U novom dijelu serijala 'GDPR – što i kako' donosim pregled izrečenih GDPR kazni za protekli mjesec i korisne savjete kako ih možete izbjeći učenjem na njihovim primjerima. U ovom članku obrađene su izdvojene kazne koje su pojedina nacionalna nadzorna tijela zemalja članica EU izrekla tijekom prosinca 2019. godine.
Prema CMS EEIG-u, deset najaktivnijih zemalja prema ukupnom iznosu izrečenih kazni s datumom 18. siječnja 2020. godine su:
- Velika Britanija (315.310.200 EUR),
- Francuska (51.100.000 EUR),
- Njemačka (24.914.725 EUR),
- Austrija (18.070.100 EUR),
- Bugarska (3.198.460 EUR),
- Španjolska (1.525.100 EUR),
- Nizozemska (1.410.000 EUR),
- Poljska (934.330 EUR),
- Grčka (570.000 EUR) i
- Rumunjska (474.500 EUR).
Prema ukupnom broju izrečenih kazni u top 10 najaktivnijih zemljalja apsolutno prednjači Španjolska s 43 izrečene kazne te je slijede Rumunjska (19), Njemačka (18), Bugarska (16), Mađarska (14), Češka Republika (11), Austrija (8), Cipar (8), Belgija (6) i Slovačka (6).
Pet najčešćih razloga izricanja kazni bili su:
- nedovoljne tehničke i organizacijske mjere za osiguranje informacijske sigurnosti
- nedovoljna ili pogrešno definirana pravna osnova za obradu podataka
- nepridržavanje općih načela obrade podataka propisanih GDPR-om
- nedovoljno ispunjenje ili nemogućnost ispunjenja prava ispitanika
- nedovoljno ispunjenje obveze informiranosti ispitanika o obradama podataka
Kod promišljanja o stvarnoj razini usklađenosti organizacije s GDPR-om s obzirom na tehničke i organizacijske mjere zaštite podataka i izbjegavanje kazni vezanih uz taj aspekt, vrlo konkretan uvid pružit će vam sadržaj međunarodnog standarda ISO 27001 (Sustavi upravljanja informacijskom sigurnosti). Upravo na dijelove tog standarda se u značajnom opsegu referira i pravni okvir informacijske sigurnosti u hrvatskom pravnom sustavu.
Izabrani pregled izrečenih GDPR kazni u prosincu 2019. godine
Rumunjsko nadzorno tijelo je zbog nedovoljne suradnje s njime i kršenja odredbi čl. 58. izreklo kaznu u visini od 2.000 eura nakon što je utvrđeno da tvrtka nije uskladila svoje postupanje u području obrade osobnih podataka s preporukama koje je dobila od nadzornog tijela. Izvornik dokumenta možete vidjeti ovdje.
SAVJET: Ukoliko pri nadzoru od strane nadzornog tijela dobijete opomenu i/ili preporuku za postupanje, dužni ste po njoj postupiti jer izdavanje preporuke ne znači da više nećete biti predmetom ponovnog nadzora. Uz preporuke s nadzora i smjernice koje nadzorno tijelo objavljuje na službenim internetskim stranicama predstavljaju smjernice za postupanje i preporučljivo je aktivno praćenje tog sadržaja.
Španjolsko nadzorno tijelo izreklo je dvije novčane kazne. Prva kazna izrečena je osiguravajućoj tvrtki prema čl. 6. jer nije postojala valjana pravna osnova obrade podataka. Tvrtka je putem elektroničke pošte pokrenula promotivnu akciju u ime svoje internetske prodajne platforme bez da je prethodno osigurala privolu ispitanika za slanje promotivnih materijala. Druga kazna izrečena je zbog kršenja odredbi iz čl. 13. i nedovoljnog informiranja ispitanika o svrsi obrade. Tvrtka je prikupljala osobne podatke, a da pritom nije dovoljno jasno informirala ispitanike o postupcima obrade putem svoje politike privatnosti objavljene na internetskoj stranici. Izvornike dokumenata možete vidjeti ovdje i ovdje.
SAVJET: Prvi korak u planiranju promotivnih aktivnosti vezanih uz direktni marketing svakako bi trebao biti identifikacija legitimiteta stečene baze osobnih podataka, provjera pravne osnove obrade podataka te posjedovanja i/ili valjanosti privole ispitanika ukoliko se radi o toj pravnoj osnovi. Politika privatnosti na službenoj internetskoj stranici tvrtke ne bi trebala biti sadržaj kopiran s neke druge internetske stranice već sadržaj usklađen sa svim svrhama, opsegom i procesima prikupljanja i obrade osobnih podataka svakog pojedinog subjekta. Politike privatnosti ljudi čitaju češće nego što mislite, onima upućenijima u sadržaj GDPR-a to je prvi indikator za propitkivanje usklađenosti cijele organizacije.
Povjerenik za zaštitu podataka i slobodu informacija njemačke savezne pokrajine Rheinland-Pfalz izrekao je novčanu kaznu u visini od 105.000 eura jednoj bolnici na području pokrajine zbog kršenja odredbi iz čl. 5. - nepoštivanje načela obrade podataka. Kazna se temelji na nekoliko slučajeva kršenja odredbi GDPR-a u vezi s miješanjem podataka pacijenata prilikom prijema na liječenje što je rezultiralo pogrešnim izdavanjem računa za bolničke usluge i ukazalo na organizacijske i tehničke nedostatke u upravljanju s osobnim podacima pacijenata za vrijeme korištenja bolničkih usluga. Izvornik dokumenta možete vidjeti ovdje.
SAVJET: Bez dubinskog razumijevanja i dokumentiranja svih procesa unutar organizacije vezanih uz obradu podataka, educiranja zaposlenika u smjeru sigurnosti obrade podataka te uvođenja minimalnih organizacijskih i tehničkih mjera nužnih za postizanje dovoljne razine informacijske sigurnosti te posljedično i osiguravanja propisanih prava ispitanicima organizacija neće moći dokazati usklađenost s GDPR-om. Pojednostavljeno, predmet nadzora nije samo pregled dokumentacije u organizaciji već je to i uvid u stvarno stanje organizacijskih i tehničkih mjera kojima dokazujete dostatnu razinu informacijske sigurnosti. Uvođenje međunarodnog standarda sustava upravljanja informacijskom sigurnosti ISO 27001 u sve procese organizacije omogućilo bi rješavanje velikog broja aspekata nužnih organizacijskih i tehničkih mjera.
Rumunjsko nadzorno tijelo je zrakoplovnoj kompaniji izreklo kaznu u visini od 20.000 eura zbog kršenja odredbi iz čl. 32. jer nije poduzela odgovarajuće organizacijske i tehničke mjere kako bi osigurala sigurnost informacija od njihovog curenja u javnost. Zaposleniku je pritom bio omogućen neovlašten pristup aplikaciji za rezervaciju te je bio u mogućnosti fotografirati popis s osobnim podacima 22 putnika / kupaca u svrhu njegove javne objave. Izvornik dokumenta možete vidjeti ovdje.
SAVJET: Kontinuirana edukacija zaposlenika te uvođenje striktnijih organizacijskih i tehničkih mjera s definiranjem opširnijih ugovornih obveza zaposlenika po čuvanje podataka uvelike pridonosi dizanju razine informacijske sigurnosti unutar organizacije. Ponovno možemo ukazati na razmatranje uvođenja međunarodnog standarda sustava upravljanja informacijskom sigurnosti ISO 27001 jer su u njemu vrlo detaljno propisani i nužni organizacijski aspekti osiguravanja sigurnosti informacija na razini cijele organizacije.
Savezni povjerenik za zaštitu podataka i slobodu informacija Njemačke izrekao je dvije kazne. Kazna u visini 10.000 eura izrečena je pružatelju telekomunikacijskih usluga jer nije postupio sukladno odredbi čl. 37. i nije imenovao Službenika za zaštitu podataka. Druga kazna u visini od 9.550.000 eura izrečena je drugom pružatelju telekomunikacijskih usluga zbog nepoduzimanja odgovarajućih organizacijskih i tehničkih mjera kako bi se osigurala sigurnost informacija. U tom slučaju je prilikom pozivanja Službe za korisnike pozivatelj mogao dobiti opsežne informacije o osobnim podacima drugih pretplatnika jednostavnim unosom njihovog imena i datuma rođenja. Izvornik dokumenta možete vidjeti ovdje i ovdje.
SAVJET: Identifikacija obveze za imenovanjem Službenika za zaštitu podataka nije rezervirana samo za veće tvrtke – ono što prvenstveno treba uzeti u obzir je analiza opsega i vrste osobnih podataka koje organizacija prikuplja i obrađuje te svrhe i načine na koje ih obrađuje. Vezano uz propuste u arhitekturi aplikacije, oni nisu rezervirani za sektor telekomunikacija pa tako, primjerice, mala informatička tvrtka koja pruža usluge hotelskog informacijskog sustava često ima pristup svim podacima o gostima koje hotel u sustav upiše, bilo putem podrške u radu, održavanja sustava ili najma svog sustava baziranog na servisu u oblaku (cloud). Uvijek imajte na umu da ste vi kao voditelj obrade suodgovorni i provjerite na koji način vaši dobavljači osiguravaju sigurnost sustava te posjeduju li kakav značajan međunarodni certifikat vezan u sigurnost sustava, ali i načine ophođenja s podacima unutar njihove organizacije. Neovisna testiranja ranjivosti sustava (penetracijski testovi i sl.) i propusta u arhitekturi funkcionalnosti ponekad se čine luksuznom robom. Think twice – kad dođe do problema, jeftin odvjetnik najskuplji je odvjetnik.
Španjolsko nadzorno tijelo izreklo je kaznu u visini od 5.000 eura zbog nepoduzimanja odgovarajućih organizacijskih i tehničkih mjera iz čl. 32. kako bi se osigurala sigurnost informacija. Tvrtka je putem elektroničke pošte poslala promidžbene materijale na veći broj primatelja gdje su njihove e-mail adrese bile vidljive svim primateljima, jer su bile umetnute putem opcije CC (vidljivi primatelji kopije e-maila), a ne BCC (skriveni primatelji). Izvornik dokumenta možete vidjeti ovdje.
SAVJET: Čak i ukoliko legitimno posjedujete bazu primatelja promidžbenih materijala, davanje na uvid osobnih podataka primatelja običnog e-maila ili newslettera cijeloj postojećoj bazi ne samo da ne predstavlja svrhu obrade za koju imate njihovu privolu (ukoliko je imate), već ste i narušili njihovu privatnost. Opcija CC u slanju promotivnih materijala u ovom slučaju nije vaš prijatelj i budite vrlo oprezni s njenim korištenjem kod slanja sadržaja na više primatelja.
Mađarsko nadzorno tijelo je kaznu od 1.500 eura zbog kršenja odredbi čl. 5. GDPR-a - nepostojanja pravne osnove za obradu podataka. Tvrtka nije obrisala privatne poruke elektroničke pošte bivšeg zaposlenika i provodila je obradu njegovih osobnih podataka bez pravne osnove nakon prestanka radnog odnosa te je prekoračila definirane rokove za čuvanje podataka. Izvornik dokumenta možete vidjeti ovdje.
SAVJET: Jedan od vrlo važnih zahtjeva propisanih GDPR-om je i definiranje rokova čuvanja podataka. Iako za izazov zvan „automatizirano brisanje podataka po isteku definiranog roka“ u praksi ne postoji jednostavno rješenje iz više razloga (npr. obveza backup-a sustava na više diskova i/ili digitalnih i fizičkih lokacija; intervencija u postojeće sustave upravljanja podacima mogla bi prouzročiti povećavanje ranjivosti sustava i urušavanje sustava zbog neplaniranog dodavanja značajne funkcionalnosti sistemskoj arhitekturi), to ne mijenja vašu obvezu propisanu GDPR-om. Što se tiče zaposlenika i bivših zaposlenika, i jednima i drugima ste dužni omogućiti konzumaciju propisanih im prava. Ujedno pripazite, dobro analizirajte pravni okvir sektora u kojem djelujete jer ste, prije ispunjavanja zahtjeva za brisanjem svih podataka pojedinog ispitanika, ipak određene podatke dužni čuvati u rokovima propisanim drugim nacionalnim zakonima i to tome ste ga dužni službeno obavijestiti.
Belgijsko nadzorno tijelo je izreklo kaznu prema čl. 12., čl.15. i čl. 17. organizaciji koja pruža usluge zdravstvene njege zbog neispunjavanja prava ispitanika. Tvrtka nije postupila po zahtjevima ispitanika i nije omogućila pravo na pristup i brisanje njegovih podataka. Izvornik dokumenta možete vidjeti ovdje.
SAVJET: Ispitanici imaju propisana prava koja treba vrlo ozbiljno uzeti u obzir jer je svako njihovo neopravdano neispunjavanje razlog za prijavu nadzornom tijelu. Prava ispitanika su: transparentnost u pružanju informacija, pravo na pristup podacima, pravo na ispravak, pravo na brisanje, pravo na prenosivost podataka, pravo na prigovor i pravo usprotiviti se donošenju automatiziranih pojedinačnih odluka. Sva prava dužni ste osigurati organizacijskim i tehničkim mjerama. Više o pravima ispitanika možete pročitati ovdje.