Mark Zuckerberg na saslušanju u Kongresu

Nadzorna tijela za zaštitu podataka donose nove smjernice, ali i izriču visoke kazne!

Objavljeno:

Autor:

Mark Zuckerberg na saslušanju u Kongresu

Nadzorna tijela za zaštitu podataka donose nove smjernice, ali i izriču visoke kazne!

Objavljeno:

Autor

Poštar dostavlja paket

Izrečene nove kazne za kršenje GDPR-a!

Austrija

Najzanimljivija odluka izrečena u posljednja dva tjedna je sigurno ona kojom je Austrijskoj pošti (Österreichische Post AG) nacionalno nadzorno tijelo izreklo novčanu kaznu od 18 milijuna eura!

Prema obrazloženju odluke, a nakon prikupljenih dokaza, utvrđeno je da je Austrijska pošta koristila osobne podatke korisnika poštanskih usluga s ciljem da odredi političke preferencije, koristeći podatke o dobi, spolu, adresi stanovanja, te ih je dalje prodavala zainteresiranim trećim stranama.

Kazna je ovako visoka jer je voditelj obrade svjesno i namjerno počinio prekršaj s ciljem stjecanja financijske koristi, grubo kršeći prava korisnika svojih usluga (primatelja i pošiljatelja poštanskih pošiljaka).

Austrijska pošta je nacionalni davatelj univerzalne poštanske usluge i najveći poštanski operater, ekvivalent Hrvatskoj pošti.

Poljska

U Poljskoj je po prvi put kažnjeno javno tijelo – grad Aleksandrów Kujawski. Kazna u iznosu od 40 tisuća poljskih zlota (oko 9.400 eura) izrečena je zato što grad kao voditelj obrade nije ugovorom iz članka 28. GDPR- a uredio odnos s izvršiteljima obrade podataka – tvrtkom na čijim serverima su pohranjeni podaci, te s tvrtkom koja je izradila aplikaciju i pruža povezane usluge. (Iz dostupnih izvora nije sasvim jasno koje su radnje nad podacima radili izvršitelji, op.a.)

Osim navedenog, grad nije odredio razumne rokove čuvanja podataka, a u slučajevima gdje su rokovi definirani, utvrđeno je čuvanje podataka i nakon proteka tih rokova. Evidencije aktivnosti obrade nisu bile točne, odnosno potpune jer nisu bili navedeni svi primatelji podataka, a primijenjene tehničke i organizacijske mjere zaštite bile su neprimjerene. Dodatno, voditelj obrade u postupku nije surađivao s nadzornim tijelom, stoga nije bilo prostora za ublažavanje kazne.

Mark Zuckerberg na saslušanju u Kongresu
Mark Zuckerberg na saslušanju u Kongresu © Guardian News/youtube.com

Facebook će platiti kaznu od 500 tisuća funti

Postignut je dogovor između Facebooka i britanskog nadzornog tijela – ICO, u slučaju Cambridge Analytica. Podsjetimo se, ICO je Facebooku izrekao najvišu moguću kaznu po tada važećem Data Protection Actu iz 1998. U samom postupku ICO je povukao nekoliko poteza koji bi se mogli okarakterizirati kao nepristrani – prvo su javno objavili namjeru kažnjavanja (notice of intent) bez prethodnog obavještavanja Facebooka, a zatim je povjerenica Denham javno pozivala Facebook da odustane od uložene žalbe.

Postupak je završio nagodbom, a važno je naglasiti da Facebook nije priznao odgovornost.

Nove smjernice nacionalnih nadzornih tijela

Prateći primjer Španjolske, francusko nadzorno tijelo CNIL objavilo je popis obrada osobnih podataka za koje nije potrebno provoditi procjenu učinka na zaštitu podataka – DPIA, a to su obrade koje se odnose na:

  • kadrovske evidencije (ne uključujući profiliranja i biometriju) za tvrtke s manje od 250 zaposlenih – obračun plaća, edukacije, evidencija radnog vremena,
  • odnose s dobavljačima i drugim ugovornim partnerima – ugovor, administracija, plaćanje,
  • aktivnosti sindikata,
  • nacionalni popis birača,
  • obrade koje provode udruge vezano za članstvo, donacije i druge redovne poslove,
  • obrade podataka o pacijentima koje provodi medicinsko osoblje unutar liječničke ordinacije, ljekarne ili medicinskog laboratorija,
  • obrade koje provode odvjetnici i javni bilježnici u redovnom odnosu s klijentima,
  • obrade koje provode tijela javne vlasti ili tvrtke koje upravljaju školama i dječjim vrtićima – naplata računa, prijevoz, prehrana, organizacija izleta.

Nizozemsko nadzorno tijelo objavilo je smjernice o legitimnom interesu za obradu osobnih podataka. Možemo reći da su Nizozemci postrožili uvjete u odnosu na primjere koje navodi britansko nadzorno tijelo ICO i WP29 u svojem mišljenju br. 217. Isključeni su interesi voditelja obrade za povećanjem profita, praćenjem ponašanja zaposlenika, opći društveni interesi, a ni izravni marketing nije naveden kao primjer.

Autoriteit Persoonsgegevens smatra da su sljedeći interesi (ciljevi) legitimni:

  • zaštita imovine,
  • zaštita privatnosti,
  • postavljanje i obrana pravnih zahtjeva,
  • postupci za naknadu štete,
  • sprečavanje prijevara,
  • obavještavanje postojećih korisnika o sličnim proizvodima ili uslugama,
  • izvršavanje obveza koje proizlaze iz odnosa sa zaposlenicima i korisnicima usluga (kupci, klijenti…),
  • izvršavanje svih zakonskih obveza.
SAD i EU zastave jedna pored druge

Privacy Shield – treća godišnja ocjena

Europska komisija obavila je izvješće o trećoj godišnjoj ocjeni Privacy Shielda. Prema riječima Povjerenice Vere Jurove Privacy Shield je “succes story”, a njime je obuhvaćeno oko 5.000 poslovnih subjekata iz SAD-a. Vidljiva su poboljšanja u odnosu na rješavanje pritužbi potrošača i kontrolu primjene preuzetih obveza.

Međutim, budućnost Privacy Shielda neizvjesna je i ovisi o odluci Suda Europske Unije u postupku koji je pokrenula francuska neprofitna organizacija La Quadrature du Net. Ovaj postupak je trenutno “na čekanju” dok se ne okonča slučaj Schrems II kojim se osporava zakonitost standardnih ugovornih klauzula (SCC) Europske komisije. Krajnji ishod slučaja Schrems II imat će utjecaja na Privacy Shield, a moguće je da će ga staviti i izvan snage.