Najčešće greške kod primjene GDPR-a

LESSON 3

˝Mali smo ne treba nam GDPR.˝

˝Ionako nema kazni, što će mi to.˝

Unutar komunikacije s klijentima, često dolazimo do izjava poput „Mi smo se uskladili pri samom početku“ i „Nama GDPR ne treba“, no u daljnjem razgovoru isplivaju na površinu sitni nedostaci vezani za povredu zaštite osobnih podataka.

Koje su najčešće greške koje se potkradaju u svakodnevnom poslovanju?

Članak 5. GDPR Uredbe najbolji je primjer lapsusa u poštovanju zaštite osobnih podataka. Načela obrade osobnih podataka sklizak su teren te se članak. 6 koji izdvaja zakonitost obrade podataka ističe kao najčešće nepoštivano područje.

U nastavku donosimo primjere najčešćih povreda svake od točaka navedenog članka:

Najčešće greške povrede  članka 5. : „Načela obrade osobnih podataka“

Zakonitost, poštenost, transparentnost obrade

Španjolska– bez dozvole ispitanika i bez pravne osnove upotrijebljeni su osobni podaci te podaci bankovnog računa za aktivaciju telefonske linije koja nije tražena (55 000 eura)

Ograničavanje svrhe

Njemačka– podaci prikupljeni na nagradnoj igri osiguravajuće kuće povezani sa zdravstvenim podacima korišteni su u marketinške svrhe (1 240 000 eura)

Smanjenje količine podataka- načelo minimizacije

Finska– uporaba kamera koje su omogućavale audio snimanje bez potrebe za istim; povreda načela minimizacije (72 000 eura)

Točnost

Mađarska– banka je pogrešno slala SMS poruke na telefonski broj druge osobe unatoč zahtjevu ispitanika za promjenom broja (kazna 1 560 eura)

Ograničenje pohrane

Italija– podaci prikupljeni unutar aplikacije čuvani su duže od osnovne i navedene svrhe te ispitanici nisu bili obavješteni o trajanju njihova čuvanja već su nakon nekog vremena ponovo kontaktirani u druge svrhe. Prilikom ponovnog kontaktiranja ispitaniku nije dana nikakva obavijest (27 800 000 eura)

Cjelovitost i povjerljivost

Danska– kompjuter koji je sadržavao osjetljive osobne podatke 20 620 stanara je ukraden (kazna 14 000 eura)

Najčešća greška povrede članka 6.: „Zakonitost obrade“

Privola je prikupljena za nekoliko svrha

Španjolska-  bez dozvole ispitanika i bez adekvatne pravne osnove, podaci su upotrjebljeni u drugu svrhu osim navedene (24 000 eura)

Cipar– bez pristanka ispitanika te bez adekvatne pravne osnove poslane su marketinške poruke. Također, nije postojala mogućnost blokiranja marketinških poruka iz navedenog eShop-a (1000 eura)

Švedska– operator web stranice objavio je javno podatke o ljudima koji su u dugovima (35 000 eura)

Ikea Španjolska– tvrtka je iskoristila kolačiće bez pristanka ispitanika; neusklađen skočni prozor i privola (10 000 eura)

Potrebno je osvijestiti kako je za svaku od navedenih povreda odgovoran voditelj obrade (u većini slučajeva poslodavac) te kako navedene kazne mogu doseći visinu čak do 4% ukupnog prihoda tvrtke.

Što je s greškama u Hrvatskoj?

Izvješće AZOP-a iz 2018. godine navodi neke od najčešćih povreda zaštite osobnih podataka.

Prema vrsti potencijalne povrede prava, podnesene pritužbe/zahtjevi za utvrđivanje povrede prava najvećim dijelom odnosili su se na sljedeće:

  • obradu osobnih podataka korištenjem novih tehnologija
  • obradu osobnih podataka video nadzornim kamerama u poslovnim prostorijama poslodavaca
  • javnu objavu osobnih podataka na Internetu i društvenim mrežama (Facebook i Instagram)
  • javnu dostupnost osobnih podataka upisivanjem imena i prezimena u tražilicu Google,
  • objavu osobnih podataka na oglasnoj ploči, objava osobnih podataka u medijima,
  • obradu osobnih podataka u svrhu sklapanja pretplatničkih ugovora (zlouporaba identiteta)
  • obradu osobnih podataka u ovršnim postupcima (zamjena identiteta)
  • davanje osobnih podataka na korištenje trećim osobama u prekomjernom opsegu,
  • korištenje osobnih podataka od strane društava za proizvodnju i distribuciju toplinske energije u svrhu naplate spornih računa i onemogućavanje uvida/pristupa osobnim podacima radnika koje obrađuju njihovi poslodavci.

Još uvijek smatrate kako ste u potpunosti usklađeni s GDPR uredbom? Znate li koje podatke ispitanika smijete upotrebljavati i u koju svrhu? Koje je dozvoljeno vrijeme čuvanja podataka? Jeste li proveli već reviziju?

Kako bi se zaštitili od najavljenog nadzora i samih kazni, nužno je biti educiran na području zaštite osobnih podataka te se kvalitetno pripremiti za eventualni nadzor.

Obratite nam se s povjerenjem kako bi stekli najbolju moguću edukaciju o zaštiti osobnih podataka. Za više informacija o samoj zaštiti osobnih podataka ili o našim edukacijama, obratite nam se na ured@presido.hr