Neuvažavanje prigovora ispitanika – kazna od 500 tisuća eura

3. prosinca 2019.

Kazna od 500 tisuća eura u Francuskoj!

Francuska tvrtka Futura Internationale koja pruža usluge toplinske izolacije objekata kažnjena je s 500 tisuća eura zbog kršenja GDPR-a. Tvrtka vrši promidžbu svojih usluga i istraživanje tržišta koristeći i usluge nekoliko pozivnih centara izvan EU. CNIL je postupio temeljem pritužbe ispitanika kojemu se Futura redovito obraćala telefonskim putem iako je jasno izrazio želju da ga se ne kontaktira telefonom, a to je sve potvrdio i email porukom.

Nadzorom je utvrđeno više slučajeva protivljenja ovakvoj obradi podataka koji su bili ignorirani. Evidentirane su i druge brojne nepravilnosti, primjerice netransparentno informiranje ispitanika o obradi i snimanju razgovora. Nakon ovog nadzora, još u listopadu 2018. godine, CNIL je donio rješenje kojim se Futuri nalažu korektivne mjere. Obzirom da Futura nije dostavila zadovoljavajući službeni odgovor ni postupila po rješenju, CNIL je izrekao upravnu novčanu sankciju.

Između ostalog, CNIL u odluci obrazlaže visinu kazne sljedećim:

  • nisu ispunjena prava ispitanika (nisu uvaženi prigovori na obradu)
  • utvrđena je prekomjerna obrada podataka (zabilježeni su uvredljivi komentari o korisnicima i podaci povezani sa zdravljem)
  • prijenos podataka u treće zemlje bez primjerenih mjera zaštite
  • odbijanje suradnje s nadzornim tijelom
  • općenito, količina i ozbiljnost utvrđenih nepravilnosti te njihovo namjerno ponavljanje

CNIL u komentaru javne objave ove odluke posebno ističe kako je suradnja s nadzornim tijelom obaveza svakog voditelja obrade.

ePrivacy – gdje je zapelo?

Zadnja verzija teksta ePrivacy Uredbe od 15. studenog ove godine neće ići na planirano službeno usvajanje koje se trebalo dogoditi početkom prosinca. Naime, većina članica EU odbila je prijedlog teksta i imala dodatne komentare i prijedloge. Iako postupak izrade i usuglašavanja uredbe traje već godinama, moguće je da se vrati na početak. Odluka o tome bit će donesena za vrijeme hrvatskog ili pak njemačkog predsjedanja Vijećem EU. Osim toga, moguće je da se prijedlog teksta u cijelosti povuče ili da se u postojećoj verziji naprave bitne izmjene.

U praksi ovo znači da će pitanja poput uvjeta za postavljanje kolačića i dalje biti rješavana na nacionalnoj razini kroz postojeće zakone kojima je implementirana Direktiva 2002/58 (ePrivacy).

Više: Uredba o privatnosti i elektroničkim komunikacijama – Izvješće o napretku

Nova direktiva o zaštiti kolektivnih interesa potrošača

Vijeće EU postiglo je dogovor o nacrtu direktive o mjerama zaštite kolektivnih interesa potrošača. Direktiva uređuje postupanje kvalificiranih subjekata kao što su primjerice udruge za zaštitu potrošača, te ih ovlašćuje da poduzimaju radnje u ime potrošača koje je oštetio trgovac. Direktivom su obuhvaćeni postupci trgovca koji predstavljaju kršenje propisa koji uređuju usluge prijevoza putnika, usluge u turizmu, zdravstvene usluge, elektroničku trgovinu, telekomunikacije, financijske usluge i dr., ali i postupke koji predstavljaju kršenje GDPR-a i Direktive 2002/58 (ePrivacy).

Direktivom se želi ujednačiti zaštita kolektivnih interesa potrošača na području cijele EU.

Smjernice za primjenu načela tehničke i integrirane zaštite podataka

Europski odbor za zaštitu podataka objavio je smjernice za primjenu načela „data protection by design and by default“. Objavljena verzija podložna je izmjenama, a postupak javnog savjetovanja trajat će do 16. siječnja 2020.

U smjernicama se obrazlažu kriteriji pomoću kojih se određuje što je „primjerena“ organizacijska i tehnička mjera zaštite, a to su:

  • najnovija tehnička dostignuća,
  • trošak provedbe,
  • priroda, kontekst i svrha obrade,
  • rizici koji proizlaze iz obrade,
  • količina podataka,
  • razdoblje pohrane, i
  • dostupnost podataka.

Za svako načelo obrade osobnih podataka ističe se na koji način se ono u praksi provodi kroz tehničku i integriranu zaštitu osobnih podataka, uz vrlo jednostavne i bliske primjere.

Osim EDPB-a, smjernice za primjenu načela tehničke i integrirane zaštite osobnih podataka objavili su i norveški Datatilsynet i španjolski AEPD.

U Srbiji privremeno obustavljen projekt sustavnog nadzora građana

Početkom 2019. godine, ministar unutrašnjih poslova Republike Srbije i direktor policije najavili su postavljanje 1000 kamera na 800 lokacija u Beogradu. Javnost je tada saznala da će kamere nove generacije imati mogućnost korištenja softvera za prepoznavanje lica i registarskih oznaka vozila. Cilj: „Povećanje razine sigurnosti građana i sprečavanje kaznenih djela“ u sklopu projekta „Sigurno društvo“.

Obzirom da je u Srbiji od kolovoza 2019. u primjeni novi Zakon o zaštiti podataka o ličnosti koji je gotovo u cijelosti kopija GDPR-a, MUP Srbije obvezan je bio provesti procjenu učinka na zaštitu podataka (DPIA). Zanimljivo je da je projekt već započeo, a nabavljene su i skupe pametne kamere i dodatna infrastruktura kada se MUP odlučio provesti procjenu. Procjena nije javno objavljena, a nevladine organizacije i civilne udruge koje predvodi SHARE Fondacija, došle su do dokumenta preko prava na pristup informacijama.

Prema njima, procjena je napravljena pro forme, te ne zadovoljava minimum propisanih zakonskih elemenata, pa čak ni opis rizika za prava i slobode građana. S njima se slaže i Poverenik za informacije od javnog značaja i zaštitu podataka o ličnosti. Naime, MUP je zaključio da je ova obrada u interesu svih građana i služi njihovoj zaštiti te su eventualni negativni učinci svedeni na minimum.

Udruge pozivaju MUP da do daljnjeg obustavi uvođenje sustava za pametni video nadzor i naglašavaju potrebu da se provede javna rasprava o potrebama, učincima i mogućim posljedicama uvođenja ovakvog sustava.

AZOP promijenio adresu

Informacija za sve one kojima je ovo promaklo – Agencija za zaštitu osobnih podataka preselila je na novu adresu: Selska cesta 136, 10 000 Zagreb.

Ovu informaciju treba ažurirati i u svim obavijestima o obradi podataka u dijelu u kojem se ispitanike upućuje na pravo pritužbe nadzornom tijelu.

Termini edukacija

U najavi...

Edukacije u 2020.

U 2020. godini nastavljamo održavati tečajeve i radionice u javnim terminima.

Plan termina tečajeva ćemo uskoro objaviti, a do tada pratite naše ostale objave!

» Ponuda edukacija

Povezane vijesti

Kazna od 9,55 milijuna eura za 1&1 Telecom u Njemačkoj

Njemački 1&1 Telecom “zaradio” 9,55 milijuna eura kazne zbog neprimjerenih tehničkih mjera zaštite. Vlada UK definira nužne korake za izmjene i dopune nacionalnog zakonodavstva koje regulira zaštitu osobnih podataka. U SAD-u ukraden nezaštićeni uređaj s podacima o plaćama oko 29 tisuća Facebookovih zaposlenika. Sud EU presudio vezano za obradu osobnih podataka putem sustava video nadzora u stambenoj zgradi. EDPB potvrdio predložak ugovora između voditelja i izvršitelja obrade.

Facebook kažnjen s 3,6 milijuna eura zbog – zavaravajuće poslovne prakse!

Wojciech Wiewiórowski je novi Europski nadzornik za zaštitu podataka. Europski parlament pod istragom zbog nepravilnosti u obradi podataka. Njemačkoj bolnici 105 tisuća eura kazne. Mađari kaznili Facebook sa 3,6 milijuna eura zbog zavaravajuće poslovne prakse. IAPP objavio vodič o sličnostima i različitostima smjernica nacionalnih nadzornih tijela o upotrebi kolačića.

Prvo rješenje HAKOM-a o kršenju pravila o kolačićima

Nove smjernice: ICO o posebnim kategorijama osobnih podataka. EDPB o teritorijalnom području primjene GDPR-a. AEPD o kolačićima.
HAKOM utvrdio kršenje Zakona o elektroničkim komunikacijama u pogledu kolačića.