5 naukov iz izrečenih na podlagi GDPR uredbe
Konec leta je običajno čas za razmislek. Kljub temu, da se je prvo leto Splošne uredbe EU o varstvu osebnih podatkov (GDPR) uradno končalo konec maja 2019, je sedaj prav tako pravi čas, da se ozremo nazaj in povzamemo kaj sta nam prvo leto in pol Splošne uredbe in glob izrečenih na njeni podlagi prinesla.
1. Načela varstva osebnih podatkov so pomembna
5. člen Splošne uredbe definira 7 načel, ki se nanašajo na obdelavo osebnih podatkov in ki oblikujejo hrbtenico Splošne uredbe in zakonodaje o zaščiti osebnih podatkov na splošno. Glede na 5. člen morajo biti osebni podatki:
1. obdelani zakonito, pravično in na pregleden način v odnosu do posameznika, na katerega se nanašajo osebni podatki (načelo zakonitosti, pravičnosti in preglednosti);
2. zbrani za izrecno določene, nedvoumne in zakonite namene brez nadaljne obdelave na način, ki je nezdružljiv s temi nameni (načelo omejitve namena);
3. ustrezni, relevantni in omejeni na to, kar je potrebno za namene, za katere se obdelujejo (načelo najmanjšega obsega podatkov);
4. točni in, kjer je potrebno, sproti posodobljeni (načelo točnosti);
5. hranjeni v obliki, ki dopušča identifikacijo posameznikov, na katere se nanašajo osebni podatki, le toliko časa, kolikor je potrebno za izpolnitev namenov, za katere se osebni podatki obdelujejo (načelo omejitve shranjevanja);
6. obdelovani na način, ki zagotavlja ustrezno varnost osebnih podatkov (načelo celovitosti in zaupnosti); in
7. upravljalec je odgovoren za skladnost z navedenim in je to skladnost zmožen dokazati (načelo odgovornosti).
Pri pripravah na Splošno uredbo so se podjetja pogosto osredotočala na specifične, oprijemljive stvari, ki jih je potrebno narediti v skladu s Splošno uredbo, kot na primer evidenca dejavnosti obdelave (30. člen), pogodbe o obdelavi osebnih podatkov (28. člen), politike zasebnosti (13. in 14. člen) in tako dalje. Kljub temu, da priprava vseh teh dokumentov zahteva upoštevanje načel povezanih z obdelavo osebnih podatkov, je pogosto natančna analiza načel, še posebej tistih, ki bi omogočili demonstracijo skladnosti, kot je zahtevano pri načelu odgovornosti, pogosto manjkala.
Iz do sedaj izrečenih glob je jasno, da pooblaščeni organi za varstvo osebnih podatkov (od tu dalje DPA – Data Potection Authority) smatrajo načela za izjemno pomembna in se ne obotavljajo izreči globe, če prakse obdelave osebnih podatkov kršijo načelo zakonitosti, pravičnosti in preglednosti, načelo omejitve namena, načelo najmanjšega obsega podatkov, načelo točnosti, načelo omejitve shranjevanja, načelo celovitosti in zaupnosti in celo načelo odgovornosti;
•
Litvanski DPA je izrekel globo v višini 61 500 evrov MisterTangu UAB, ponudniku plačilnih storitev, za, med drugim, kršitev 5. člena Splošne uredbe. Ugotovljeno je bilo, da je podjetje za izvedbo plačila obdelovalo več podatkov, kot je potrebno. DPA je tako menil, da je, skladno z načelom najmanjšega obsega podatkov, za izvedbo plačila potrebno zbirati samo podatke kot so ime, priimek in, če plačnik želi, njegovo/njeno identifikacijsko kodo, številko bančnega računa, valuto in stanje na računu ter namen plačila/kodo plačila. Vendar je podjetje, poleg prej omenjenih osebnih podatkov, zbiralo tudi datume predložitve nerevidiranih elektronskih računov, imena pošiljateljev in zneske; datume, teme vlog neprebranih obvestil in del teksta obvestil; namene, vrste in zneske kreditov; imena pokojninskih skladov, zbrane enote, njihove vrednosti, zbrane vsote; vrsta kreditov (npr. hipotekarni kredit), zapadla stanja, vsote in datume ostalih plačil, številke izdanih plačilnih kartic in zneske na teh plačilnih karticah. Polega tega je bilo ugotovljeno, da je podjetje hranilo osebne podatke dlje, kot je samo določilo za potrebno – 216 dni namesto 10 minut – in tako kršilo načelo omejitve shranjevanja. Podjetje med preiskavo prav tako ni uspelo predložitidovolj dokazov glede skladnosti z načeli o varovanju osebnih podatkov ter s tem kršilo načelo odgovornosti.
Povezava:
https://edpb.europa.eu/news/national-news/2019/first-significant-fine-was-imposed-breaches-general-data-protection_en.
•
Danski DPA je predlagal globo v višini 1.5 milijona DKK (približno 200.000 evrov) pohištvenemu podjetju IDDesign A/S, ker ni izbrisalo osebnih podatkov približno 385.000 uporabnikov. Nekatere trgovine s pohištvom tega podjetja so uporabljale starejši sistem, kjer osebni podatki (ime, naslov, telefonska številka, elektronski naslov in zgodovina nakupov) niso bili nikoli izbrisani. DPA je to štela kot kršitev načela omejitve shranjevanja.
Povezava:
https://edpb.europa.eu/news/national-news/2019/danish-dpa-set-fine-furniture-company_en.
•
Poljski DPA je izrekel globo v višini 40.000 PLN (približno 9.000 evrov) osebi javnega sektorja, ker ni sklenila dogovora o obdelavi osebnih podatkov s subjekti, ki so jim bili osebni podatki posredovani, ter je tako kršila 28(3). člen, 5(1)(a). člen in 5(1)(f). člen Splošne uredbe. Prav tako je bilo ugotovljeno, da niso obstajali interni postopki za presojo virov, ki so bili na razpolago v Javnem Informativnem Biltenu (JIB), z namenom določitve časovnega okvirja njihove objave, kar je povzročilo, da so bile izjave o lastnini na razpolago dlje od predvidenega obdobja shranjevanja. DPA je tako zaključil, da je upravljalec prekršil načelo omejitve shranjevanja. Poleg tega je bilo ugotovljeno, da so posneti materiali sej mestnega sveta na razpolago v JIB samo preko povezane na za to namenjen YouTube kanal, brez varnostnih kopij. O objavi posnetkov sej odbora izključno na YouTube-u ni bila izvedena analiza tveganja, kar po mnenju pooblaščene osebe krši načelo celovitosti in zaupnosti ter načelo odgovornosti. Načelo odgovornosti je bilo kršeno tudi v povezavi z napakami v evidenci dejavnosti obdelave, ki ni pokazala vseh prejemnikov osebnih podatkov in planiranih datumov za izbris osebnih podatkov za določene dejavnosti obdelave.
Povezava:
https://edpb.europa.eu/news/national-news/2019/polish-supervisory-authority-imposed-first-administrative-fine-public-entity_en
•
Berlinski pooblaščenec za varstvo podatkov in prost dostop do informacij je izrekel globo v višini približno 14,5 milijonov evrov Deutsche Wohnen SE za kršitev 5. člena in 25. člena Splošne uredbe. DPA je ugotovil, da je podjetje uporabljalo sistem arhiviranja za shranjevanje osebnih podatkov najemnikov, ki ni omogočal izbrisa podatkov, ko ti niso bili več potrebni, ter da so bili osebni podatki najemnikov (kot na primer plačilne liste, obrazci o razkritji, izvlečki iz pogodb o zaposlitvi in usposabljanjih, podatki o davkih, socialnem in zdravstvenem zavarovanju ter bančni izpiski) shranjeni, ne da bi preverili, ali je shranjevanje dovoljeno in potrebno. DPA je tako ugotovil, da je podjetje kršilo načelo omejitve shranjevanja kot tudi načelo vgrajenega in privzetega varstva podatkov (25. člen). Poleg kaznovanja strukturne kršitve je DPA izrekel tudi globo v višini med 6.000 in 17.000 evrov za nesprejemljiv način hranjenja osebnih podatkov najemnikov v 15 posameznih primerih.
Povezava:
https://edpb.europa.eu/news/national-news/2019/berlin-commissioner-data-protection-imposes-fine-real-estate-company_en
2. Velikost ni pomembna
Pogosto se zmotno domneva, da so tarča DPA predvsem podjetja s tisoči ali celo miljoni strank, ki so fizične osebe, in da so vse globe izrečene takim podjetje. Nenazadnje je znano, da je eno od prvih kazni po Splošni uredbi izdal francoski DPA Googlu v višini 50 milijonov evrov. Vendar praksa kaže, da je pomembna kršitev, ne pa velikost podjetja:
•
Francoski DPA je UNIONTRAD COMPANY, prevajalsko podjetje z 9 zaposlenimi, kaznoval z 20.000 evri za uporabo kamer na delovnem mestu, kjer so bili zaposleni ves čas snemani, hkrati pa o tem niso prejeli ustreznih informacij.
Povezava:
https://www.cnil.fr/fr/uniontrad-company-20-000-euros-damende-pour-videosurveillance-excessive-des-salaries.
3. Dovolj je samo eden
Za kršitev ni potrebno, da prizadene na tisoče ljudi, da bi jo DPA preučil in obdelal. Celo pritožba ene osebe lahko sproži inšpekcijski postopek.
•
Finski DPA je obdelal primer Svea Ekonomi na podlagi pritožbe ene same osebe. Primer se je nanašal na osebne podatke uporabljene za oceno kreditne sposobnosti in pravico posameznikov, katerih podatki so uporabljeni, da te podatke lahko pregledajo.
Povezava:
https://edpb.europa.eu/news/national-news/2019/data-protection-ombudsman-ordered-svea-ekonomi-correct-its-practices_en.
4. "Težavnost« ni izgovor
Čeprav so lahko stare navade in stari sistemi, za podjetja udobni ter se podjetja izogibajo novih in dragih investicij, argument, da sistem skladnost s Splošno uredbo otežuje, za DPA ni sprejemljiv:
•
Danski DPA je predlagal, da se Taxa 4x35, podjetje za taksi prevoze, oglobi za skupno 1,2 miljona DKK (približno 160.000 evrov), ker niso izbrisali osebnih podatkov strank. Po navedbah Taxa 4x35 po dveh letih izbrišejo imena strank, hkrati pa ne izbrišejo njihovih telefonskih številk in informacij o njihovi poti (vključno z naslovi) prej kot po petih letih, ker je telefonska številka ključ do podatkovne zbirke sistema in zato nujna v odnosu do produktov podjetja in poslovnega razvoja. Po besedah DPA je shranjevanje osebnih podatkov tri leta dlje, kot je to potrebno, samo zato, ker trenutni sistem podjetja skladnost s Splošno uredbo otežuje, nesprejemljivo.
Povezava:
https://edpb.europa.eu/news/national-news/2019/danish-data-protection-agency-proposes-dkk-12-million-fine-danish-taxi_en
5. Javni sektor ni varen
Čeprav je to znano dejstvo, je vseeno potrebno poudariti – Splošna uredba velja tudi za obdelavo osebnih podatkov v javnem sektorju. Zato DPA ne oklevajo pri izreku glob v primeru, če je javni sektor kršil svoje obveznosti na področju obdelave osebnih podatkov.
• Norveški DPA je naložil upravno globo 1,6 milijona NOK (približno 160.000 evrov) občini Bergen zaradi pomanjkanja ustreznih ukrepov za zaščito osebnih podatkov v računalniških datotečnih sistemih.
Povezava:
https://edpb.europa.eu/news/national-news/2019/administrative-fine-eu170000-imposed-bergen-municipality_en.
•
Švedski DPA je oglobil občino z 200000 SEK (približno 20.000 evrov), zaradi uporabe tehnologije za prepoznavanje obraza pri nadzorovanju prisotnosti učencev v šoli. Šola je obdelovala biometrične podatke na podlagi soglasja, kar je DPA smatral za nezakonito glede na jasno neravnovesje med posameznikom, na katerega se nanašajo osebni podatki, in med upravljalcem osebnih podatkov, ter ker šola ni izvedla ustrezne ocene učinka (DPIA), vključno s predhodnim posvetovanjem s švedskim DPA.
Povezava:
https://edpb.europa.eu/news/national-news/2019/facial-recognition-school-renders-swedens-first-gdpr-fine_en.
•
Norveški DPA je izrekel globo za približno 49.300 evrov mestu Oslo za shranjevanje osebnih podatkov pacientov izven zdravstvenega informacijskega sistema v mestnih negovalnih domovih/zdravstvenih centrih od 2007 do novembra 2018.
Povezava:
https://edpb.europa.eu/news/national-news/2019/norwegian-data-protection-authority-imposes-fine-city-oslo_en.
Prvo leto in pol glob izrečenih na podlagi Splošne uredbe je pokazalo, da mora biti skladnost s Splošno uredbo nič drugega kot neprekinjen proces – nekaj, kar morajo imeti vsa podjetja stalno v mislih za 2020.
Članek je v originalu pripravila: Mari-Liis Orav (Višja sodelavka, Vodja estonske prakse varstva podatkov, TGS Baltic)
Avtor: Mari-Liis Orav (Višja sodelavka, Vodja estonske prakse varstva podatkov, TGS Baltic)
Objavljeno: 9.2.2020
Oznake: