U dijelu serijala „GDPR – što i kako“ vezanim uz rad europskih nacionalnih nadzornih tijela donosim vam statistički pregled izrečenih GDPR kazni tijekom veljače 2020. godine i korisne savjete na izdvojenim kaznama kako biste ih mogli izbjeći učenjem na njihovim primjerima.
Prema CMS EEIG-u, deset najaktivnijih zemalja prema ukupnom iznosu izrečenih kazni s datumom 04. ožujka 2020. godine su: Velika Britanija (315.310.200 eura), Francuska (51.100.000 eura), Italija (39.420.000 eura), Njemačka (25.085.725 eura), Austrija (18.070.100 eura), Bugarska (3.198.460 eura), Španjolska (2.267.260 eura), Nizozemska (1.935.000 eura), Poljska (934.330 eura) i Grčka (735.000 eura).
Prema ukupnom broju izrečenih kazni u top 10 najaktivnijih zemlja apsolutno prednjači Španjolska sa 65 izrečenih kazni te je slijede Njemačka (22), Rumunjska (21), Bugarska (16), Mađarska (14), Češka Republika (11), Austrija (8), Cipar (8), Italija (7) i Belgija (6).
Pet najčešćih razloga izricanja kazni bili su:
- nedovoljne tehničke i organizacijske mjere za osiguranje informacijske sigurnosti
- nedovoljna ili pogrešno definirana pravna osnova za obradu podataka
- nepridržavanje općih načela obrade podataka propisanih GDPR-om
- nedovoljno ispunjenje ili nemogućnost ispunjenja prava ispitanika
- nedovoljno ispunjenje obveze informiranosti ispitanika o obradama podataka
Kod promišljanja o stvarnoj razini usklađenosti organizacije s GDPR-om s obzirom na tehničke i organizacijske mjere zaštite podataka i izbjegavanje kazni vezanih uz taj aspekt, vrlo konkretan uvid pružit će vam sadržaj međunarodnog standarda ISO 27001 (Sustavi upravljanja informacijskom sigurnosti). Upravo na dijelove tog standarda se u značajnom opsegu referira i pravni okvir informacijske sigurnosti u hrvatskom pravnom sustavu.
Izabrani pregled izrečenih GDPR kazni u veljači 2020. godine
Tijekom prošlog mjeseca jedino je španjolsko nadzorno tijelo izricalo kazne. Ukupno je izrečeno 20 kazni od kojih navodim izdvojene.
Novčanom kaznom u iznosu od 3.000 eura kažnjena je jedna škola zbog kršenja odredbi čl. 6. jer nije postojala valjana pravna osnova obrade podataka. Škola je trećim stranama proslijedila fotografije koje su sadržavale osobne podatke pojedinaca, a koje su ih objavile bez valjane pravne osnove. Izvornik dokumenta možete vidjeti ovdje.
PREPORUKA: Kod obrada podataka koje uključuju i dijeljenje s trećim stranama, neka vaš prvi korak prije dijeljenja podataka bude provjera pravne osnove za tu obradu. Ukoliko je pravna osnova obrade podataka bila privola, provjerite da li je ispitanik prilikom davanja svoje privole bio u potpunosti informiran o tim aktivnostima, pristao na njih te da li su mu osigurana sva propisana prava.
Zbog nedovoljnog informiranja ispitanika, neobjavljivanja Izjave o privatnosti i nenavođenju dovoljno identifikacijskih podataka o sebi i svom poslovanju na svojoj internetskoj stranici sukladno čl. 13. GDPR-a, novčanom kaznom u iznosu od 1.500 eura kažnjena je tvrtka koja se bavi prodajom elektroničke opreme. Izvornik dokumenta možete vidjeti ovdje.
PREPORUKA: Člankom 13. Opće uredbe o zaštiti podataka propisano je o čemu sve ispitanik u trenutku prikupljanja njegovih podataka mora biti informiran. Poveznica na cijeli tekst Uredbe je ovdje.
Kazna u visini od 48.000 eura izrečena je bolnici zbog kršenja odredbi čl. 6. jer nije postojala valjana pravna osnova obrade podataka. Bolnica je tijekom prijema od pacijenta zahtijevala popunjavanje obrasca sa sugestijom da ukoliko nije odabrao niti jednu ponuđenu opciju na privoli pristaje na slanje njegovih osobnih podataka trećim stranama. Nadzorno tijelo je u obrazloženju kazne objasnilo da privola koja je dobivena neaktivnošću ispitanika nije važeća. Izvornik dokumenta možete vidjeti ovdje.
PREPORUKA: Jedno od osnovnih pravila na privoli: nedostatak aktivnosti ispitanika ne može se smatrati potvrdnom radnjom. Ispitaniku biste trebali osigurati mogućnost izbora ukoliko koristite privolu s više definiranih svrha istovremeno imajući na umu da morate osigurati i tehničke mjere za povlačenje cijele ili svakog pojedinog dijela privole. U praksi to često predstavlja velik izazov pa prije odluke o vrsti privole provjerite sve aspekte svojih tehničkih mogućnosti.
Telekomunikacijskom operateru Vodafone España izrečeno je sedam kazni u ukupnom novčanom iznosu od 470.000 eura. Kazne su izrečene zbog nepoštivanja načela obrade podataka sukladno čl. 5. st. 1. t. f., zbog kršenja odredbi čl. 6. jer nije postojala valjana pravna osnova obrade podataka te zbog kršenja odredbi iz čl. 32. jer nisu poduzete odgovarajuće organizacijske i tehničke mjere kako bi se osigurala sigurnost informacija. U obrazloženjima kazni nadzorno tijelo je navelo niz propusta poput:
- slanja mjesečnih računa bivšim klijentima kojima je istekla ugovorna obveza, izvornik je ovdje
- slanja računa sa svim osobnim podacima susjedu klijenta, izvornik je ovdje
- slanja elektroničke pošte s računom za usluge koje klijent nikad nije naručio, što je rezultiralo obradom njegovih podataka bez privole i nemogućnosti dokazivanja da je klijent dao privolu, izvornik je ovdje
- telekom je s trećom stranom sklopio ugovor o prijenosu telefonske pretplate bez pristanka ispitanika, a kao rezultat toga ispitanik je dobio elektroničku poštu od te treće strane za kupnju koju je izvršio, izvornik je ovdje
- ispitanik je podnio pritužbu da ima uvid u tuđi osobni Vodafone profil, izvornik je ovdje
- telekom nije mogao dokazati da je ispitanik dao privolu za obradu njegovih osobnih podataka u svrhu telefonskog ugovaranja različitih usluga te je nezakonito proslijedio ispitanikove osobne podatke većem broju kreditnih agencija, izvornik je ovdje
- manjkavosti u organizacijskim i tehničkim mjerama vezane uz informacijsku sigurnost jer je u jednom slučaju dokazano da je dvjema osobama izdan isti sigurnosni pristupni kod, izvornik je ovdje
PREPORUKA: Opseg poslovanja telekoma karakterizira velik broj isprepletenih aktivnih procesa u pružanju usluge, izrazito zahtjevni aspekti organizacijskih i tehničkih mjera zbog same organizacijske strukture te često dijeljenje podataka s trećim stranama. Izrečene kazne ukazuju na nedostatnosti na procesnoj razini; ne samo u osiguravanju sustava informacijske sigurnosti kao osobitog imperativa tog sektora, već i u samim propustima pojedinih organizacijskih jedinica u ophođenju s osobnim podacima korisnika, a koji su izvorište kršenja prava ispitanika u ovom slučaju. Usklađivanje s GDPR-om u sektoru telekoma proces je koji u pravilu mijenja dosadašnji način ophođenja s podacima, kako u organizacijskom tako i u tehničkom smislu, s čime se velik broj telekoma teško nosi.
U bankarskom sektoru izrečena je novčana kazna u iznosu od 6.670 eura zbog kršenja odredbi čl. 5. i 6. jer nisu poštivana načela obrade podataka i nije postojala valjana pravna osnova obrade podataka te kršenja odredbi iz čl. 21. jer ispitanicima nije omogućeno pravo na prigovor. Banka je nastavila sa slanjem marketinških poruka iako je ispitanik uložio prigovor na daljnju obradu svojih podataka. Izvornik je dostupan ovdje.
PREPORUKA: Osigurajte ispitanicima ostvarivanje svih propisanih im prava kako biste izbjegli prijave nadzornom tijelu te vrste. Slanje marketinških poruka nakon prigovora ispitanika na obradu njegovih podataka i nemogućnost povlačenja privole predstavlja značajno kršenje odredbi ove uredbe. Poštujte izbor pojedinca u želji za ostvarivanjem svoje privatnosti.