U Danskoj je nedavno došlo do nove kazne vezane uz kršenje GDPR-a. Danski inspektorat za zaštitu osobnih podataka kaznio je taksi kompaniju zbog predugog zadržavanja osobnih podataka.
Slučaj
Kroz istragu je tijelo za zaštitu osobnih podataka otkrilo da je taksi kompanija Taxa 4×35 zadržala telefonske brojeve svojih klijenata pet godina bez valjanog razloga. Taksi kompanija se izjasnila da oni anonimiziraju podatke nakon proteka dvije godine, ali se ustanovilo da su samo izbrisali imena svojih klijenata, a ostavili telefonske brojeve još tri godine.
Na to se Taxa 4×35 branila da su telefonski brojevi nužni za funkcioniranje njihove baze podataka. Odgovor nadzornog tijela je da se ne može pravdati nepokoravanje zakonu time što to nije zgodno za njihovu bazu podataka. Ako baza podataka nije u skladu s GDPR-om, potrebno ju je mijenjati i prilagoditi.
Prema Cristini Angeli Gulisano, inspektorici danskog tijela za zaštitu osobnih podataka, kazna koju su tražili bila je takva zbog količine podataka koji su bili u pitanju.
Kazna
Riječ je o kazni od 1.2 milijuna danskih kruna, odnosno protuvrijednost od oko 160 tisuća eura. Prema danskom uređenju tijelo nije nadležno direktno samo izdavati kazne, pa je obavijestilo policiju grada Copenhagena da zatraži kaznu kroz sudove. Iako tijelo ne može samo izdavati kazne, sudovi se obično pridržavaju njihovih preporuka, stoga se može očekivati da će i kazna biti iste visine i nakon sudskog postupka.
Zaključak
Pouka priče je upravo ono što naglašava danski inspektorat u svojoj izjavi, valja se potruditi da se prikuplja što manje količine podataka, te da se izbrišu nakon što više nisu potrebni. Također smatraju da se anonimizacija treba provesti valjano, tj. podatke koji su anonimizirani ne smije biti moguće povezati s osobama kojima pripadaju.