Nadzorna tijela za zaštitu podataka donose nove smjernice, ali izriču i visoke kazne!

5. studenoga 2019.

Izrečene nove kazne za kršenje GDPR-a!

Austrija

Najzanimljivija odluka izrečena u posljednja dva tjedna je sigurno ona kojom je Austrijskoj pošti (Österreichische Post AG) nacionalno nadzorno tijelo izreklo novčanu kaznu od 18 milijuna eura!

Prema obrazloženju odluke , a nakon prikupljenih dokaza, utvrđeno je da je Austrijska pošta koristila osobne podatke korisnika poštanskih usluga s ciljem da odredi političke preferencije, koristeći podatke o dobi, spolu, adresi stanovanja, te ih je dalje prodavala zainteresiranim trećim stranama.

Kazna je ovako visoka jer je voditelj obrade svjesno i namjerno počinio prekršaj s ciljem stjecanja financijske koristi, grubo kršeći prava korisnika svojih usluga (primatelja i pošiljatelja poštanskih pošiljaka).

Austrijska pošta je nacionalni davatelj univerzalne poštanske usluge i najveći poštanski operater, ekvivalent Hrvatskoj pošti.

Poljska

U Poljskoj je po prvi put kažnjeno javno tijelo – grad Aleksandrów Kujawski. Kazna u iznosu od 40 tisuća poljskih zlota (oko 9.400 eura) izrečena je zato što grad kao voditelj obrade nije ugovorom iz članka 28. GDPR- a uredio odnos s izvršiteljima obrade podataka – tvrtkom na čijim serverima su pohranjeni podaci, te s tvrtkom koja je izradila aplikaciju i pruža povezane usluge. (Iz dostupnih izvora nije sasvim jasno koje su radnje nad podacima radili izvršitelji, op.a.)

Osim navedenog, grad nije odredio razumne rokove čuvanja podataka, a u slučajevima gdje su rokovi definirani, utvrđeno je čuvanje podataka i nakon proteka tih rokova. Evidencije aktivnosti obrade nisu bile točne, odnosno potpune jer nisu bili navedeni svi primatelji podataka, a primijenjene tehničke i organizacijske mjere zaštite bile su neprimjerene. Dodatno, voditelj obrade u postupku nije surađivao s nadzornim tijelom, stoga nije bilo prostora za ublažavanje kazne.

Facebook će platiti kaznu od 500 tisuća funti

Postignut je dogovor između Facebooka i britanskog nadzornog tijela – ICO, u slučaju Cambridge Analytica. Podsjetimo se, ICO je Facebooku izrekao najvišu moguću kaznu po tada važećem Data Protection Actu iz 1998. U samom postupku ICO je povukao nekoliko poteza koji bi se mogli okarakterizirati kao nepristrani – prvo su javno objavili namjeru kažnjavanja (notice of intent) bez prethodnog obavještavanja Facebooka, a zatim je povjerenica Denham javno pozivala Facebook da odustane od uložene žalbe.

Postupak je završio nagodbom, a važno je naglasiti da Facebook nije priznao odgovornost.

Nove smjernice nacionalnih nadzornih tijela

Prateći primjer Španjolske, francusko nadzorno tijelo CNIL objavilo je popis obrada osobnih podataka za koje nije potrebno provoditi procjenu učinka na zaštitu podataka – DPIA, a to su obrade koje se odnose na:

  • kadrovske evidencije (ne uključujući profiliranja i biometriju) za tvrtke s manje od 250 zaposlenih – obračun plaća, edukacije, evidencija radnog vremena,
  • odnose s dobavljačima i drugim ugovornim partnerima – ugovor, administracija, plaćanje,
  • aktivnosti sindikata,
  • nacionalni popis birača,
  • obrade koje provode udruge vezano za članstvo, donacije i druge redovne poslove,
  • obrade podataka o pacijentima koje provodi medicinsko osoblje unutar liječničke ordinacije, ljekarne ili medicinskog laboratorija,
  • obrade koje provode odvjetnici i javni bilježnici u redovnom odnosu s klijentima,
  • obrade koje provode tijela javne vlasti ili tvrtke koje upravljaju školama i dječjim vrtićima – naplata računa, prijevoz, prehrana, organizacija izleta.

Nizozemsko nadzorno tijelo objavilo je smjernice o legitimnom interesu za obradu osobnih podataka. Možemo reći da su Nizozemci postrožili uvjete u odnosu na primjere koje navodi britansko nadzorno tijelo ICO i WP29 u svojem mišljenju br. 217. Isključeni su interesi voditelja obrade za povećanjem profita, praćenjem ponašanja zaposlenika, opći društveni interesi, a ni izravni marketing nije naveden kao primjer.

Autoriteit Persoonsgegevens smatra da su sljedeći interesi (ciljevi) legitimni:

  • zaštita imovine,
  • zaštita privatnosti,
  • postavljanje i obrana pravnih zahtjeva,
  • postupci za naknadu štete,
  • sprečavanje prijevara,
  • obavještavanje postojećih korisnika o sličnim proizvodima ili uslugama,
  • izvršavanje obveza koje proizlaze iz odnosa sa zaposlenicima i korisnicima usluga (kupci, klijenti…),
  • izvršavanje svih zakonskih obveza.

Privacy Shield – treća godišnja ocjena

Europska komisija obavila je izvješće o trećoj godišnjoj ocjeni Privacy Shielda. Prema riječima Povjerenice Vere Jurove Privacy Shield je „succes story“, a njime je obuhvaćeno oko 5.000 poslovnih subjekata iz SAD-a. Vidljiva su poboljšanja u odnosu na rješavanje pritužbi potrošača i kontrolu primjene preuzetih obveza.

Međutim, budućnost Privacy Shielda neizvjesna je i ovisi o odluci Suda Europske Unije u postupku koji je pokrenula francuska neprofitna organizacija La Quadrature du Net. Ovaj postupak je trenutno „na čekanju“ dok se ne okonča slučaj Schrems II kojim se osporava zakonitost standardnih ugovornih klauzula (SCC) Europske komisije. Krajnji ishod slučaja Schrems II imat će utjecaja na Privacy Shield, a moguće je da će ga staviti i izvan snage.

Termini edukacija

U najavi...

Edukacije u 2020.

U 2020. godini nastavljamo održavati tečajeve i radionice u javnim terminima.

Plan termina tečajeva ćemo uskoro objaviti, a do tada pratite naše ostale objave!

» Ponuda edukacija

Povezane vijesti

Kazna od 9,55 milijuna eura za 1&1 Telecom u Njemačkoj

Kazna od 9,55 milijuna eura za 1&1 Telecom u Njemačkoj

Njemački 1&1 Telecom “zaradio” 9,55 milijuna eura kazne zbog neprimjerenih tehničkih mjera zaštite. Vlada UK definira nužne korake za izmjene i dopune nacionalnog zakonodavstva koje regulira zaštitu osobnih podataka. U SAD-u ukraden nezaštićeni uređaj s podacima o plaćama oko 29 tisuća Facebookovih zaposlenika. Sud EU presudio vezano za obradu osobnih podataka putem sustava video nadzora u stambenoj zgradi. EDPB potvrdio predložak ugovora između voditelja i izvršitelja obrade.

Facebook kažnjen s 3,6 milijuna eura zbog – zavaravajuće poslovne prakse!

Facebook kažnjen s 3,6 milijuna eura zbog – zavaravajuće poslovne prakse!

Wojciech Wiewiórowski je novi Europski nadzornik za zaštitu podataka. Europski parlament pod istragom zbog nepravilnosti u obradi podataka. Njemačkoj bolnici 105 tisuća eura kazne. Mađari kaznili Facebook sa 3,6 milijuna eura zbog zavaravajuće poslovne prakse. IAPP objavio vodič o sličnostima i različitostima smjernica nacionalnih nadzornih tijela o upotrebi kolačića.

Neuvažavanje prigovora ispitanika – kazna od 500 tisuća eura

Neuvažavanje prigovora ispitanika – kazna od 500 tisuća eura

Francuska tvrtka kažnjena zbog brojnih nepravilnosti u obradi osobnih podataka. Još nije usvojena ePrivacy uredba, ali je postignut dogovor o nacrtu druge, nove direktive – o mjerama zaštite kolektivnih interesa potrošača. EDPB je izdao smjernice za primjenu načela tehničke i integrirane zaštite podataka. U Srbiji privremeno obustavljen projekt sustavnog nadzora građana zbog nezadovoljavajuće procjene učinka na zaštitu podataka (DPIA). AZOP promijenio adresu sjedišta.