Za kraj godine – o Schremsu, AZOP-u i prvoj GDPR kazni

Vlatka Vuković



31. prosinca 2019.

ICO izrekao prvu GDPR kaznu

Britansko nadzorno tijelo Information Commissioner’s Office (ICO) napokon je izreklo prvu novčanu kaznu za kršenje GDPR-a.

S 275 tisuća funti kažnjena je ljekarna Doorstep Dispensaree Ltd jer nije primjereno zaštitila posebne kategorije osobnih podataka pacijenata i korisnika farmaceutskih proizvoda. Nadzorom je utvrđeno da je Doorstep Dispensaree čuvao oko pola milijuna raznih dokumenata u svojim pozadinskim prostorijama u Edgwareu. Dokumenti su sadržavali podatke o imenu i prezimenu, adresi, broju zdravstvenog osiguranja, medicinske informacije i podatke o izdanim liječničkim receptima, a nisu bili zaštićeni od mogućeg neovlaštenog pristupa, ali ni od vanjskih utjecaja te je dio njih bio i fizički oštećen uslijed utjecaja vlage.

Do sada je ICO izrekao brojne kazne u postupcima koji su pokrenuti prije početka primjene GDPR-a, temeljem Data Protection Act-a iz 1998. godine ili temeljem trenutno važećeg Privacy and Electronic Communications Regulations (PECR), propisa kojim je regulirana privatnost u elektroničkim komunikacijama, a inačica je hrvatskog Zakona o elektroničkim komunikacijama. Podsjetimo se, British Airways i Marriott hoteli nisu kažnjeni, već je ICO u ovim predmetima objavio namjeru izricanja novčane kazne (notice of intent).

AG Schrems II

U slučaju Schrems II (C-311/18, DPC Ireland vs. Schrems i Facebook) koji se vodi povodom utvrđenja valjanosti standardnih ugovornih klauzula te zakonitosti prijenosa osobnih podataka europskih korisnika Facebooka u Sjedinjene američke države (Facebook Ireland Ltd. prema Facebook Inc.,) nezavisni odvjetnik Saugmandsgaard Øe donio je mišljenje o standardnim ugovornim klauzulama koje su usvojene Odlukom 2010/87 Europske komisije. Nezavisni odvjetnik zaključio je da su standardne ugovorne klauzule, kada ih se primjenjuje sukladno Odluci 2010/87, primjeren mehanizam zaštite, ali je jasno ukazao na manjkavosti Privacy Shielda. U svojem detaljnom mišljenju posebno ističe neravnopravan položaj građana EU koje Ustav SAD-a ne štiti te izražava sumnju u učinkovitost funkcije ombudsmana.

Podsjetimo se, irsko nadzorno tijelo DPC odbilo je suspendirati prijenose koji mogu negativno utjecati na prava i slobode europskih korisnika Facebooka te je izbjegavajući odgovornost radije pokrenulo sudski spor protiv Schremsa i Facebooka s ciljem stavljanja izvan snage SCC-a.

Mišljenje nezavisnog odvjetnika nije obvezujuće za Sud Europske unije koji će u daljnjem postupku dati odgovore na prethodna pitanja koja je pred njega postavio irski High Court. Navedeno je komentirao i Maximillian Schrems koji je vrlo zadovoljan ovim razvojem događaja: “I am generally happy about the opinion of the Advocate General. The opinion is in line with our legal arguments“.

Aktivnosti AZOP-a

Agencija za zaštitu osobnih podataka objavila je poziv za sudjelovanje u postupku savjetovanja o Nacrtu prijedloga kriterija za obročnu otplatu i uvjeta za raskid obročne otplate upravne novčane kazne. Svoje komentare i prijedloge možete dostaviti do 3. siječnja 2020. Ovo je jasan pokazatelj namjere Agencije da prakticira svoje ovlasti i izriče upravne novčane sankcije.

Na stranicama Agencije objavljen je i Priručnik za službenike za zaštitu osobnih podataka (Smjernice za službenike za zaštitu osobnih podataka u javnom i gotovo isključivo-javnom sektoru o tome kako osigurati usklađenost s Općom Uredbom o zaštiti podataka Europske Unije). Iako je Priručnik namijenjen službenicima u javnom sektoru, korisno je štivo za sve koji se bave ovim područjem. AZOP je pod vodstvom talijanskog i u suradnji s drugim nacionalnim nadzornim tijelima i partnerima ovog projekta napravio odličan posao.

Agencija za zaštitu osobnih podataka u okviru predsjedanja Republike Hrvatske Vijećem Europske unije, 16. siječnja 2020. godine organizira međunarodnu konferenciju pod nazivom Data Protection Day 2020: Facing New Challenges. Konferencija će okupiti hrvatsku i međunarodnu zajednicu stručnjaka za zaštitu podataka i privatnosti, visoke državne službenike, predstavnike tijela javne vlasti, akademske i znanstvene zajednice, predstavnike Europske komisije, Europskog nadzornika za zaštitu podataka i Europskog odbora za zaštitu podataka, odgovorne osobe poslovnih subjekata iz različitih sektora, a obuhvatit će najaktualnije teme iz područja zaštite podataka.

Hvala što ste nas čitali do sada, čitamo se i sljedeće godine!

I za kraj godine, prenosimo ovaj Forbesov članak. Posebno izdvajamo:

Share what you know, credit those who share, but verify everything before you do either. Privacy laws are hard, but don’t take shortcuts.

Read the actual case law, not just the summaries offered by law firms or others. Read the actual legal texts, not just the Wikipedia summary available online. Check that links point to genuine published documents, not just journalists’ articles about those documents. Check the URL of anything you share belongs to official sites publishing formal sources of law. Verify the binding value in the hierarchy of sources of law of what you are sharing. Verify the jurisdictional reach of the source of law you are sharing.

Svim našim čitateljima i onima koji će to tek postati želimo sretnu i uspješnu novu godinu! 🙂

Termini edukacija

U najavi...

Edukacije u 2020.

U 2020. godini nastavljamo održavati tečajeve i radionice u javnim terminima.

Plan termina tečajeva ćemo uskoro objaviti, a do tada pratite naše ostale objave!

» Ponuda edukacija

Povezane vijesti

Facebook kažnjen s 3,6 milijuna eura zbog – zavaravajuće poslovne prakse!

pro 10, 2019

Wojciech Wiewiórowski je novi Europski nadzornik za zaštitu podataka. Europski parlament pod istragom zbog nepravilnosti u obradi podataka. Njemačkoj bolnici 105 tisuća eura kazne. Mađari kaznili Facebook sa 3,6 milijuna eura zbog zavaravajuće poslovne prakse. IAPP objavio vodič o sličnostima i različitostima smjernica nacionalnih nadzornih tijela o upotrebi kolačića.

Neuvažavanje prigovora ispitanika – kazna od 500 tisuća eura

pro 3, 2019

Francuska tvrtka kažnjena zbog brojnih nepravilnosti u obradi osobnih podataka. Još nije usvojena ePrivacy uredba, ali je postignut dogovor o nacrtu druge, nove direktive – o mjerama zaštite kolektivnih interesa potrošača. EDPB je izdao smjernice za primjenu načela tehničke i integrirane zaštite podataka. U Srbiji privremeno obustavljen projekt sustavnog nadzora građana zbog nezadovoljavajuće procjene učinka na zaštitu podataka (DPIA). AZOP promijenio adresu sjedišta.

Prvo rješenje HAKOM-a o kršenju pravila o kolačićima

stu 19, 2019

Nove smjernice: ICO o posebnim kategorijama osobnih podataka. EDPB o teritorijalnom području primjene GDPR-a. AEPD o kolačićima.
HAKOM utvrdio kršenje Zakona o elektroničkim komunikacijama u pogledu kolačića.