04. studeni 2021.

GDPR: U Hrvatskoj do sada ispisane samo dvije GDPR kazne

GDPR ili opća uredba o zaštiti podataka uvedena je prije tri godine i do sada su regulatori zahvaljujući toj uredbi naplatili više od 293,96 milijuna eura kazni. Točnije, od srpnja 2020. do srpnja 2021. godine zabilježen je rast od 113,5 posto po pitanju kršenja GDPR-a.

U 2020. godini regulatori su naplatili 332 kazne (130,69 milijuna eura), dok se u 2021. godini taj broj popeo na čak 709 (293,96 milijuna eura).

Big Tech na nišanu

S rukama u medu najčešće su uhvaćene tehnološke tvrtke koje dominiraju u plaćanju GDPR kazni. Recimo, Google je kažnjen od strane francuskih regulatora tj. francuskog nadzornog tijela (CNIL) s čak 60 milijuna eura, dok je podružnica Google-a, Google Ireland kažnjen s 40 milijuna eura, što znači da je Google do sada na kazne već potrošio 100 milijuna eura. Njima kap u moru, ali sigurno da regulatore veseli. Novčana kazna naplaćena je zbog postavljanja reklamnih „kolačića“ na računala korisnika bez njihovog prethodnog pristanka i bez pružanja odgovarajućih podataka o istima.

Zajedno s Googleom, CNIL je kaznio i Amazon Europe Core s 35 milijuna eura zbog postavljanja kolačića bez prethodnog pristanka.

WhatsApp je kažnjen s 225 milijuna eura zbog kršenja pravila o privatnosti podataka Europske unije. Irsko povjerenstvo za zaštitu podataka (DPC) kaznilo je WhatsApp jer nije na odgovarajući način obavijestio građane EU o tome kako postupa s njihovim osobnim podacima, uključujući kako te podatke dijeli sa svojom matičnom tvrtkom - Facebookm.

H&M Hennes & Mauritz Online Shop iz Njemačke kažnjen je od strane njemačkog regulatornog tijela sa 35,3 milijuna eura zbog nezakonitog nadziranja zaposlenika. Zbog curenja podataka iz 2019. otkriveno je da je H&M kreirao profile svojih zaposlenika koji su sadržali informacije o njihovom privatnom životu. Podaci su se prikupljali u njihovom servisnom centru u Nürnbergu, a prikupljanje je trajalo najmanje pet godina. Bilježili su se podaci koji su se prikupljali iz neformalnih razgovora, podaci o godišnjim odmorima,  medicinskim simptomima, dijagnoze bolesti, vjerska uvjerenja.

Nepopustljivi Talijani

U siječnju 2020. talijansko nadzorno tijelo za zaštitu podataka (Garante per la protezione dei dati personali) izreklo je telekomunikacijskom operateru TIM novčanu kaznu u iznosu od 27,8 milijuna eura zbog kršenja GDPR smjernica. Kazne su izrečene za neovlaštenu obradu podataka, agresivnu marketinšku strategiju, nevaljano prikupljanje pristanka i prekomjerno razdoblje čuvanja podataka.

Talijansko nadzorno tijelo za zaštitu podataka Garante je izreklo kaznu od 16,7 milijuna eura tvrtki Wind Tre, teleoperateru, zbog agresivnog izravnog marketinga koji je kršio GDPR. Tvrtka je koristila osobne podatke kupaca bez njihovog pristanka za komunikaciju putem SMS-a, e-pošte, telefonskih poziva i automatiziranih poziva. Garante se okomio i na telekomunikacijsku tvrtku Vodafone Italia koja je zbog agresivnog marketinga kažnjena sa 12,25 milijuna eura.

Ured britanskog povjerenika za informacije (ICO), britansko tijelo za zaštitu podataka, kaznio je British Airways novčanom kaznom u iznosu od 22 milijuna eura zbog curenja podataka iz 2018. godine. Curenje podataka je uključivalo osobne podatke i podatke o kreditnim karticama više od 400 000 kupaca. Ukradeni podaci uključivali su vjerodajnice za prijavu zaposlenika, brojeve platnih kartica i detalje rezervacije putovanja, kao i imena i adrese. Isti ured zaslužan je i za kaznu od 18,4 milijuna funti koju je morao platiti Marriott International zbog curenja osobnih podataka kupaca

Dvije kazne u RH

Do sada je AZOP, hrvatski regulator GDPR-a ispisao dvije kazne za kršenje istog. Za prvi prekršaj na domaćem terenu zaslužna je jedna banka koju AZOP nije objavio zbog zakonske odredbe. AZOP je tada naveo kako su banku upozoravali čak 34 puta da se usklade s GDPR regulativom što do uručenja kazne nije učinjeno, pa je na kraju banka morala platiti  više od 100 tisuća kuna, iako konačna cifra nije objavljena. Drugim riječima, banka je tužila AZOP pa detalji nisu bili objavljeni, a izgledno je da proces još uvijek traje.

Druga kazna izrečena je zaštitarskoj tvrtki Securitas nakon što je društvenim mrežama objavljen video iz Kauflanda u Vinkovcima u kojemu vijećnik u Gradskom vijeću Vinkovaca Damir Jakšić ulazi u trgovinu i stavlja dezinficijens na ruke nakon čega se križa i klekne. Video je izazvao podsmijeh, ali Securitasu sigurno do toga nije bilo kada su saznali da ih je jedna video koštao čak pola milijuna kuna zbog nedopuštenog otkrivanje privatnih podataka

Što se samog načina kažnjavanja tiče, GDPR predviđa da kazna iznosi do četiri posto godišnjeg agregiranog prihoda ili 20 milijuna eura, što je od toga veće.