Osobní data více než čtrnácti milionů čerstvých maminek i jejich novorozeňat byla ve Velké Británii ilegálně prodána třetím stranám. Alarmující je, že za obchodem stojí společnost Bounty, která už téměř šedesát let spolupracuje s Národní zdravotní službou (NHS – National Health Service). Zajišťuje pro ni některé služby související s poporodní péčí jako dodávání novorozeneckých balíčků nebo fotografování novopečených maminek i s jejich novorozeňaty. S odkazem na Information Commissioner´s Office (ICO) – britskou obdobu českého Úřadu na ochranu osobních údajů – to koncem minulého týdne oznámil list Financial Times.
Data, která takto unikala, jsou skutečně citlivá. Jednalo se nejen o data narození miminek, ale i jejich pohlaví, adresy nebo jména. Stejně tak společnost Bounty prodávala data čerstvých maminek nebo žen, které narození potomka v dohledné době očekávaly. Podle informací ICO jde o jeden z nejrozsáhlejších případů uniku osobních dat na Britských ostrovech posledních let.
Přes třicet milionů datových záznamů
Úřad společnosti vyměřil pokutu ve výši 400 tisíc liber (bezmála 12 milionů korun). Bounty podle zjištění ICO data prodávala mezi červnem 2017 a dubnem 2018. Celkem se jednalo o více než 34 milionů záznamů, které putovaly k marketingovým partnerům společnosti Bounty, mezi nimiž figurují reklamní agentury Acxiom, Equifax. Indicia a Sky. Tyto čtyři společnosti nakoupily suverénně největší porci osobních dat, a to přes třicet milionů záznamů.
„Počet dat i osob, jejichž data unikla, je naprosto bezprecedentní a nemá v historii našeho úřadu obdoby,“ řekl listu Financial Times Steve Eckersley, hlavní vyšetřovatel ICO. Společnost Bounty se provinila proti britskému zákonu na ochranu osobních dat z roku 1998 a její obchodování s daty zřejmě zastavilo až nařízení Evropského parlamentu a Rady EU známé jako GDPR, které vstoupilo v platnost loni na konci května.
ICO začal Bounty prověřovat už v roce 2017. Tehdy ještě jako součást rozsáhlejšího šetření úniku osobních dat. Při té příležitosti si úřad všiml, že právě Bounty je jeden ze subjektů, přes která se data šíří tam, kam nemají. „Bounty své klienty neupozorňovala, že jejich osobní data poskytuje dalším osobám nebo organizacím,“ uvedl rovněž Eckersley. „Jakýkoli souhlas, který maminky se zpracováním svých dat dávaly, nebyl dostatečně informovaný. Ukázalo se, že Bounty takto jednala úmyslně s jasnou motivací finančního zisku. Sdílení dat bylo integrální součástí jejího byznysmodelu,“ dodal vyšetřovatel ICO.
Jim Kelleher, výkonný ředitel Bounty, k případu sdělil, že „ICO postihl historické události“ a že od té doby společnost Bounty provedla „podstatné změny“. „V minulosti jsme nepřijali dostatečná opatření, která by vyloučila sdílení dat, které je v rozporu s legislativou, zejména jsme nezajistili dostatečnou transparentnost,“ dodal Kelleher.
Řekněte nám, jak staré děti máte
A jak se zdá, skandál nenechal chladnými ani britské ministerstvo zdravotnictví a sociální péče. Jeho tiskové oddělení vydalo stanovisko, ve kterém praktiky Bounty označilo za krajně nepřípustné. „Ochrana osobních dat pacientů je naprosto samozřejmou a klíčovou záležitostí, která musí být vždy na nejvyšší úrovni. Vláda již představila novou legislativu, jež k jejímu udržení přispěje,“ uvedlo ministerstvo.
Lidé a organizace, které dlouhodobě na ochranu osobních dat apelují, uvedli, že Bounty a další společnosti zajišťující služby v oblasti poporodní péče – jako Emma´s Diary – jsou bohatými datovými zdroji pro mnoho marketingových firem. Ailidh Callanderová, právnička neziskové organizace Privacy International, jež se o aktivity Bounty také zajímala, uvedla, že případ Bounty je mimořádně odstrašující.
„Trh s ilegálně získanými daty má mnoho segmentů. Filtrování na lidi s dětmi a ty ostatní, je velmi ceněnou komoditou,“ řekla listu Financial Times Callanderová. „Všichni chtějí vědět, jestli máte děti a jak staré, což mohou na datovém trhu náležitě zpeněžit,“ dodala. To ostatně dokládá také pokuta ve výši 140 tisíc liber (přes 4 miliony korun), které ICO loni udělil společnosti Emma´s Diary za nelegální sběr dat novopečených maminek a jejich následný prodej labouristické straně, která je využila v předvolební kampani.
Podle Susan Hallové, partnerky v právnické společnosti Clarke Willmott, vyslal ICO pokutou pro Bounty „silnou zprávu“, která by mohla případné následovníky od podobné činnosti dostatečně odradit. Zároveň připomíná, že dle GDPR dnes již hrozí pokuty daleko větší, a to až dvacet milionů eur (přes 500 milionů korun) nebo čtyři procenta ročního obratu pokutované společnosti, podle toho, která částka bude vyšší.
Petr Musil