Što hrvatske tvrtke mogu naučiti iz europskih kazni

piše: Karmen Sinožić, odvjetnica i Senior Associate Odvjetničko društvo Bardek, Lisac, Mušec, Skoko & partneri d.o.o. u suradnji s CMS Reich Rohrwig Hainzom

Snažan mehanizam za zaštitu osobnih podataka s mogućnošću izricanja kazni do dvadeset milijuna eura ili četiri posto globalnoga godišnjeg prometa nije samo prijetnja na papiru – europska nadzorna tijela već sedmu godinu zaredom itekako pokazuju da su spremna djelovati. Budući da se Opća uredba primjenjuje u svim državama članicama EU-a te u Norveškoj, Lihtenštajnu i na Islandu, praćenje načina na koji nadzorna tijela tumače pravila i kažnjavaju prekršitelje korisno je za izbjegavanje neželjenih sankcija. Zbog postojanja čak trideset nadzornih tijela praćenje prakse nije jednostavan zadatak.

Mreža CMS-ovih odvjetničkih ureda u Europi, osim što održava javno dostupnu bazu podataka o izrečenim sankcijama (GDPR Enforcement Tracker), izrađuje godišnju studiju o provedbi Opće uredbe, i to sa sažetim prikazima najistaknutijih odluka, trendovima po sektorima i stanju nadzornih aktivnosti po pojedinim zemljama. Studija tvrtkama može služiti kao dodatna potpora u provjeri usklađenosti internih praksi.

Od početka primjene Opće uredbe 2018. mjerodavna tijela za zaštitu osobnih podataka objavila su čak 2245 kazni (iako je stvarni broj izrečenih kazni vjerojatno i veći uzevši u obzir različite nacionalne prakse javnog objavljivanja odluka). Tijekom protekle godine ponovno je zabilježen rast ne samo broja izrečenih sankcija nego i njihovih iznosa. Prema dostupnim podacima, ukupna vrijednost kazni premašila je oko 5,65 milijardi eura, od čega se na prethodnu godinu odnosi približno 1,17 milijardi eura. Agencija za zaštitu osobnih podataka prati trendove u Hrvatskoj: tijekom 2024. izrečeno je 206 korektivnih mjera, čak 28 posto više u odnosu na prethodnu godinu. Od toga je bilo 38 upravnih novčanih kazni, što je najviše izrečenih upravnih novčanih kazni u jednoj godini u RH.

Neispunjene osnovne obveze

Većina kazni europskih tijela odnosi se na nekoliko ponavljajućih kategorija. Jedna od najčešćih pogrešaka u osnovnoj je obvezi – utvrđivanju valjane pravne osnove za obradu osobnih podataka. Nije rijetkost da društva preskoče utvrditi pravnu osnovu ili pak obrađuju podatke na pogrešnoj pravnoj osnovi, pri čemu su najčešći slučajevi oslanjanje na privolu ili legitiman interes u situacijama u kojima potrebni uvjeti nisu ispunjeni. Takav primjer nalazimo čak i u velikim društvima kao što je LinkedIn, koji je lani dobio kaznu od 310 milijuna eura. Između ostalog, irsko tijelo utvrdilo je da privola za potrebe marketinških analiza nije bila dobrovoljno i posebno dana te da korisnici nisu bili dovoljno informirani o okolnostima obrade, što je preduvjet za davanje valjane privole za obradu podataka.

U idućoj su kategoriji na popisu okidača za kazne problemi s poštovanjem načela obrade podataka. Odredba o općim načelima može biti teže razumljiva jer ujedinjuje sve obveze koje se detaljno objašnjavaju u drugim dijelovima Opće uredbe. Kako raste broj kazni utemeljenih na povredama načela, važno je osigurati da ih društva dobro razumiju pri uspostavljanju postupaka obrade. Jednostavan primjer povrede načela smanjenja količine podataka imamo u Španjolskoj, gdje je ispitanik prijavio nadzornom tijelu društvo u sektoru igara na sreću. Nakon što mu je korisnički račun bio blokiran, od ispitanika se tražilo da dostavi razne dokumente, poput dokaza o identitetu, adresi i financijskoj situaciji, kako bi se račun ponovno aktivirao. Budući da tako opsežno prikupljanje podataka nije bilo nužno, izrečena je kazna od deset tisuća eura koja je naposljetku smanjena na šest tisuća eura zbog brze uplate i priznanja odgovornosti.

Narušena prava ispitanika

Propuštanje provedbe odgovarajućih tehničkih i organizacijskih mjera također je čest uzrok kazni, osobito u sektorima koji obrađuju osjetljive podatke. Tako je u Španjolskoj banka kažnjena s četiri milijuna eura zbog neovlaštenog otkrivanja podataka kad su treće osobe, koristeći se vjerodajnicama brokera, pristupile sustavu za upravljanje podacima o klijentima i došle do osobnih podataka poput imena, IBAN-a i identifikacijskih brojeva oko milijun i pol osoba. Banka ne samo da nije imala odgovarajuće tehničke i organizacijske mjere zaštite nego čak nije provela procjenu rizika iako je to bilo krajnje nužno s obzirom na opseg obrade.

Ispunjavanje osnovnih prava ispitanika kao što su pravo na informiranost, pravo na pristup svojim podacima i na brisanje podataka prema zahtjevu također je velik problem za društva. U obradi podataka bitno je imati kontrolu nad internim tijekom podataka: kako pristižu, zašto se obrađuju, kamo se spremaju, tko ima pristup njima. Okolnosti obrade važne su kako bi se ispitanicima mogle pružiti valjane obavijesti. No čak i sedam godina nakon početka primjene Opće uredbe društva se bore s transparentnim obavještavanjem ispitanika. Nizozemsko tijelo nametnulo je kaznu od čak 4,75 milijuna eura Netflixu zbog nedovoljne informiranosti korisnika – obavijest ispitanicima bila je nejasna te nije sadržavala dovoljno informacija o svrsi i pravnoj osnovi obrade osobnih podataka. Odgovorno tijelo čak je istaknulo da politika privatnosti tako velikog društva mora biti 'kristalno jasna'.

Većina kazni – medijima

Iako su medijski najzastupljenije kazne rekordnih iznosa, najčešće u odnosu na dionike u digitalnom svijetu, analiza prakse europskih nadzornih tijela pokazuje popriličan intenzitet kazni društvima ostalih sektora, i to zbog ponavljajućih obrazaca ponašanja. Sankcije u sektoru medija i telekomunikacija tvore većinu ukupne vrijednosti kazni, uglavnom zbog visokog prometa društava i poslovnih modela orijentiranih na podatke. Iznos novih kazni u tom sektoru za prošlu godinu gotovo je 685 milijuna eura. Zbog najviše kazni teško je navesti najčešće razloge kažnjavanja. Ipak, često nailazimo na probleme nedovoljne informiranosti ispitanika i nezakonitu obradu zbog oslanjanja na netočne pravne osnove.

U 2025. kaznu od 251 milijun eura irsko tijelo izreklo je Meti zbog sigurnosnog incidenta iz 2018. koji je zahvatio 29 milijuna računa na Facebooku​, od kojih oko tri milijuna u EU-u. Ugroženi podaci uključivali su imena, telefonske brojeve, vjersko opredjeljenje, podatke o djeci i ostali sadržaj koji su korisnici objavljivali. Utvrđeno je da Meta pri dizajniranju svojih sustava obrade nije postupala u skladu s načelima zaštite osobnih podataka i nije osigurala da se obrađuju samo osobni podaci koji su nužni za konkretnu svrhu. Također je bilo nedostataka u obavještavanju o povredi jer nisu dane dovoljne informacije o povredi i provedenim koracima, što je onemogućilo mjerodavnom tijelu provjeru usklađenosti s pravilima.

Snažno pogođeni trgovina i IT

Sektori trgovine i IT industrije također su snažno pogođeni kaznama zbog GDPR-a, i to zbog nedostatka pravne osnove za obradu podataka, neispunjavanja obveza informiranja i kršenja osnovnih načela zaštite osobnih podataka. U Češkoj je Avast Software kažnjen s gotovo 14 milijuna eura zbog nezakonitog prijenosa osobnih podataka stotinjak milijuna korisnika svog antivirusnog softvera. Podaci su, uključujući pseudonimiziranu povijest pregledavanja interneta, preneseni američkom Jumpshotu, ali pogrešno su proglašeni anonimnima te su ispitanici netočno obaviješteni o obradi podataka. U Litvi je pružatelj internetskog tržišta za rabljenu robu kažnjen s 2,38 milijuna eura jer, između ostalog, nije brisao podatke o korisnicima ako ne bi dostavili dovoljno konkretne razloge za brisanje.

Na meti i zdravstvo i farmacija

Zdravstvena i farmaceutska industrija zbog obrade osjetljivih zdravstvenih podataka podliježu strožim mjerama i većem riziku od sankcija. Česte su povrede povezane s dijeljenjem podataka i nedostatnim sigurnosnim mjerama. U Francuskoj je softversko društvo kažnjeno s 800 tisuća eura jer je bez dopuštenja dijelilo svojim kupcima pseudonimizirane podatke za istraživačke svrhe. Podaci prikupljeni softverom korišteni su za provedbu studija i izradu statistike u zdravstvenom sektoru. Mjerodavno tijelo utvrdilo je da su podaci bili samo pseudonimizirani zato što je tehnički bilo moguće ponovno identificirati ispitanike.

U Belgiji je bolnica kažnjena s 200 tisuća eura zbog napada ucjenjivačkim softverom (ransomware) koji je obuhvatio podatke 300-tinjak tisuća osoba. Bolnica nije provela procjenu učinka na zaštitu podataka, a ni osnovne mjere poput edukacije zaposlenika i redovitog ažuriranja IT opreme. U Italiji je prošle godine nametnuto nekoliko kazni zbog upotrebe elektroničke pošte. Najveću, od 300 tisuća eura, mora platiti proizvođač medicinskih proizvoda jer je pri slanju e-poruka o svojoj aplikaciji za mjerenje razine glukoze otkrio adrese ostalih primatelja, iz čega se moglo zaključiti da boluju od dijabetesa.

Nisu ni ostali cvijeće

U sektoru financija, osiguranja i savjetovanja najveće kazne izrečene su zbog propusta osiguravanja valjane privole za obradu podataka i provedbe procjene rizika koja bi omogućila provedbu adekvatnih mjera sigurnosti, kao što vidimo iz prije navedenoga primjera španjolske banke.

U turizmu i ugostiteljstvu kazne često uključuju nezakoniti videonadzor poput snimanja javnih prostora i nedovoljnog informiranja o kamerama. Društva u Hrvatskoj moraju poštovati dodatna pravila iz Zakona o provedbi Opće uredbe koja reguliraju uvjete postavljanja videonadzora i čuvanja snimki. Česta je povreda i obrada podataka koji nisu nužni, što vidimo iz primjera njemačkoga hotela kažnjenoga s 16 tisuća eura zbog obrade osobnih iskaznica bez valjane pravne osnove.

Sektor nekretnina ima niže kazne, dosad oko 2,8 milijuna eura. Ondje se ponavljaju problemi s videonadzorom, posebice kada kamere snimaju zvuk bez opravdanja. Također je važno pravilno informirati ispitanike učeći na primjeru španjolskoga društva za upravljanje nekretninama koje je kažnjeno sa 100 tisuća eura zbog neispunjavanja obveza transparentnog obavještavanja.

Što poslodavce najčešće košta

Obrada podataka radnika ostaje ključna tema za nadzorna tijela diljem Europe. Radnici se smatraju posebno ranjivima, stoga su i kazne velike. U 2024. rekordna kazna, od 290 milijuna eura, izrečena je društvu koje je pohranjivalo osjetljive osobne podatke kao što su identifikacijski dokumenti i zdravstveni podaci na servere u SAD-u bez odgovarajućih zaštitnih mjera. U Italiji je dostavna služba kažnjena s pet milijuna eura zbog prikupljanja podataka o lokaciji zaposlenika bez njihova znanja, čak i kad je aplikacija s pomoću koje se dostavlja bila neaktivna, te zbog korištenja automatiziranog odlučivanja bez omogućavanja ispitanicima da ospore takve odluke.

Čest je problemi nezakonita obrada biometrijskih podataka poput otisaka prstiju i prepoznavanja lica. Španjolski poslodavac kažnjen je s 365 tisuća eura zbog nezakonite obrade otisaka prstiju zaposlenika u svrhu evidentiranja radnog vremena. Oprez je potreban i u primjeni mjera za zaštitu pristupa podacima. To nije učinio španjolski modni div koji je kažnjen s 270 tisuća eura jer je jednom radniku otkrio podatke o platnim listama nekoliko kolega.

AI pod nadzorom

Primjena novih tehnologija, osobito umjetne inteligencije, donosi nove rizike i izazove u obradi osobnih podataka, a europska tijela postaju sve stroža u nadzoru i kažnjavanju društava koja ne osiguravaju odgovarajuću zaštitu osobnih podataka. Već prošle godine talijansko tijelo kaznilo je OpenAI s 15 milijuna eura zbog korištenja osobnih podataka za treniranje ChatGPT-ja bez valjane pravne osnove i neprovedbe provjere dobi korisnika.

U Nizozemskoj je kaznu od 30,5 milijuna eura dobio Clearview AI, Inc., društvo koje nudi usluge prepoznavanja lica i posjeduje više od trideset milijardi fotografija, uključujući one nizozemskih građana, preuzete s javno dostupnih internetskih platformi poput društvenih mreža. Podaci su se obrađivali bez valjane pravne osnove, ispitanici nisu adekvatno informirani o obradi, nije odgovoreno na njihove zahtjeve za pristup podacima te nije imenovan predstavnik društva u EU-u.

Ključne lekcije

Europska nadzorna tijela, uključujući AZOP, i prošle su godine jasno poručila: nadzorna tijela ostaju aktivna i dosljedna u zaštiti osobnih podataka. Ključne su poruke nedvosmislene: svaka obrada osobnih podataka mora imati valjanu pravnu osnovu, potrebno je kontinuirano ulagati u snažne tehničke i organizacijske mjere, dosljedno poštovati prava ispitanika te pratiti razvoj zakonodavnog i regulativnog okvira. Primjeri iz prakse pokazuju da je katkad potrebno ponoviti i osnove – poput razlike između polja Cc i Bcc ​u elektroničkoj pošti. Učeći na tuđim pogreškama i aktivnim upravljanjem rizicima društva ne samo da mogu izbjeći skupe kazne nego i izgraditi dugoročno povjerenje korisnika i poslovnih partnera.