Karton s lékařskými záznamy policistů na ulici: španělský úřad udělil pokutu 100 000 eur za selhání fyzického zabezpečení dat
Zapomenutý karton s lékařskými záznamy příslušníků španělské policie skončil na veřejné ulici. Španělský úřad pro ochranu osobních údajů (AEPD) za tento incident udělil pokutu 100 000 eur – a připomněl, že fyzické zabezpečení dokumentů je stejně závaznou součástí GDPR jako bezpečnost IT systémů.
Společnost MEDIOS DE PREVENCIÓN EXTERNOS, S.L. poskytuje služby v oblasti prevence pracovních rizik, včetně zdravotních prohlídek zaměstnanců. Na základě smlouvy se španělským generálním ředitelstvím policie prováděla zdravotní prohlídky příslušníků Národní policie a Civilní gardy přímo v policejních zařízeních. Po skončení prohlídek byly papírové dokumenty přepraveny do sídla společnosti na Mallorce.
Papírová dokumentace se na cestu nedostala. Městská společnost v Palmě oznámila policii, že na veřejné ulici nalezla karton obsahující lékařské záznamy 18 příslušníků Národní policie a Civilní gardy. Dokumenty obsahovaly identifikační údaje a zdravotní data – tedy zvláštní kategorii osobních údajů ve smyslu článku 9 GDPR, jejichž zpracování podléhá nejvyšší míře ochrany.
AEPD zahájila sankční řízení v únoru 2025. Správce ve stanovené lhůtě nepodal žádné vyjádření, čímž se návrh rozhodnutí automaticky stal rozhodnutím konečným. Úřad shledal porušení článku 5 odst. 1 písm. f) GDPR, který ukládá zpracovávat osobní údaje způsobem zajišťujícím jejich náležité zabezpečení, včetně ochrany před neoprávněným zpřístupněním a náhodnou ztrátou. Správce nepřijal odpovídající technická a organizační opatření pro fyzickou úschovu a přepravu dokumentů mimo své prostory – a to přesto, že zpracování citlivých zdravotních dat bylo jeho hlavní podnikatelskou činností.
AEPD uložila pokutu 100 000 eur a správci nařídila, aby do jednoho měsíce zavedl prokazatelné postupy zajišťující důvěrnost a sledovatelnost dokumentů při jejich úschově, přepravě, předání a archivaci mimo sídlo společnosti.
Fyzické dokumenty nejsou mimo dosah GDPR
Případ přesně ilustruje jeden z nejčastěji přehlížených aspektů ochrany osobních údajů: fyzická dokumentace podléhá stejným pravidlům jako data v digitálních systémech. Článek 32 GDPR výslovně vyžaduje přijetí technických a organizačních opatření odpovídajících míře rizika – a ta zahrnují i způsob přepravy, úschovy a likvidace papírových dokumentů.
Pro organizace zpracovávající citlivé dokumenty to v praxi znamená přepravovat je v uzamčených a označených obalech, vést evidenci předání a převzetí, mít definovány postupy pro případ ztráty nebo odcizení a pravidelně školit pracovníky, kteří s dokumenty fyzicky manipulují. Nedostatky v těchto oblastech přitom nejsou akademickou otázkou: AEPD v odůvodnění výslovně přihlédla k tomu, že zpracování citlivých dat bylo jádrem podnikání správce, a nikoli vedlejší aktivitou.
Zdroj
Další články
CISA vydala nouzovou direktivu: Cisco SD-WAN systémy jsou pod aktivním globálním útokem
Medusa ransomware a změna modelu útoků
