U dijelu serijala „GDPR – što i kako“ vezanim uz rad europskih nacionalnih nadzornih tijela donosim vam pregled izabranih izrečenih GDPR kazni tijekom svibnja 2020. godine s obrazloženjima donošenja svake od njih kako biste ih mogli izbjeći učenjem na njihovim primjerima.
Pet najčešćih razloga izricanja kazni bili su:
- nedovoljne tehničke i organizacijske mjere za osiguranje informacijske sigurnosti
- nedovoljna ili pogrešno definirana pravna osnova za obradu podataka
- nepridržavanje općih načela obrade podataka propisanih GDPR-om
- nedovoljno ispunjenje ili nemogućnost ispunjenja prava ispitanika
- nedovoljno ispunjenje obveze informiranosti ispitanika o obradama podataka
Pošaljite mi preslike osobnih dokumenata na WhatsApp. Kaže službenik banke.
Zanimljiv način prikupljanja preslika identifikacijskih dokumenata klijenata putem aplikacije WhatsApp Komercijalnu banku Rumunjske koštao je 5.000 eura uslijed kršenja odredbi GDPR-a. Naime, nadzorno tijelo utvrdilo je da banka nije poduzela adekvatne organizacijske i tehničke mjere pri korištenju WhatsApp-a za prikupljanje i prijenos dokumenata koji sadrže osobne podatke te time nije osigurala propisnu zaštitu tih podataka. Izvornik dokumenta možete vidjeti ovdje.
Oprostite, gdje ste ono smjestili moje dijete i ženu? Pita otac zlostavljač.
U Irskoj je izrečena prva kazna državnoj agenciji i to u iznosu od 75.000 eura za tri slučaja kršenja odredbi GDPR-a. Ta državna agencija je Tüsla odnosno irska samostalna državna agencija koja je zadužena za dobrobit i zaštitu djece i obitelji, a unutar svog djelokruga pruža usluge psihološke službe i prevencije obiteljskog, seksualnog i rodno uvjetovanog nasilja. I utoliko su slučajevi kršenja GDPR-a koji su se tamo dogodili gotovo zapanjujući. U prvom slučaju, skrivani lokacijski podaci djeteta i majke koji su bili žrtvama nasilja otkriveni su upravo njihovom zlostavljaču, dok se u ostala dva slučaja radilo o otkrivanju podataka o djeci koja su bila u udomiteljskim obiteljima. U prvom od slučajeva podaci su otkriveni njihovim rođacima, dok su u drugom slučaju otkriveni ocu koji je u zatvoru. Još uvijek sumnjate u dobre strane GDPR-a? Izvornik dokumenta možete vidjeti ovdje.
Ne brinite, nećemo vašoj ženi reći gdje ste sve danas bili. Samo se vi vozite.
Finsko nadzorno tijelo izreklo je kaznu od 16.000 eura jer tvrtka nije provela DPIA analizu prije obrade podataka o lokaciji zaposlenika putem lokacijskog sustava u vozilima. DPIA (Data Protection Impact Assessment) ili procjenu učinka na zaštitu podataka su subjekti obvezni provoditi za sve obrade za koje je vjerojatno da bi mogle prouzročiti visok rizik za temeljna prava i slobode pojedinaca. Izvornik dokumenta možete vidjeti ovdje. Hrvatsko nadzorno tijelo AZOP objavilo je smjernice za provođenje DPIA analiza i kriterija prema kojima određene obrade podataka njima podliježu. Preuzmite ih ovdje.
Ne želite primati naše promo materijale? Ne čujemo vas dobro, neka buka u kanalu je.
Finsko nadzorno tijelo izreklo je i kaznu od 100.000 eura pružatelju poštanskih usluga jer se nastavio koristiti direktnim marketingom iako su ispitanici ranije zatražili brisanje svojih podataka. Istraga je također otkrila da tvrtka nije bila dovoljno transparentna u pružanju informacija o zaštiti podataka. Izvornik dokumenta možete vidjeti ovdje.
Belgijsko nadzorno tijelo bilo je sličnog mišljenja za sličan prekršaj, te su i tamo ispitanici bezuspješno ulagali prigovore i tražili brisanje svojih podataka. No, kako se radilo o neprofitnoj organizaciji koja je svoj stav pokušala obrazložiti na način da se u tom slučaju direktnog marketinga radilo o legitimnom interesu, dobili su kaznu od 1.000 eura. Izvornik je ovdje. Oprezno s legitimnim interesom jer je to vrlo sklisko područje i česta je zabluda da prilikom korištenja te pravne osnove nije potrebno uzeti u obzir da ispitanik ima pravo na zaštitu svoje privatnosti. Iza pravne osnove legitimnog interesa trebala bi stajati analiza LIA (Legitimate Interest Assessment) odnosno procjena legitimnog interesa kojom ćete nedvojbeno ustanoviti radi li se zaista o legitimnom interesu ili samo vašoj želji da to bude legitimni interes.
Želite pristupiti svojim osobnim podacima? Ako ih više nemamo, riješili smo problem.
Dansko nadzorno tijelo izreklo je kaznu u iznosu od 6.700 eura privatnoj tvrtki zbog neispunjavanja prava ispitaniku za pristup njegovim osobnim podacima. Naime, tvrtka je bez valjanog pravnog razloga obrisala osobne podatke ispitanika nakon što je on službeno njima zatražio pristup. Izvornik dokumenta možete vidjeti ovdje.
Cijena nepromišljene transparentnosti
Švedski područni zdravstveni i medicinski odbor kažnjen je novčanom kaznom od 11.200 eura zbog objavljivanja osjetljivih osobnih podataka pacijenta na svojim internetskim stranicama bez valjane pravne osnove odnosno nepoštivanja načela obrade podataka propisanih čl. 5 GDPR-a. Izvornik dokumenta možete vidjeti ovdje.
I malo statističkih pokazatelja za kraj
Prema CMS EEIG-u, deset dosad najaktivnijih zemalja prema ukupnom iznosu izrečenih kazni s datumom 06. lipnja 2020. godine su: Velika Britanija (315.310.200 eura), Francuska (51.100.000 eura), Italija (39.452.000 eura), Njemačka (25.137.925 eura), Austrija (18.070.100 eura), Švedska (7.083.530 eura), Bugarska (3.208.690 eura), Nizozemska (2.660.000 eura), Španjolska (2.515.270 eura) i Poljska (943.930 eura).
Prema ukupnom broju izrečenih kazni u top 10 dosad najaktivnijih zemlja apsolutno prednjači Španjolska sa 80 izrečenih kazni te je slijede Rumunjska (27), Njemačka (25), Mađarska (23), Bugarska (19), Češka Republika (11), Italija (11), Belgija (8), Cipar (8) i Grčka (8).
Kod promišljanja o stvarnoj razini usklađenosti organizacije s GDPR-om s obzirom na tehničke i organizacijske mjere zaštite podataka i izbjegavanje kazni vezanih uz taj aspekt, vrlo konkretan uvid pružit će vam sadržaj međunarodnog standarda ISO 27001 (Sustavi upravljanja informacijskom sigurnosti). Upravo na dijelove tog standarda se u značajnom opsegu referira i pravni okvir informacijske sigurnosti u hrvatskom pravnom sustavu.