U dijelu serijala „GDPR – što i kako“ vezanim uz rad europskih nacionalnih nadzornih tijela donosim vam statistički pregled izrečenih GDPR kazni tijekom ožujka 2020. godine s obrazloženjima donošenja svake od njih kako biste ih mogli izbjeći učenjem na njihovim primjerima. Iako se situacija s COVID-19 odnosno koronavirusom ne zaustavlja i svakim danim predstavlja sve veći izazov zemljama Europske unije u donošenju zdravstvenih i gospodarskih mjera, pojedina nacionalna nadzorna tijela i dalje rade svoj posao punom parom unatoč svim tim okolnostima.
Prema CMS EEIG-u, deset dosad najaktivnijih zemalja prema ukupnom iznosu izrečenih kazni s datumom 02. travnja 2020. godine su: Velika Britanija (315.310.200 eura), Francuska (51.100.000 eura), Italija (39.452.000 eura), Njemačka (25.087.925 eura), Austrija (18.070.100 eura), Švedska (7.053.630 eura), Bugarska (3.198.460 eura), Španjolska (2.519.270 eura), Nizozemska (1.935.000 eura) i Poljska (938.930 eura).
Prema ukupnom broju izrečenih kazni u top 10 dosad najaktivnijih zemlja apsolutno prednjači Španjolska sa 81 izrečenom kaznom te je slijede Rumunjska (26), Njemačka (24), Mađarska (23), Bugarska (16), Češka Republika (11), Italija (11), Cipar (8), Grčka (8) i Austrija (7).
Pet najčešćih razloga izricanja kazni bili su:
- nedovoljne tehničke i organizacijske mjere za osiguranje informacijske sigurnosti
- nedovoljna ili pogrešno definirana pravna osnova za obradu podataka
- nepridržavanje općih načela obrade podataka propisanih GDPR-om
- nedovoljno ispunjenje ili nemogućnost ispunjenja prava ispitanika
- nedovoljno ispunjenje obveze informiranosti ispitanika o obradama podataka
Kod promišljanja o stvarnoj razini usklađenosti organizacije s GDPR-om s obzirom na tehničke i organizacijske mjere zaštite podataka i izbjegavanje kazni vezanih uz taj aspekt, vrlo konkretan uvid pružit će vam sadržaj međunarodnog standarda ISO 27001 (Sustavi upravljanja informacijskom sigurnosti). Upravo na dijelove tog standarda se u značajnom opsegu referira i pravni okvir informacijske sigurnosti u hrvatskom pravnom sustavu.
Izabrani pregled izrečenih GDPR kazni u ožujku 2020. godine
Izrečena je i prva kazna uslijed kršenja GDPR-a u Hrvatskoj! Iako u Europskoj uniji nije učestala praksa nenavođenja iznosa kazne, pa čak i imena kažnjenog subjekta, registri koji prate rad europskih nadzornih tijela prenijeli su informaciju i o toj kazni. Zbog uskraćivanja prava na pristup sukladno čl. 15. hrvatsko nadzorno tijelo izreklo je novčanu kaznu nepoznatog iznosa neimenovanoj banci. U razdoblju od svibnja 2018. do travnja 2019. godine banka je odbila pružiti svojim klijentima kopije kreditne dokumentacije (plan otplate, aneks ugovora o zajmu, pregled promjena kamatnih stopa itd.). Banka je inzistirala na argumentu da se dokumentacija odnosi na otplaćene zajmove i da predstavlja kreditnu dokumentaciju koja ne može biti podložna pravu klijenta po osnovi GDPR-a. Tijekom postupka pokrenutom na osnovu pritužbi vlasnika podataka, nadzorno tijelo naložilo je banci da omogući pravo pristupa i dostavi kopije tražene kreditne dokumentacije. Pri izricanju novčane kazne, posebno je uzeto u obzir to što banka nije poštivala mjere naložene od nadzornog tijela, te je takvu praksu nastavila gotovo godinu dana i uskratila pravo pristupa više od 2500 svojih klijenata. Visina novčane kazne za sada je nepoznata, ali kako je nadzorno tijelo prekršaj okarakteriziralo kao „težak“, očekuje se visoka novčana kazna. Izvornik dokumenta možete vidjeti ovdje.
Operateri krše pravila
Uslijed kršenja odredbi čl. 5. nepoštivanje načela obrade podataka, čl. 6. jer nije postojala valjana pravna osnova obrade podataka i čl. 17. pravo na brisanje („pravo na zaborav”) švedsko nacionalno tijelo kaznilo je Google novčanom kaznom u iznosu od 7.000.000 eura zbog neispunjavanja svojih obveza u pogledu prava ispitanika na uklanjanje rezultata pretraživanja s popisa rezultata. Nadzorno tijelo je još 2017. godine utvrdilo da Google ne postupa po zahtjevima ispitanika za uklanjanje rezultata pretraživanja s njegove tražilice. Nakon nekoliko opomena u nekoliko ponovljenih nadzora utvrđeno je da se i dalje ništa nije promijenilo. Nadzorno tijelo također se usprotivilo Googleovoj dosadašnjoj praksi informiranja vlasnika internetskih stranica o tome koje rezultate Google uklanja iz rezultata pretraživanja, konkretno koja je veza uklonjena i tko stoji iza zahtjeva za uklanjanje s popisa, jer za to ne postoji zakonska osnova. Izvornik dokumenta možete vidjeti ovdje.
Španjolsko nadzorno tijelo ponovno je bilo najaktivnije i tijekom ožujka izreklo je ukupno četrnaest novčanih kazni. Četiri kazne izrečene su telefonskom operateru Vodafone Španjolske zbog kršenja odredbi čl. 5. nepoštivanje načela obrade podataka, čl. 6. jer nije postojala valjana pravna osnova obrade podataka i čl. 32. zbog nepoduzimanja odgovarajućih organizacijskih i tehničkih mjera u ukupnom iznosu od 164.000 eura.
U prvom slučaju tvrtka je poslala dvije SMS poruke klijentima na mobilne telefone, obavještavajući ih o promjeni cijene u ugovoru i potvrđujući kupnju novog mobilnog telefona, što je rezultiralo obradom osobnih podataka bez privole ispitanika ili utemeljenog legitimnog interesa tvrtke. Izvornik dokumenta možete vidjeti ovdje. U dugom slučaju tvrtka je poslala SMS poruku na mobilni broj klijenta u kojem je potvrdila da je potpisan ugovor s tim brojem iako vlasnik tog broja uopće nije bio njihov klijent, što je rezultiralo obradom osobnih podataka bez privole ispitanika. Izvornik dokumenta možete vidjeti ovdje.
Bez privole aktivirali ugovore
U trećem slučaju tvrtka nije uspjela dokazati da je poduzela odgovarajuće organizacijske i tehničke mjere za osiguranje informacijske sigurnosti, što je dovelo do neovlaštenog pristupa osobnim podacima klijenata. Izvornik dokumenta možete vidjeti ovdje. U četvrtom slučaju klijent je primio nekoliko SMS poruka od drugog operatera u smislu aktiviranja novog ugovora. Naime, zaposlenik je bez privole klijenta aktivirao ugovor s trećim operatorom u njegovo ime te nije mogao dokazati pristanak klijenta. Izvornik dokumenta možete vidjeti ovdje.
Telefonskom operateru Telefonica izrečena je kazna u iznosu od 30.000 eura zbog kršenja odredbi čl. 58. neusklađivanja obrade osobnih podataka s preporukama nadzornog tijela. Tvrtka nije poštivala odluku nadzornog tijela u kojem je dobila nalog da ispitaniku mora omogućiti ostvarivanje prava na pristup i brisanje njegovih podataka. Izvornik dokumenta možete vidjeti ovdje.
Kazna u iznosu od 1.800 eura izrečena je tvrtki na čijoj internetskoj stranici nije objavljena politika privatnosti, kao niti izbornik s obavijestima o kolačićima kako je propisano u čl. 13. pružanje nedovoljno informacija ispitaniku. Izvornik dokumenta možete vidjeti ovdje.
Sukladno odredbama čl. 5. nepoštivanje načela obrade podataka, čl. 13. i čl. 14. pružanje nedovoljno informacija ispitaniku izrečene su kazne (privatnoj osobi, skupu stanara stambene zgrade, trgovini i jednoj tvrtki) u ukupnom iznosu od 15.200 eura zbog nepravilno postavljenog videonadzora. Privatna osoba je protupravno koristila videonadzor jer su kamere bile postavljene tako da snimanju i dio javne površine što predstavlja kršenje načela minimiziranja podataka. Trgovina nije istaknula obavijest da se ulazi u perimetar snimanja. Skup stanara stambene zgrade i tvrtka su istovremeno napravile oba prethodno navedena prekršaja. Izvornike dokumenata možete vidjeti ovdje (1,2,3,4).
Prodali kontakte
Zbog nepoštivanje načela obrade podataka propisanih u čl. 5. jednom hotelu izrečena je novčana kazna u iznosu od 15.000 eura. Ispitanik je, prema njegovim tvrdnjama, poslao privatno pismo upravi hotela i delegatima sindikata o događaju u kojem je bio žrtva uznemiravanja i u kojem je opisao svoje specifično zdravstveno stanje. Prekršivši načelo cjelovitosti i povjerljivosti, uprava hotela i sindikalni delegati naknadno su pročitali sadržaj pisma na sastanku s ostalim zaposlenicima. Izvornik dokumenta možete vidjeti ovdje.
Nizozemsko nadzorno tijelo izreklo je novčanu kaznu u iznosu od 525.000 eura nizozemskom teniskom savezu zbog kršenja odredbi čl. 5. nepoštivanje načela obrade podataka i čl. 6. jer nije postojala valjana pravna osnova obrade podataka. Savez je kažnjen zbog prodaje osobnih podataka više od 350.000 svojih članova sponzorima koji su ih potom kontaktirali putem pošte i telefona u svrhu izravnog marketinga. Nadzorno tijelo je utvrdilo da je Savez osobne podatke poput imena i prezimena, adrese i spola proslijedio trećim stranama bez privole vlasnika podataka te je odbacilo postojanje legitimnog interesa za prodaju podataka i utvrdilo da nema valjane pravne osnove za prijenos osobnih podataka sponzorima. Izvornik dokumenta možete vidjeti ovdje.
Mađarsko nadzorno tijelo zbog kršenja odredbi čl. 5. načela obrade podataka i čl. 6. jer nije postojala valjana pravna osnova obrade podataka, čl. 12. transparentno informiranje, komunikacija i modaliteti za ostvarivanje prava ispitanika, čl. 15. pravo ispitanika na pristup i čl. 17 pravo na brisanje („pravo na zaborav”) kaznilo je lokalnog predstavnika oporbe sa simboličnim iznosom od 286 eura jer je fotografirao direktora tvrtke koja je u potpunom vlasništvu lokalne vlasti, a na kojoj je prikazano kako direktor navodno uklanja izborni plakat oporbe u društvu svog djeteta.
Poslao mail učenicima
Lokalni predstavnik objavio je fotografiju na svojoj Facebook stranici, no iako je djetetova slika bila je zamagljena iz objave se dalo naslutiti da se radi o kćeri direktora. Direktor je predstavnika lokalne vlasti upozorio da nema njegovu suglasnost za snimanje te fotografije. Nadzorno tijelo je utvrdilo da direktorovo navodno djelo nije predmetom javnog interesa te da fotografija ne dokazuje da je on potrgao izborni plakat. Također nadzorno tijelo je utvrdilo da je u cjelokupnom slučaju samo ime direktora informacija od javnog interesa iz razloga što se radi o javnom poduzeću. Izvornik dokumenta možete vidjeti ovdje.
Poljsko nacionalno tijelo zbog kršenja odredbi čl. 5. načela obrade podataka i čl. 9. obrada posebnih kategorija osobnih podataka kaznilo je novčanim iznosom u visini od 4.600 eura školu u Gdanjsku jer je instalirala biometrijske skenere otiska prsta za provjeru identiteta učenika u svrhu plaćanja u školskoj kantini. Iako su roditelji dali svoju pisanu privolu za takvu vrstu obrade podataka, nadzorno tijelo proglasilo je obradu nezakonitom jer privola za obradu nije dana dobrovoljno. Izvornik dokumenta možete vidjeti ovdje.
Islandsko nadzorno tijelo izreklo je dvije kazne zbog nepoštivanja načela obrade podataka iz. čl. 5 i zbog nepoduzimanja odgovarajućih organizacijskih i tehničkih mjera iz čl. 32. kako bi se osigurala sigurnost informacija. Novčanom kaznom od 9.000 eura kažnjena je srednja škola jer je jedan od nastavnika poslao e-mail svojim učenicima i njihovim roditeljima s dokumentom u privitku koji je sadržavao podatke o njihovom akademskom uspjehu i socijalnim uvjetima. Izvornik dokumenta možete vidjeti ovdje.
Kaznili općine
Novčanom kaznom u visini od 20.600 eura kažnjen je Nacionalni centar za ovisnike jer je njihov bivši zaposlenik primio kutije navodno osobnih stvari koje je tamo ostavio, ali koji su sadržavali i podatke o pacijentima, uključujući zdravstvene podatke 252 bivša pacijenata i dokumente s imenima oko 3000 ljudi koji su sudjelovali u rehabilitaciji zbog zlouporabe alkohola i droga. Izvornik dokumenta možete vidjeti ovdje.
Dansko nadzorno tijelo izreklo je novčane kazne dvjema danskim općinama zbog nepoštivanja načela obrade podataka iz. čl. 5 i zbog nepoduzimanja odgovarajućih organizacijskih i tehničkih mjera iz čl. 32. kako bi se osigurala sigurnost informacija jer su im iz službenih prostorija ukradena dva računala sa osobnim podacima zaposlenika i drugim osjetljivim podacima stanovnika općina. Kazne su iznosile 7.000 i 14.000 eura. Izvornike dokumenata možete vidjeti ovdje i ovdje.
Zbog nedostatne suradnje s nadzornim tijelom sukladno čl. 58. i uskraćivanja prava na pristup sukladno čl. 15. grčko nadzorno tijelo kaznilo je jedan edukacijski centar jer je ispitaniku uskraćen pristup podacima njegovog djeteta i njegovim poreznim podacima. Nakon izrečene opomene od strane nadzornog tijela i naloga da dozvoli pristup podacima voditelj obrade se na to oglušio. Zbog toga im je izrečena novčana kazna u iznosu od 8.000 eura: 3.000 eura zbog toga što nije dozvoljen pristup podacima i 5.000 eura zbog neizvršenja naloga nadzornog tijela. Izvornik dokumenta možete vidjeti ovdje.
Tuđi podaci
Rumunjsko nadzorno tijelo izreklo je u ožujku četiri kazne. Zbog kršenja odredbi čl. 6. jer nije postojala valjana pravna osnova obrade podataka i čl. 21. zbog uskraćivanja prava na prigovor jedna tvrtka je kažnjena novčanim iznosom u visini od 3.000 eura jer je provodila aktivnosti direktnog marketinga putem elektronske pošte iako je ispitanik povukao privolu. Izvornik dokumenta možete vidjeti ovdje.
Zbog nepoduzimanja odgovarajućih organizacijskih i tehničkih mjera iz čl. 32. kako bi se osigurala sigurnost informacija izrečene su novčane kazne telekomunikacijskom operateru (4.150 eura) i distributeru energenata (3.000 eura) jer su svojim klijentima poslali poruke elektroničke pošte koje su sadržavale tuđe osobne podatke. Izvornike dokumenata možete vidjeti ovdje i ovdje.
Zbog nedostatne suradnje s nadzornim tijelom sukladno čl. 58. novčanom kaznom od 2.000 eura kažnjena je tvrtka jer nije dostavila podatke koje je nadzorno tijelo zatražilo. Izvornik dokumenta možete vidjeti ovdje.