Pet najvećih novčanih kazni za kršenje GDPR-a do sada

Dvije su razine maksimalnih upravno novčanih kazni za kršenje Opće uredbe o zaštiti podataka, ovisno o tome koji dio Uredbe poslovni subjekt krši:

• 10 000 000 EUR, ili u slučaju poduzetnika do 2% ukupnog godišnjeg prometa na svjetskoj razini za prethodnu financijsku godinu – ovisno o tome što je veće
• 20 000 000 EUR, ili u slučaju poduzetnika do 4% ukupnog godišnjeg prometa na svjetskoj razini za prethodnu financijsku godinu – ovisno o tome što je veće

Viša razina novčane kazne rezervirana je za prekršaje vezane uz osnovna načela Uredbe, pravne osnove obrade, uvjete privole, informiranje ispitanika, obradu posebnih kategorija osobnih podataka, odbijanje prava ispitanika te prijenos podataka u treće zemlje (van EEU).

Niža razina fokusirana je na prekršaje povezane s: vođenjem evidencije aktivnosti obrade, sigurnošću osobnih podataka, provođenjem procjene učinka na zaštitu podataka, tehničkom i integriranom zaštitom podataka, ugovorima o obradi podataka, kao i imenovanjima službenika za zaštitu podataka.

Upravo visoko postavljeni okviri maksimalnog iznosa kazne daleko su najviše punili naslove različitih medija, a uporno spominjanje tih cifri je razlog zbog kojeg velik broj čelnih ljudi u hrvatskim tvrtkama strahuje te zapravo ima negativan stav prema GDPR-u.

Želimo još jednom istaknuti da primaran razlog važnosti potpune prilagodbe poslovanja Uredbi ne bi trebao biti strah od eventualne kazne, već kreiranje dugoročne kulture privatnosti koja podrazumijeva brigu o zaštiti osobnih podataka naših zaposlenika i klijenata – koji će tu brigu prepoznati i znati cijeniti. 

S druge strane, podrobnije upoznavanje s najvišim kaznama koje su dodijelila nadzorna tijela za zaštitu podataka država članica EU omogućava bolje razumijevanje konkretnih vrsta kršenja Uredbe koja se najoštrije sankcioniraju, kao i potencijalne olakotne te otegotne okolnosti prilikom dodjele kazni. Navedene informacije mogu nam pomoći prilikom razrade prioriteta u procesu kreiranja vlastitog programa privatnosti.

Statistički podaci – GDPR kazne na razini Europske Unije do kraja siječnja 2021.:

• Broj do sada dodijeljenih upravno novčanih kazni: 551
• Ukupan iznos svih dodijeljenih kazni: 283.067.992 eura
• Najviša kazna: 50.000.000 – Google
• Najniža kazna: 28 eura – Mađarska

01. Google

50.000.000 € — Francuska

Francuski CNIL je 21.01.2019. dobro poznatom IT divu dodijelio najvišu finalnu kaznu za kršenje Uredbe do sada. Sve je počelo tako da su udruge None Of Your Business (“NOYB”) i La Quadrature du Net (“LQDN”) doslovno prvog dana početka primjene Uredbe dostavile grupne tužbe, u kojima navode da Google nema valjanu pravnu osnovu za različite obrade osobnih podataka korisnika svojih usluga, a pogotovo u svrhu personalizacije oglasa.

CNIL je nakon istrage zaključio da je Google prekršio načelo transparentnosti te obvezu informiranja: informacijama o obradi podataka koje tvrtka pruža korisnicima nije lako pristupiti, već su razbacane kroz nekoliko različitih dokumenata, a važne informacije za određene obrade dostupne su tek nakon poduzimanja pet do šest radnji na uređaju. Osim toga, ustanovili su da informacije nerijetko nisu ni dovoljno jasne ili razumljive, dok u nekim slučajevima informacije o duljini zadržavanja podataka naprosto ni ne postoje.

Također, francusko nadzorno tijelo ustanovilo je da tvrtka doista nema valjanu pravnu osnovu za personalizaciju oglasa: Google tvrdi da za navedenu svrhu traži privolu od korisnika – CNIL je ustvrdio da privola nije prikupljena na valjan način, i to zbog dva razloga. Informacije o obradi za personalizaciju oglasa također su razbacane kroz nekoliko dokumenata – što je kršenje uvjeta informirane privole. Osim toga, prikupljena privola nije posebna niti nedvosmislena: za uređivanje pojedinih tipova privole kod izrade Android računa treba poduzeti niz dodatnih radnji, a uopće se ne traži poduzimanje pozitivne radnje kako bi privola bila dana, već je za određene obrade ona unaprijed označena.

CNIL objašnjava kako su visina kazne, kao i javna objava iste, opravdani zbog učestalosti i ozbiljnosti kršenja osnovnih načela GDPR-a: transparentnosti te uvjeta valjane privole.

Treba uzeti u obzir i činjenicu da postoji još čitav niz tužbi usmjerenih protiv istog voditelja obrade, tako da je vrlo vjerojatno da ovih pedeset milijuna nije jedina kazna koju će Google isplatiti zbog GDPR-a – dok ozbiljne iznose dodijeljenih kazni uskoro možemo očekivati i za Facebook.

2. H&M

35.258.707 € – Njemačka

Njemačka podružnica poznatog švedskog lanca odjeće, H&M Hennes & Mauritz AB, 5. listopada je kažnjena iznosom nešto većim od 35 milijuna eura za kršenja GDPR-a koja se tiču prekomjernog nadzora nekoliko stotina zaposlenika.

Naime, tvrtka je na različite načine od zaposlenika prikupljala niz podataka o njihovom privatnom životu, uključujući i osjetljive podatke poput zdravstvenog statusa te vjerskih uvjerenja – a sve u svrhu izrade profila zaposlenika koji je služio za evaluaciju njihovog rada, kao i donošenje odluka povezanih sa zaposlenjem. Svi navedeni podaci bili su dostupni više od 50 H&M managera.

Otkriće navedenog kršenja zapravo se dogodilo slučajno, kada su spomenuti podaci greškom u listopadu 2019. postali dostupni svim zaposlenicima tvrtke, nakon čega ih je nekoliko slučaj prijavilo nadzornom tijelu za zaštitu podataka.

Hamburško nadzorno tijelo (HmbBfDI) zaključilo je da je takva kombinacija istrage o privatnim životima zaposlenika te kontinuirana pohrana njihovih aktivnosti dovela do posebno intenzivnog narušavanja prava zaposlenika.

Treba naglasiti kako je tvrtka surađivala s nadzornim tijelom u procesu istrage, ispričala se zaposlenicima te pristala povrijeđenim zaposlenicima isplatiti novčanu naknadu.

3. TIM

27.802.496 € – Italija

Početkom 2020., talijansko nadzorno tijelo Garante objavilo je treću najvišu GDPR kaznu do sada: iznos od gotovo 28 milijuna eura dodijeljen je telekomunikacijskoj tvrtci TIM za niz nezakonitih praksi obrade podataka u marketinške svrhe.

Naime, između 2017. i 2019., Garante je zaprimio brojne pritužbe pojedinaca, uključujući i pojedince koji nisu postojeći korisnici TIM-a, a koji su tvrdili da su zaprimili neželjene marketinške pozive bez da su prethodno dali svoju privolu – ili unatoč činjenici da su registrirani na opt-out listi (kao što je registar “NE ZOVI” u Hrvatskoj).

Istraga nadzornog tijela otkrila je brojna kršenja te općeniti nedostatak odgovornosti talijanske tvrtke prema zaštiti osobnih podataka. Konkretno, istraga je otkrila da TIM:

• Ne upravlja call centrima za marketinšku komunikaciju na primjeren način
• Ne osvježava listu pojedinaca koji su izrazili želju za isključivanjem iz marketinške komunikacije
• Traži privolu za marketinšku komunikaciju kao uvjet da bi kupci dobili popuste
• Nudi netočne i netransparentne informacije o obradi podataka putem aplikacija

Garante je naglasio kako je kršenjem obuhvaćeno nekoliko milijuna građana. Kao dodatan primjer učestalosti nezakonitog ponašanja, ističe se situacija gdje je ista osoba bez prethodne privole pozvana 155 puta u mjesec dana.

Uz sve navedeno, tvrtkin sistem za upravljanje povredama osobnih podataka pokazao se neefikasnim, a nije postojala ni adekvatna implementacija sistema upravljanja osobnim podacima, zbog čega je tvrtka kršila i načela tehničke zaštite podataka te integrirane zaštite podataka (privacy by design and default). Podaci kupaca zadržavani su duže nego što je to zakonski dopušteno, a sistemi za bilježenje odbijanja privole nisu bili osvježavani.

Osim same kazne, Garante je dodijelio i čak 20 korektivnih mjera TIM-u.

4. British Airways

22.000.000 € – Velika Britanija

U srpnju 2019., britansko nadzorno tijelo ICO objavilo je “namjeru kažnjavanja” British Airwaysa u iznosu od čak 204.6 milijuna eura, zbog značajnih kršenja članka 31. Uredbe.

Da se ta najava ostvarila, riječ bi bila o najvišoj GDPR kazni do sada, no nakon provedenog čitavog postupka – konačni dodijeljeni iznos kazne smanjen je na “samo” 22 milijuna eura.

Povreda o kojoj se radi dogodila se u srpnju 2018., a otkrivena je tek dva mjeseca kasnije – u tom periodu, web stranica British Airwaysa upućivala je posjetitelje na web stranice hakera, koji su na taj način ukrali osobne podatke više od 400.000 kupaca zrakoplovne kompanije.

Prema službenoj izjavi ICO-a, istraga je utvrdila kako je aviokompanija obrađivala značajnu količinu osobnih podataka bez postavljenih adekvatnih sigurnosnih mjera. Taj propust, koji je sam po sebi kršenje zakonodavstva o zaštiti podataka, doveo je do cyber-napada koji nije otkriven duže od dva mjeseca

Tvrtka nije imala sigurnosne mehanizme kako bi spriječila takve cyber-napade, zbog čega je niz podataka bio kompromitiran lošim sigurnosnim rješenjima tvrtke, uključujući: login podatke, detalje o putovanju, ime, adresu, pa čak i podatke kartice kojom je kupac platio. British Airways u vrijeme povrede nije imao niti najosnovnija rješenja, poput višefaktorske autentifikacije.

Na konačan iznos, odnosno smanjenje istog, svakako je utjecala i COVID-19 pandemija te negativan efekt koji je imala na čitavu avioprijevoznu industriju.

5. Marriott International

20.450.000 € – Velika Britanija

Priča oko kazne dodijeljene Marriott Internationalu slična je onoj British Airwaysa: u srpnju 2019., britanski ICO objavio je namjeru kažnjavanja najvećeg lanca hotela na svijetu iznosom od čak 123 milijuna eura – zbog cyber napada koji je razotkrio podatke više od 339 milijuna pojedinaca. Nakon više od godinu dana, postupak je završen te je iznos kazne ipak smanjen na 20.450.000 eura.

Marriott International je postao izložen cyber-napadu nakon kupovine lanaca hotela Starwood, na koje je napad prvobitno izvršen još u 2014. godini. Ipak, zaključak nadzornog tijela je da je upravo Marriott trebao poduzeti detaljnu analizu nakon preuzimanja te implementirati prikladne tehničke i organizacijske mjere za zaštitu osobnih podataka koje obrađuje – što je jedan od zahtjeva GDPR-a – a to američka tvrtka nije učinila.

Osobni podaci na koje je povreda utjecala uključuju: imena, e-mail adrese, brojeve telefona, brojeve putovnica, informacije o dolascima i odlascima u hotele, VIP statusu te broj članstva u programima vjernosti. Iako se cyber napad dogodio u 2014., novčana kazna odnosi se samo na povrede od 25. svibnja 2018., otkada se GDPR primjenjuje.

ICO je u procesu uzeo u obzir obranu Marriotta, korake koje je tvrtka poduzela da umanji efekt povrede, kao i ekonomski utjecaj COVID-19 na poslovanje.

Zaključak

Kao što možemo vidjeti iz primjera pet najvećih novčanih kazni do sada, ponašanja koja se najoštrije sankcioniraju uvijek su na određen način povezana s kršenjem osnovnih načela GDPR-a.

Važno je da osobne podatke obrađujete isključivo ako za tu obradu imate valjanu pravnu osnovu, čuvati ih smijete samo onoliko dugo koliko je potrebno za svrhe zbog kojih se obrađuju, a ispitanici moraju uvijek dobiti točne i potpune transparentne informacije o obradi.

Treba razumjeti što znači prikupljanje valjane privole: to je dobrovoljno, posebno, informirano i nedvosmisleno izražavanje želja ispitanika kojim on izjavom ili jasnom potvrdnom radnjom daje pristanak za obradu osobnih podataka koji se na njega odnose.

Zanimljive su i situacije gdje su voditelji obrade kažnjeni zbog kršenja načela tehničke zaštite podataka i integrirane zaštite podataka – kao voditelj obrade, dužni ste osigurati tehničke i organizacijske mjere zaštite podataka koje su sukladne vašim mogućnostima, ali i razvoju tehnologije. Pročitajte više o privacy by design razvoju ovdje.