Piše: Natalija Parlov Una
U dijelu serijala 'GDPR – što i kako' vezanim uz rad europskih nacionalnih nadzornih tijela donosim vam pregled izrečenih GDPR kazni tijekom siječnja 2020. godine i korisne savjete kako ih možete izbjeći učenjem na njihovim primjerima.
Prema CMS EEIG-u, deset najaktivnijih zemalja prema ukupnom iznosu izrečenih kazni s datumom 5. veljače 2020. godine su: Velika Britanija (315.310.200 eura), Francuska (51.100.000 eura), Italija (39.350.000 eura), Njemačka (24.014.725 eura), Austrija (18.070.100 eura), Bugarska (3.198.460 eura), Španjolska (1.525.100 eura), Nizozemska (1.410.000 eura), Poljska (934.330 eura) i Grčka (735.000 eura).
Prema ukupnom broju izrečenih kazni u top 10 najaktivnijih zemljalja apsolutno prednjači Španjolska s 43 izrečene kazne te je slijede Rumunjska (21), Njemačka (19), Bugarska (16), Mađarska (14), Češka Republika (11), Austrija (8), Cipar (8), Belgija (6) i Grčka (6).
Pet najčešćih razloga izricanja kazni bili su:
- nedovoljne tehničke i organizacijske mjere za osiguranje informacijske sigurnosti
- nedovoljna ili pogrešno definirana pravna osnova za obradu podataka
- nepridržavanje općih načela obrade podataka propisanih GDPR-om
- nedovoljno ispunjenje ili nemogućnost ispunjenja prava ispitanika
- nedovoljno ispunjenje obveze informiranosti ispitanika o obradama podataka
Kod promišljanja o stvarnoj razini usklađenosti organizacije s GDPR-om s obzirom na tehničke i organizacijske mjere zaštite podataka i izbjegavanje kazni vezanih uz taj aspekt, vrlo konkretan uvid pružit će vam sadržaj međunarodnog standarda ISO 27001 (Sustavi upravljanja informacijskom sigurnosti). Upravo na dijelove tog standarda se u značajnom opsegu referira i pravni okvir informacijske sigurnosti u hrvatskom pravnom sustavu.
Izabrani pregled izrečenih GDPR kazni u siječnju 2020. godine
Španjolsko je nadzorno tijelo tijekom siječnja izreklo pet novčanih kazni. Prve tri kazne izrečene su zbog kršenja odredbi čl. 6. jer nije postojala valjana pravna osnova obrade podataka.
U prvom slučaju je udruga usprkos opomeni nadzornog tijela nastavila obradu osobnih podataka svojih članova a da nije prethodno osigurala njihovu privolu. Visina kazne iznosi 10.000 eura. Izvornik dokumenta možete vidjeti ovdje.
Drugi slučaj je obrada osobnih podataka korisnika usluga tvrtke koja se bavi distribucijom i isporukom plina. Korisnici kojima je isporučivan energent nisu imali direktan ugovor s tvrtkom koja im je slala račune već s jednim od njezinih dobavljača plina s kojima su dijelili osobne podatke korisnika. Pritom nisu imali valjanu privolu za obradu njihovih podataka. Visina kazne iznosi 75.000 eura. Izvornik dokumenta možete vidjeti ovdje.
U trećem slučaju je tvrtka za isporuku električne energije obrađivala osobne podatke korisnika bez valjane privole. Visina kazne iznosi 75.000 eura. Izvornik dokumenta možete vidjeti ovdje.
SAVJET
Kod bilo kakvih planova vezanih uz obradu osobnih podataka, neka vaš prvi korak bude identifikacija pravne osnove za obradu podataka. GDPR-om je propisano da je obrada zakonita samo ako i u onoj mjeri u kojoj je ispunjeno najmanje jedno od sljedećega: (1) ispitanik je dao privolu za obradu svojih osobnih podataka u jednu ili više posebnih svrha; (2) obrada je nužna za izvršavanje ugovora u kojem je ispitanik stranka ili kako bi se poduzele radnje na zahtjev ispitanika prije sklapanja ugovora; (3) obrada je nužna radi poštovanja pravnih obveza voditelja obrade; (4) obrada je nužna kako bi se zaštitili ključni interesi ispitanika ili druge fizičke osobe; (5) obrada je nužna za izvršavanje zadaće od javnog interesa ili pri izvršavanju službene ovlasti voditelja obrade te (6) obrada je nužna za potrebe legitimnih interesa voditelja obrade ili treće strane, osim kada su od tih interesa jači interesi ili temeljna prava i slobode ispitanika koji zahtijevaju zaštitu osobnih podataka, osobito ako je ispitanik dijete.
Četvrta i peta kazna izrečene su telekomunikacijskom operateru zbog nepoštivanja načela obrade podataka sukladno čl. 5. st. 1. t. f. te zbog neusklađivanja obrade osobnih podataka s preporukama nadzornog tijela sukladno čl. 58. GDPR-a. Telekomunikacijski operater je poslao Ugovor koji je sadržavao osobne podatke na krivu adresu i krivoj osobi te nije odgovorio na upit nadzornog tijela o određenom slučaju. Visine kazni iznose 44.000 i 3.000 eura. Izvornike dokumenata možete vidjeti ovdje i ovdje.
SAVJET
Ako pri nadzoru od strane nadzornog tijela dobijete opomenu i/ili preporuku za postupanje, dužni ste po njoj postupiti jer izdavanje preporuke ne znači da više nećete biti predmetom ponovnog nadzora. Uz preporuke s nadzora i smjernice koje nadzorno tijelo objavljuje na službenim internetskim stranicama predstavljaju smjernice za postupanje i preporučljivo je aktivno praćenje tog sadržaja. Slanjem dokumenata na krivu adresu krivoj osobi otkrivate osobne podatke (i još mnogo toga) stranama koje u te informacije ne bi trebale imati uvid pa u sustav poslovanja uključite dvostruke provjere podataka u procesima koji mogu uzrokovati narušavanje privatnosti pojedinca.
Grčko nadzorno tijelo izreklo je kaznu u visini od 15.000 eura zbog kršenja odredbi iz čl. 5. st. 1. i 2. GDPR-a zbog nepoštivanja načela obrade podataka. Tvrtka je nezakonito uvela videonadzor u poslovanje i nije poduzela sve propisane mjere kako bi upoznala i informirala zaposlenike da se njihovi osobni podaci obrađuju i putem videonadzora na radnom mjestu. Izvornik dokumenta možete vidjeti ovdje.
SAVJET
Svakako osigurajte da je vaš sustav usklađen ne samo s odredbama GDPR-a, već i cjelokupnim zakonskim okvirom kojim je reguliran vaš sektor poslovanja, osobito kad se radi o praćenju zaposlenika videonadzorom jer je to vrlo osjetljiva tema koja uzrokuje učestale prijave nacionalnim nadzornim tijelima.
Ciparsko nadzorno tijelo izreklo je dvije novčane kazne. Prva kazna u visini od 1000 eura jednom webshopu sportskih rekvizita i opreme zbog kršenja odredbi čl. 6. jer nije postojala valjana pravna osnova obrade podataka. Tvrtka je slala SMS marketinške poruke bez privole te nije ponudila primatelju mogućnost blokiranja primanja takvih poruka putem opcije opt-out (odjava). Izvornik dokumenta možete vidjeti ovdje.
SAVJET
SMS poruke predmet su direktnog marketinga i impliciraju privolu ispitanika, kao i obvezu osiguravanja mogućnosti odjave na jednostavan način. Svakako uzmite u obzir da baza na koju šaljete SMS poruke mora biti legitimno stečena odnosno morate imati valjanu pravnu osnovu za prikupljanje, obradu i arhiviranje podataka za direktno kontaktiranje pojedinaca u promotivne svrhe.
Druga kazna u visini od 9000 eura izrečena je socijalnom osiguranju koje djeluje u sklopu Ministarstva rada ciparske vlade zbog kršenja odredbi iz čl. 32. jer nisu poduzete odgovarajuće organizacijske i tehničke mjere kako bi se osigurala sigurnost informacija. Osiguranje je dopustilo neovlašten pristup osobnim podacima osiguranika usprkos upozorenjima i uputama nacionalnog nadzornog tijela. Izvornik dokumenta možete vidjeti ovdje.
SAVJET
Bez dubinskog razumijevanja sektorske zakonske regulative i dokumentiranja svih procesa unutar organizacije vezanih uz obradu podataka, educiranja zaposlenika u smjeru sigurnosti obrade podataka te uvođenja minimalnih organizacijskih i tehničkih mjera nužnih za postizanje dovoljne razine informacijske sigurnosti te posljedično i osiguravanja propisanih prava ispitanicima organizacija neće moći dokazati usklađenost s GDPR-om. Pojednostavljeno, predmet nadzora nije samo pregled dokumentacije u organizaciji već je to i uvid u stvarno stanje organizacijskih i tehničkih mjera kojima dokazujete dostatnu razinu informacijske sigurnosti i osiguravanja prava ispitanicima. Uvođenje međunarodnog standarda sustava upravljanja informacijskom sigurnosti ISO 27001 u sve procese organizacije omogućilo bi rješavanje velikog broja aspekata organizacijskih i tehničkih mjera, kao i edukacije zaposlenika.
Talijansko nadzorno tijelo izreklo je novčanu kaznu u iznosu od 27.800.000 eura telekomunikacijskom operateru zbog kršenja odredbi čl. 5., čl. 6., čl. 17., čl. 21. i čl. 32. GDPR-a tijekom perioda od 2017. godine do 2019. godine u kojem je zaprimljeno više stotina prijava pojedinaca na kršenje njihovih prava (prema starom zakonu koji je regulirao zaštitu osobnih podataka te prema GDPR-u). Novčana kazna izrečena je zbog više stavaka: nedostatka privola za marketinške aktivnosti (telemarketing i nasumični pozivi), obraćanja ispitanicima koji su zabranili kontaktiranje u marketinške svrhe, nevažeće privole prikupljene u aplikacijama teleoperatera i namjerno pogrešno interpretiranje prikupljenih privola, nedostatak odgovarajućih mjera sigurnosti u zaštiti osobnih podataka uključujući pogrešnu razmjenu 'crnih popisa' (black lists) s pozivnim centrima, nedostatak jasnih rokova čuvanja podataka i druge. Nadzorno tijelo je teleoperateru propisalo 20 korektivnih mjera zabrane upotrebe osobnih podataka u marketinške svrhe od ispitanika koji su odbili primati promotivne pozive iz pozivnih centara. Izvornik dokumenta možete vidjeti ovdje.
SAVJET
Dobro proučite ovu kaznu - ne samo sa stajališta odgovorne osobe u tvrtki, već prvenstveno sa stajališta pojedinca koji ima pravo na svoju privatnost. Bilo koji drugi komentar bio bi suvišan, a savjet manje učinkovit.