U dijelu serijala „GDPR – što i kako“ vezanim uz rad europskih nacionalnih nadzornih tijela donosim vam statistički pregled izrečenih GDPR kazni tijekom travnja 2020. godine s obrazloženjima donošenja pojedinih od njih kako biste ih mogli izbjeći učenjem na njihovim primjerima. Prema CMS EEIG-u, deset dosad najaktivnijih zemalja prema ukupnom iznosu izrečenih kazni s datumom 17. svibnja 2020. godine su: Velika Britanija (315.310.200 eura), Francuska (51.100.000 eura), Italija (39.452.000 eura), Njemačka (25.137.925 eura), Austrija (18.070.100 eura), Švedska (7.083.530 eura), Bugarska (3.208.690 eura), Nizozemska (2.660.000 eura), Španjolska (2.515.270 eura) i Poljska (943.330 eura).
Prema ukupnom broju izrečenih kazni u top 10 dosad najaktivnijih zemlja apsolutno prednjači Španjolska sa 80 izrečenih kazni te je slijede Rumunjska (27), Njemačka (25), Mađarska (23), Bugarska (19), Češka Republika (11), Italija (11), Cipar (8), Grčka (8) i Austrija (7).
Pet najčešćih razloga izricanja kazni bili su:
- nedovoljne tehničke i organizacijske mjere za osiguranje informacijske sigurnosti
- nedovoljna ili pogrešno definirana pravna osnova za obradu podataka
- nepridržavanje općih načela obrade podataka propisanih GDPR-om
- nedovoljno ispunjenje ili nemogućnost ispunjenja prava ispitanika
- nedovoljno ispunjenje obveze informiranosti ispitanika o obradama podataka
Kod promišljanja o stvarnoj razini usklađenosti organizacije s GDPR-om s obzirom na tehničke i organizacijske mjere zaštite podataka i izbjegavanje kazni vezanih uz taj aspekt, vrlo konkretan uvid pružit će vam sadržaj međunarodnog standarda ISO 27001 (Sustavi upravljanja informacijskom sigurnosti) i njegovog dodatka ISO 27701 (Upravljanje informacijama o privatnosti). Upravo na dijelove standarda ISO 27001 se u značajnom opsegu referira i pravni okvir informacijske sigurnosti u hrvatskom pravnom sustavu.
Zbog nesigurnog IT sustava iscurili podaci iz švedske središnjice za državnu službu
Švedsko nadzorno tijelo je izreklo novčanu kaznu Nacionalnoj središnjici za državnu službu (Nacional Government Service Center - NGSC) jer nije ispunila obvezu obavješćivanja nadzornog tijela i ispitanika o incidentu curenja podataka uzrokovanom sigurnosnim nedostacima na IT sustavu te institucije. Iako je ova kazna u iznosu od 18.700 eura vezana isključivo uz obavješćivanje o incidentu odnosno kršenje odredbi iz članka 33. i 34. GDPR-a jer je nadzorno tijelo utvrdilo da je NGSC-u trebalo gotovo pet mjeseci da obavijesti ispitanike o tom incidentu i gotovo tri mjeseca da obavijesti i svoje nacionalno nadzorno tijelo, štete nastale samim curenjem podataka iz IT sustava te institucije tek će se utvrđivati. Obavijest o toj kazni na službenim stranicama je prenio i sam Europski odbor za zaštitu podataka kako bi se ukazalo na iznimnu važnost uspostave naprednih sigurnosnih rješenja u nacionalnim IT sustavima. Izvornik dokumenta možete vidjeti ovdje.
Bez privole zaposlenika koristili sustav za skeniranje otisaka prstiju
Nizozemsko nadzorno tijelo izreklo je novčanu kaznu u iznosu od 725.000 eura neimenovanoj organizaciji zbog kršenja odredbi čl. 5. odnosno nepoštivanja načela obrade podataka te čl. 9. obrade posebnih kategorija osobnih podataka jer nije postojala valjana pravna osnova obrade podataka. Organizacija je uspostavila sustav skeniranja otisaka prstiju odnosno prikupljanja biometrijskih podataka u svrhu bilježenja njihove nazočnosti na poslu. Iako se za takvu vrstu obrade podataka pokušala pozvati na iznimke vezane uz obradu ove posebne kategorije podataka, nisu mogli pružiti nikakve dokaze da su zaposlenici za isto dali svoju privolu. Izvornik dokumenta možete vidjeti ovdje.
Obrada biometrijskih podataka spada u posebnu kategoriju te je odluke o odabiru sustava za bilo kakvo praćenje zaposlenika temeljenog na toj kategoriji obrade podataka potrebno vrlo oprezno donositi s obzirom na GDPR, njegov nacionalni provedbeni zakon i srodne zakone ovisno o sektoru djelovanja same organizacije.
Službenik za zaštitu podataka kojem prijave incidenata curenja podataka nisu bile u interesu
Belgijsko nacionalno tijelo izreklo je kaznu jednoj tvrtki jer je ustanovilo da njen službenik za zaštitu podataka nije bio dovoljno uključen u obradu incidenata curenja osobnih podataka, kao i da je bio u sukobu interesa jer je obnašao i druge funkcije unutar tvrtke. Osobito se tu istakla njegova uloga šefa Odjela za usklađivanje i reviziju, čime je ustanovljeno i da nije mogao donositi neovisne zaključke. Nadzorno tijelo je zaključilo da on ne može biti samostalan u svom radu te da organizacija nije ustanovila nikakav sustav sprječavanja sukoba interesa u obnašanju ove važne funkcije i tvrtki je izrekla novčanu kaznu u iznosu od 50.000 eura.