Kazna od 9,55 milijuna eura za 1&1 Telecom u Njemačkoj

17. prosinca 2019.

Njemačkom telekomu milijunska kazna!

Njemačko savezno nadzorno tijelo Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) izreklo je upravnu novčanu sankciju tvrtki 1&1 Telecom GmbH. Kazna od 9,55 milijuna eura izrečena je zbog neprimjerenih tehničkih mjera zaštite osobnih podataka u postupku identifikacije korisnika usluga, odnosno pozivatelja kontakt centra. U 1&1 Telecomu su smatrali da je dovoljno pozivatelja identificirati davanjem podataka o imenu, prezimenu i datumu rođenja. Nakon što je identitet „utvrđen“, agenti u kontakt centru bi nastavljali razgovor, pružali korisničku pomoć što je, u nekim slučajevima, podrazumijevalo i dijeljenje osobnih podataka korisnika usluge. 1&1 Telecom je već poduzeo određene mjere i promijenio opisani postupak identifikacije pozivatelja, a najavio je i osporavanje odluke u postupku pred nadležnim sudom. U Njemačkoj, ali i šire ova odluka BfDI-a izazvala je oprečne komentare. Naime, navodno je diskutabilan tzv. njemački model izricanja upravnih novčanih sankcija koji određuje da se visina kazne određuje prema godišnjem prihodu grupe poduzetnika, ali bez obzira je li predmetni prekršaj dio procesa koji su uspostavljeni u cijeloj grupi.

“Brexit je nepobitna, nesavladiva i nesporna odluka britanskog naroda”

Nadmoćnom pobjedom Johnsonovih Konzervativaca postalo je izvjesno da Velika Britanija izlazi iz Europske unije. Kako sada stvari stoje, Brexit bi se trebao dogoditi 31. siječnja 2020. Hoće li, u smislu zaštite i prijenosa osobnih podataka, UK postati neadekvatna zemlja ili će se ipak naći neko razumno rješenje sigurno ćemo saznati u narednom razdoblju. U svakom slučaju, do datuma izlaska UK mora napraviti izmjene i dopune nacionalnog zakonodavstva koje regulira zaštitu osobnih podataka (Data Protection Act 2018). U dokumentu koji je objavljen na službenim Vladinim stranicama definirani su nužni daljnji koraci:
  • Očuvati standarde zaštite osobnih podataka koje definira GDPR u nacionalnom zakonodavstvu
  • Priznati sve zemlje članice EU i Gibraltar kao „adekvatne“ kako bi se nastavili prijenosi podataka iz VB prema EU
  • Implementirati princip standardnih ugovornih klauzula u nacionalno zakonodavstvo, a nadzornom tijelu dodijeliti ovlasti za njihovo odobravanje
Više o definiranim mjerama i njihovom učinku pročitajte u samom dokumentu.

Malo drugačija povreda osobnih podataka u Facebooku

Kao da nije dovoljno što već mjesecima (godinama) čitamo o počinjenim povredama i malverzacijama te izrečenim sankcijama, Facebook nas je ipak iznenadio. Kako prenosi Bloomberg, provalom u automobil jednog od zaposlenika ukraden je i nekriptirani medij s podacima o plaćama i bonusima oko 29 tisuća drugih zaposlenika Facebook Inc. u SAD. Incident se navodno dogodio još sredinom studenog, a zaposlenici su obaviješteni tek nakon skoro mjesec dana (13. prosinca 2019.) Kako su priopćili iz Facebooka, smatraju da se radi o slučajnoj provali, koja nije imala za cilj krađu predmetnih podataka. Naravno, zaposlenik u čiji je automobil provaljeno, nije ni imao dopuštenje da sa sobom ima sporne podatke.

Sud EU: Legitimni interes mora biti postojeći i stvaran, a ne hipotetski

Povodom zahtjeva za prethodnu odluku Okružnog suda u Bukureštu, Sud Europske unije donio je 11. prosinca 2019. presudu u predmetu C-708/18, a vezano za obradu osobnih podataka kroz sustav video nadzora u stambenoj zgradi. Pred Sud su postavljana 4 prethodna pitanja u tumačenju Direktive 95/46, a posebno izdvajamo mišljenje Suda u pitanju: Treba li članak 7. točku (f) Direktive 95/46 tumačiti na način da ‚zakoniti interes’ voditelja obrade mora u trenutku obrade biti dokazan, postojeći i stvaran? (44) U tom pogledu valja istaknuti […] da s obzirom na to da, u skladu s člankom 7. točkom (f) Direktive 95/46, voditelj obrade osobnih podataka odnosno treća stranka kojoj se podaci otkrivaju mora imati zakoniti interes koji opravdava tu obradu, taj interes na datum obrade mora biti postojeći i stvaran, a ne hipotetski. Međutim, prilikom ocjene svih okolnosti predmetnog slučaja ne može se zahtijevati da je sigurnost imovine i osoba već bila ugrožena. Presudu pažljivo pročitatje, posebno u dijelu od točke 40. do 60., kojima se daje pojašnjenje u odnosu na pravnu osnovu za postavljanje video nadzora te proporcionalnost i nužnost takve obrade podataka. Podsjećamo da će Sud EU 19. prosinca objaviti mišljenje nezavisnog odvjetnika u slučaju Schrems II (C-311/18).

Standardni ugovor voditelja i izvršitelja obrade

Nakon što je dansko nadzorno tijelo Datatilsynet ranije ove godine na ocjenu predalo prijedlog standardnog ugovora o obradi podataka iz članka 28. GDPR-a, a EDPB u srpnju objavio mišljenje o tom prijedlogu, predložak ugovora i službeno je potvrđen u skladu s načelom konzistentnosti. Mogućnost korištenja predloška ne sprečava stranke da dodaju druge klauzule ili dodatne zaštitne mjere, pod uvjetom da ne proturječe, izravno ili neizravno, usvojenim klauzulama ili ne dovode u pitanje temeljna prava ili slobode ispitanika.

Termini edukacija

U najavi...

Edukacije u 2020.

U 2020. godini nastavljamo održavati tečajeve i radionice u javnim terminima.

Plan termina tečajeva ćemo uskoro objaviti, a do tada pratite naše ostale objave!

» Ponuda edukacija

Povezane vijesti

Facebook kažnjen s 3,6 milijuna eura zbog – zavaravajuće poslovne prakse!

Facebook kažnjen s 3,6 milijuna eura zbog – zavaravajuće poslovne prakse!

Wojciech Wiewiórowski je novi Europski nadzornik za zaštitu podataka. Europski parlament pod istragom zbog nepravilnosti u obradi podataka. Njemačkoj bolnici 105 tisuća eura kazne. Mađari kaznili Facebook sa 3,6 milijuna eura zbog zavaravajuće poslovne prakse. IAPP objavio vodič o sličnostima i različitostima smjernica nacionalnih nadzornih tijela o upotrebi kolačića.

Neuvažavanje prigovora ispitanika – kazna od 500 tisuća eura

Neuvažavanje prigovora ispitanika – kazna od 500 tisuća eura

Francuska tvrtka kažnjena zbog brojnih nepravilnosti u obradi osobnih podataka. Još nije usvojena ePrivacy uredba, ali je postignut dogovor o nacrtu druge, nove direktive – o mjerama zaštite kolektivnih interesa potrošača. EDPB je izdao smjernice za primjenu načela tehničke i integrirane zaštite podataka. U Srbiji privremeno obustavljen projekt sustavnog nadzora građana zbog nezadovoljavajuće procjene učinka na zaštitu podataka (DPIA). AZOP promijenio adresu sjedišta.

Prvo rješenje HAKOM-a o kršenju pravila o kolačićima

Prvo rješenje HAKOM-a o kršenju pravila o kolačićima

Nove smjernice: ICO o posebnim kategorijama osobnih podataka. EDPB o teritorijalnom području primjene GDPR-a. AEPD o kolačićima.
HAKOM utvrdio kršenje Zakona o elektroničkim komunikacijama u pogledu kolačića.