Pregled novčanih kazni određenih zbog povrede Uredbe o zaštiti osobnih podataka

Izravna primjena Opće uredbe o zaštiti podataka od 25. svibnja 2018. godine svim nadzornim tijelima je donijela povećanje opsega poslova i zadaća. Uvođenjem novog zakonodavnog okvira, porasla je i svijest građana o važnosti zaštite njihovih osobnih podataka, što je u konačnici rezultiralo i većim brojem pristiglih upita te zahtjeva za zaštitu prava.

Nastavno na navedeno na području EU nadzorna tijela izrekla su neke od niže navedenih kazni:

1. 204.600.000,00 eura – Avionska kompanija kažnjena je zbog curenja podataka preko 500.000 korisnika putem hakerskog napada, koji je preusmjeravao korisnike na lažnu internetsku stranicu kompanije, gdje su svoje podatke ostavljali misleći da je riječ o stranici spomenute kompanije.

2. 50.000.000,00 eura- Google je kažnjen zbog nezakonite obrade osobnih podataka vezanu uz obvezu izrade korisničkog računa prilikom konfiguracije novog mobilnog uređaja koji koristi Android operativni sustav.

3. 18.000.000,00 eura – Poštanska služba kažnjena je navedenim iznosom zbog nezakonite obrade osobnih podataka. Baze podataka pošte koje sadrže osobne podatke korisnika, preprodavane su drugim organizacijama.

4. 14.500.000,00 eura – Kompanija koja se bavi nekretninama kažnjena je zbog pohranjivanja podataka o stanarima i čuvanja istih i nakon proteka svrhe za koju su obrađivani.

5. 500.000,00 eura – Nacionalna nogometna liga zemlje članice kažnjena je spomenutim iznosom zbog aplikacije koja je svake minute pristupala mikrofonu mobilnog uređaja korisnika s ciljem da detektira ugostiteljske objekte u kojima se omogućava televizijski prijenos utakmica bez plaćanja naknade.

6. 203.000,00 eura – Zbog nedostataka u aplikaciji koja omogućava roditeljima i učenicima komunikaciju s nastavnicima, neovlaštene osobe mogle su pristupiti osobnim podacima učenika škole, nastavnika te drugih zaposlenika.

7. 200.850,00 eura – Kazna je izrečena zbog obrade osobnih podataka u periodu dužem nego što je to propisano. Također, pravila kompanije o rokovima obrade podataka, kao i brisanju istih po isteku roka bila su neadekvatno dokumentirana i nerazrađena za primjenu u praksi.

8. 195.407,00 eura – Osobni podaci bivših korisnika dostavne službe nisu izbrisani, iako su neki bili neaktivni kroz iznimno dugo razdoblje ( čak i od 2008. godine ) te su korišteni prilikom provođenja marketinških aktivnosti.

9. 170.000,00 eura – kompanija je kažnjena zbog pogrešno utvrđene pravne osnove za obradu podataka vlastitih zaposlenika. Od ispitanika je tražena privola, dok su pravne osnove u konkretnim slučajevima bile: izvršavanje ugovora u kojem je ispitanik stranka, nužnost obrade zbog poštovanja pravnih obveza voditelja obrade te postojanje legitimnog interesa.

10. 160.000,00 eura – taksi kompanija nakon proteka roka od 2 godina od pružanja usluge vožnje, obrisala je podatke o imenima i prezimenima korisnika, ali nije obrisala druge podatke o tim vožnjama ( preko 8 milijuna vožnji ), zbog čega je kažnjena navedenim iznosom.

11. 105.000,00 eura – Višestruke povrede odredaba o zaštiti osobnih podataka otkrivene su u poslovanju bolnice, a vezano za slučaj gdje je prilikom zaprimanja pacijenata došlo do miješanja podataka dvaju pacijenata te pogrešnog unosa podataka o istima.

12. 75.000,00 eura – Kompanija je prijavljena zbog korištenja osobnih podataka bivšeg korisnika kako bi sklopila s njim ugovor o isporuci električne energije,

13. 61.500,00 eura – iznos je kazne koja je određena kompaniji zbog prekomjerne obrade podataka te neprijavljivanja nadležnom tijelu curenja osobnih podataka.

14. 60.000,00 eura – Kazna je izrečena kompaniji za pružanje telekomunikacijskih usluga zbog neovlaštenog korištenja osobnih podataka za finalizaciju ugovora o pružanju telekomunikacijskih usluga te nastavka obrade istih i nakon što je korisnik zatražio prestanak.

15. 60.000,00 eura – Agencija za naplatu dugovanja je u svrhu naplate tražbine, dužnika višestruko kontaktirala putem e-mail adrese kompanije u kojoj radi, a koja je dostupna svim zaposlenicima te kompanije bez da je tu e-mail adresu dao sam dužnik.

Moramo naglasiti kako ovo nije cjelokupan popis. Više o kažnjavanju inozemnih nadzornih tijela možete vidjeti i na https://www.enforcementtracker.com/ ,

A gdje je Republika Hrvatska?

Nadzorno tijelo Republike Hrvatske, Agencija za zaštitu osobnih podataka predala je, 18. listopada 2019. godine, Hrvatskom saboru jedno od najopsežnijih Godišnjih izvješća do sada.

Iz predmetnog Izvješća je vidljivo da je u 2018. godini Agencija zaprimila  238% više predmeta u odnosu na prethodnu godinu te je izdala značajan broj mišljenja i rješenja koja se tiču državnog sektora, financijskog i bankarskog sektora, zdravstvenog, znanstvenog i odgojno-obrazovnog, telekomunikacijskog sektora, kao i ona za područje interneta i društvenih mreža, marketinga, videonadzornih sustava te tumačenja Opće uredbe o zaštiti podataka.

Pritužbe građana i podnošenje zahtjeva za utvrđivanje povrede prava, prema vrsti moguće povrede u 2018. godini odnosili su se najvećim dijelom na sljedeće povrede prava:

1.obradu osobnih podataka korištenjem videonadzora (videonadzor zajedničkih prostorija u višestambenim zgradama koji čine suvlasničke dijelove nekretnine i koje koriste svi suvlasnici),
2. obradu osobnih podataka videonadzornim kamerama u poslovnim prostorijama poslodavaca, kontrola ulaza i izlaza i cjelodnevno snimanje/monitoring radnih prostorija (primjerice školskih učionica),
3. javnu objavu osobnih podataka na Internetu i društvenim mrežama (Facebook  i Instagram),
4. javnu dostupnost osobnih podataka upisivanjem imena i prezimena u tražilicu Google,
5. objava osobnih podataka na oglasnoj ploči,
6. objava osobnih podataka u medijima,
7. prikupljanje i daljnja obrada osobnih podataka u natječajnim postupcima od strane tijela javne vlasti,
8. obrada osobnih podataka u svrhu sklapanja pretplatničkih ugovora (krađa identiteta),
9. obrada osobnih podataka u ovršnim postupcima (zamjena identiteta),
10. davanje osobnih podataka na korištenje trećim osobama u prekomjernom opsegu,
11. korištenje osobnih podataka od strane društava za proizvodnju i distribuciju toplinske energije u svrhu naplate spornih računa,
12. onemogućavanje uvida/pristupa osobnim podacima radnika koje obrađuju njihovi poslodavci.

U kategoriji upravnih postupaka, broj evidentiranih predmeta koji su se odnosili na zaprimljene zahtjeve za utvrđivanje povrede prava/pritužbe, zabilježen je porast za 176% u odnosu na prethodnu godinu. Najveći broj usvojenih zahtjeva odnosio se na obradu osobnih podataka u svrhu sklapanja pretplatničkih ugovora s teleoperatorima i obradu podataka videonadzorom. Za očekivati je da će u novoj godini, kako raste svijest građana, broj pritužbi i postupaka pred nadzornim tijelom rasti.