Analiza primjene GDPR-a po zemljama

//Analiza primjene GDPR-a po zemljama

Analiza primjene GDPR-a po zemljama

Uvođenjem GDPR-a došlo je do općeg porasta pritužbi i obavijesti o kršenju, mada to ne znači da su prekršena pravila o zaštiti podataka. Jednostavno, sve veća osviještenost rezultirala je naglim porastom broja prijava mogućih prekršaja privatnosti odnosno odgovornosti regulatornih tijela da ih pregledaju i istraže.

Prema Europskom odboru za zaštitu podataka (EDPB), tijelu koje razmatra i daje smjernice o tome kako se GDPR treba primijeniti u cijeloj Europskoj uniji, bilo je 281 088 slučajeva koje su zabilježila različita nadzorna tijela u prvoj godini primjene GDPR-a. Od toga se 144 376 slučajeva odnosilo na pritužbe potrošača, a 89 271 se odnosi na obavijesti o kršenju podataka od strane voditelja obrade. Nizozemska, Njemačka i Velika Britanija prijavile su najveći broj prekršaja, dok su Lihtenštajn, Island i Cipar zabilježili najmanje prijava.

Tri područja koja su najviše podložna žalbama ispitanika su telemarketing, promotivne elektronske poruke i video nadzor.

Većina zemalja EU dosad je izdala novčane kazne u skladu s GDPR-om. Utvrđivanje najstrožih zemalja po pitanju izricanja kazni ovisi o nečijem gledištu. Velika Britanija dugo vremena nije izrekla nijednu novčanu kaznu, da bi onda u startu izrekla kaznu preko četiri puta veću od svih dotadašnjih kazni ostatka Europe zajedno. Mnogo ovisi o pristupu pojedinog nadzornog tijela. Znatan dio njih u početku je izabrao edukaciju i suradnju umjesto kazni, koristeći prvu godinu primjene GDPR-a kao mirno razdoblje za promicanje poštivanja zakona (npr.  Belgija, Cipar i Latvija).

Neki su, poput Austrije, odlučili ciljati na opće zlouporabe na niskoj razini koje bi se mogle primijeniti na širi spektar organizacija, umjesto da ciljaju velike tehnološke tvrtke kao prioritet. Primjerice, u rujnu 2018. austrijsko nadzorno tijelo DSB novčano je kaznilo sportsku kladionicu s 5280 eura za postavljanje nadzorne kamere koja je snimala prolaznike, suprotno zabrani GDPR-a za opsežno nadgledanje javnog mjesta.

Neke od dosad strožih kazni usredotočene su na zlouporabu tehnologije s jedne strane i opću neusklađenost podataka na drugom. Na primjer, nacionalna nogometna liga u Španjolskoj, LaLiga, kažnjena je s 250 000 eura zbog uporabe aplikacije koja je bez prethodnog znanja ili pristanka pristupala mikrofonima mobilnih telefona korisnika u svrhu otkrivanja jesu li pubovi koji prikazuju nogometne utakmice zapravo platili naknadu za isto.

U međuvremenu, portugalska bolnica kažnjena je s 400 000 eura nakon što je istragom otkriveno da su bolnički zaposlenici imali neograničen pristup podacima o pacijentima putem lažnih profila. Naknadna revizija otkrila je da je bolnica imala 985 registriranih liječničkih profila, iako je imala samo 296 liječnika.

Šesnaest njemačkih tijela za nadzor podataka u začetku je bilo najučinkovitije, izrekavši ukupno 75 novčanih kazni od početka primjene GDPR-a. Prva je kazna bila izrečena u studenome 2018., kada je LfDI Baden-Württemberg novčano kaznio društvenu medijsku platformu Knuddels s 20 000 eura zbog pohrane lozinki u obliku otvorenog teksta, nakon kršenja podataka u kojima je ugroženo oko 330 000 osobnih podataka korisnika. Dosad najveću njemačku kaznu izrekla je također vlast u Baden-Württembergu. Zdravstvena organizacija koja je otkrila osjetljive osobne podatke kažnjena je s 80 000 eura.

U međuvremenu, Mađarska je izrekla najveću kaznu u odnosu na omjer financijskog prometa organizacije. Mađarska nacionalna uprava za zaštitu podataka i slobodu informacija (NAIH) izrekla je novčanu kaznu u iznosu od 30 000 000 HUF organizatorima multikulturalnog festivala glazbe i umjetnosti Sziget zbog sigurnosnih postupaka  koji su uključivali fotokopiranje identifikacijskih dokumenata stotina tisuća gostiju festivala, kao i fotografiranje na ulaznim vratima. Kazna predstavlja 2,3 posto neto prihoda tvrtke.

Iako je Nizozemska izrekla relativno malo novčanih kazni, među njima je i jedna vrlo značajna odnosno visoka. Nizozemska uprava za zaštitu podataka pogodila je pružatelja aplikacije za taksi usluge Uber sa 600 000 eura kazne radi kršenja nizozemskog propisa o zaštiti podataka tako što nije obavijestila nadzorno tijelo u roku od 72 sata od otkrića da je pretrpjela neovlašteno kršenje kojim je zahvaćeno 57 milijuna korisnika Ubera širom svijeta (od čega 174 000 državljana Nizozemske). Također se pokazalo da je Uber platio napadačima 100 000 dolara za uništavanje podataka, što je uključivalo imena, adrese e-pošte i telefonske brojeve kupaca te vozača koje su preuzeli.

Karen Holden, osnivačica londonske pravne prakse City Law Firm, kaže da su nadzorna tijela GDPR-a općenito postavila nekoliko kriterija koji se uzimaju u obzir prilikom izdavanja novčanih kazni, poput prirode kršenja zakona (vanjski hack, nemar ili oboje), vrste ugroženih podataka, radnji poduzetih nakon incidenta te spoznaje o intenzitetu suradnje između tvrtke i nadležnih tijela.

„Jasno je da se svaki slučaj prosuđuje zasebno odnosno uvelike ovisi o činjenicama svakog pojedinog slučaja“, kaže Holden. “U slučaju Knuddels, primjerice, u Njemačkoj, tvrtka je pošteđena mnogo strože kazne zbog svoje učinkovite strategije reagiranja i rješavanja slučajeva kršenja podataka”.

izvor: complianceweek.com

By |2020-02-10T09:46:30+02:0010 veljače, 2020|Novosti|Komentari isključeni za Analiza primjene GDPR-a po zemljama