatření, aby nemohlo dojít k nahodilému nebo neoprávněnému zničení osobních údajů nebo jejich ztrátě.
Pojišťovna neuspěla ani s námitkou na to, že se na ni vztahuje ochranná lhůta, kterou zákonodárci v zákoně o ochraně osobních dat stanovili do konce roku 2002. V ní úřad neměl finančně postihovat prohřešky, které se týkají zpracování dat.
Pokuta pro Komerční pojišťovnu, která patří do skupiny Société Générale, je zatím nejvyšší, kterou úřad udělil. Maximální výše pokuty je přitom deset milionů korun.