10. lipanj 2020.

Još uvijek sumnjate u dobre strane GDPR-a? Evo nekoliko primjera koji će vas razuvjeriti!

Najčešće zablude GDPR-a: Voditelj i izvršitelj obrade   
piše Natalija Parlov Una
una@apicura.hr
piše Natalija Parlov Una [email protected]

Pošaljite mi preslike osobnih dokumenata na WhatsApp. Kaže službenik banke; Oprostite, gdje ste ono smjestili moje dijete i ženu? Pita otac zlostavljač; Ne brinite, nećemo vašoj ženi reći gdje ste sve danas bili. Samo se vi vozite; Ne želite primati naše promo materijale? Ne čujemo vas dobro, neka buka u kanalu je... Ovo su samo neki od razloga zbog čega su izrečene ogromne kazne.

U dijelu serijala „GDPR – što i kako“ vezanim uz rad europskih nacionalnih nadzornih tijela donosim vam pregled izabranih izrečenih GDPR kazni tijekom svibnja 2020. godine s obrazloženjima donošenja svake od njih kako biste ih mogli izbjeći učenjem na njihovim primjerima.

Pet najčešćih razloga izricanja kazni bili su:

  • nedovoljne tehničke i organizacijske mjere za osiguranje informacijske sigurnosti
  • nedovoljna ili pogrešno definirana pravna osnova za obradu podataka
  • nepridržavanje općih načela obrade podataka propisanih GDPR-om
  • nedovoljno ispunjenje ili nemogućnost ispunjenja prava ispitanika
  • nedovoljno ispunjenje obveze informiranosti ispitanika o obradama podataka

Pošaljite mi preslike osobnih dokumenata na WhatsApp. Kaže službenik banke.

Zanimljiv način prikupljanja preslika identifikacijskih dokumenata klijenata putem aplikacije WhatsApp Komercijalnu banku Rumunjske koštao je 5.000 eura uslijed kršenja odredbi GDPR-a. Naime, nadzorno tijelo utvrdilo je da banka nije poduzela adekvatne organizacijske i tehničke mjere pri korištenju WhatsApp-a za prikupljanje i prijenos dokumenata koji sadrže osobne podatke te time nije osigurala propisnu zaštitu tih podataka. Izvornik dokumenta možete vidjeti ovdje.

Oprostite, gdje ste ono smjestili moje dijete i ženu? Pita otac zlostavljač.

U Irskoj je izrečena prva kazna državnoj agenciji i to u iznosu od 75.000 eura za tri slučaja kršenja odredbi GDPR-a. Ta državna agencija je Tüsla odnosno irska samostalna državna agencija koja je zadužena za dobrobit i zaštitu djece i obitelji, a unutar svog djelokruga pruža usluge psihološke službe i prevencije obiteljskog, seksualnog i rodno uvjetovanog nasilja. I utoliko su slučajevi kršenja GDPR-a koji su se tamo dogodili gotovo zapanjujući. U prvom slučaju, skrivani lokacijski podaci djeteta i majke koji su bili žrtvama nasilja otkriveni su upravo njihovom zlostavljaču, dok se u ostala dva slučaja radilo o otkrivanju podataka o djeci koja su bila u udomiteljskim obiteljima. U prvom od slučajeva podaci su otkriveni njihovim rođacima, dok su u drugom slučaju otkriveni ocu koji je u zatvoru. Još uvijek sumnjate u dobre strane GDPR-a? Izvornik dokumenta možete vidjeti ovdje.

Ne brinite, nećemo vašoj ženi reći gdje ste sve danas bili. Samo se vi vozite.

Finsko nadzorno tijelo izreklo je kaznu od 16.000 eura jer tvrtka nije provela DPIA analizu prije obrade podataka o lokaciji zaposlenika putem lokacijskog sustava u vozilima. DPIA (Data Protection Impact Assessment) ili procjenu učinka na zaštitu podataka su subjekti obvezni provoditi za sve obrade za koje je vjerojatno da bi mogle prouzročiti visok rizik za temeljna prava i slobode pojedinaca. Izvornik dokumenta možete vidjeti ovdje. Hrvatsko nadzorno tijelo AZOP objavilo je smjernice za provođenje DPIA analiza i kriterija prema kojima određene obrade podataka njima podliježu. Preuzmite ih ovdje.

Ne želite primati naše promo materijale? Ne čujemo vas dobro, neka buka u kanalu je.

Finsko nadzorno tijelo izreklo je i kaznu od 100.000 eura pružatelju poštanskih usluga jer se nastavio koristiti direktnim marketingom iako su ispitanici ranije zatražili brisanje svojih podataka. Istraga je također otkrila da tvrtka nije bila dovoljno transparentna u pružanju informacija o zaštiti podataka. Izvornik dokumenta možete vidjeti ovdje.

Belgijsko nadzorno tijelo bilo je sličnog mišljenja za sličan prekršaj, te su i tamo ispitanici bezuspješno ulagali prigovore i tražili brisanje svojih podataka. No, kako se radilo o neprofitnoj organizaciji koja je svoj stav pokušala obrazložiti na način da se u tom slučaju direktnog marketinga radilo o legitimnom interesu, dobili su kaznu od 1.000 eura. Izvornik je ovdje. Oprezno s legitimnim interesom jer je to vrlo sklisko područje i česta je zabluda da prilikom korištenja te pravne osnove nije potrebno uzeti u obzir da ispitanik ima pravo na zaštitu svoje privatnosti. Iza pravne osnove legitimnog interesa trebala bi stajati analiza LIA (Legitimate Interest Assessment) odnosno procjena legitimnog interesa kojom ćete nedvojbeno ustanoviti radi li se zaista o legitimnom interesu ili samo vašoj želji da to bude legitimni interes.

Želite pristupiti svojim osobnim podacima? Ako ih više nemamo, riješili smo problem.

Dansko nadzorno tijelo izreklo je kaznu u iznosu od 6.700 eura privatnoj tvrtki zbog neispunjavanja prava ispitaniku za pristup njegovim osobnim podacima. Naime, tvrtka je bez valjanog pravnog razloga obrisala osobne podatke ispitanika nakon što je on službeno njima zatražio pristup. Izvornik dokumenta možete vidjeti ovdje.

Cijena nepromišljene transparentnosti

Švedski područni zdravstveni i medicinski odbor kažnjen je novčanom kaznom od 11.200 eura zbog objavljivanja osjetljivih osobnih podataka pacijenta na svojim internetskim stranicama bez valjane pravne osnove odnosno nepoštivanja načela obrade podataka propisanih čl. 5 GDPR-a. Izvornik dokumenta možete vidjeti ovdje.

I malo statističkih pokazatelja za kraj

Prema CMS EEIG-u, deset dosad najaktivnijih zemalja prema ukupnom iznosu izrečenih kazni s datumom 06. lipnja 2020. godine su: Velika Britanija (315.310.200 eura), Francuska (51.100.000 eura), Italija (39.452.000 eura), Njemačka (25.137.925 eura), Austrija (18.070.100 eura), Švedska (7.083.530 eura), Bugarska (3.208.690 eura), Nizozemska (2.660.000 eura), Španjolska (2.515.270 eura) i Poljska (943.930 eura).

Prema ukupnom broju izrečenih kazni u top 10 dosad najaktivnijih zemlja apsolutno prednjači Španjolska sa 80 izrečenih kazni te je slijede Rumunjska (27), Njemačka (25), Mađarska (23), Bugarska (19), Češka Republika (11), Italija (11), Belgija (8), Cipar (8) i Grčka (8).

Kod promišljanja o stvarnoj razini usklađenosti organizacije s GDPR-om s obzirom na tehničke i organizacijske mjere zaštite podataka i izbjegavanje kazni vezanih uz taj aspekt, vrlo konkretan uvid pružit će vam sadržaj međunarodnog standarda ISO 27001 (Sustavi upravljanja informacijskom sigurnosti). Upravo na dijelove tog standarda se u značajnom opsegu referira i pravni okvir informacijske sigurnosti u hrvatskom pravnom sustavu.

Autorica: Natalija Parlov Una

doktorandica Međunarodnih odnosa te stručnjakinja za informacijsku sigurnost i bihevioralni digitalni marketing. Autorica je brojnih znanstvenih i stručnih radova iz područja informacijske sigurnosti, bihevioralnog marketinga, plasmana na vanjska tržišta i međunarodnih odnosa. Konzultantica je inozemnim i domaćim tvrtkama te institucijama u poljima procesne forenzike, informacijske sigurnosti, bihevioralne marketinške analitike te usklađivanja poslovanja s europskom pravnom regulativom. Auditorica je najveće njemačke certifikacijske kuće TÜV NORD za međunarodne standarde sustava upravljanja informacijskom sigurnosti ISO 27001, sustava upravljanja društvenom sigurnosti i kontinuitetom poslovanja ISO 22301, sustava upravljanja kvalitetom ISO 9001 te sustava upravljanja za suzbijanje podmićivanja ISO 37001. Direktorica je dviju tvrtki: PARLOV Digital Intelligence za bihevioralni digitalni marketing te APICURA Business Intelligence za informacijsku sigurnost i usklađivanje s europskom pravnom regulativom. LinkedIn