Predsjednik poljskog Ureda za zaštitu osobnih podataka izrekao je prvu upravnu kaznu gradu kao javnom subjektu u iznosu od 40 000 PLN zbog nepoštivanja GDPR-a što iznosi oko 69.409,19 kuna. Razlog izricanja novčane kazne bio je što gradonačelnik nije zaključio ugovor o obradi osobnih podataka s entitetima na koje je prenio podatke!
Ugovor o obradi podataka nije zaključen s tvrtkom čiji su poslužitelji obavljali usluge pohrane resursa Biltena javnih informacija (BIP) Gradske vijećnice u Aleksandrówu Kujawskom, odnosno uslugu izvršitelja obrade. Takav ugovor također nije zaključen s drugom tvrtkom koja je osigurala softver za stvaranje BIP-a i pružala uslugu u ovom području. Predsjednik Ureda zaključio je da je prekršen članak 28. stavak 3. GDPR-a. Ovom se odredbom obvezuje kontrolor, u ime koga drugi entitet obrađuje osobne podatke, da s njim zaključi ugovor o obradi podataka. Kao posljedica nepostojanja takvog sporazuma, gradonačelnik je vršio prosljeđivanje (obradu) osobnih podataka bez pravne osnove, čime je povrijeđeno načelo zakonitosti obrade (članak 5. stavak 1. točka (a) GDPR-a) i načelo povjerljivost (članak 5. stavak 1. točka (f) GDPR-a).
Međutim, to nisu jedine povrede utvrđene tijekom kontrolnog postupka koji provodi predsjednik Ureda. Također je utvrđeno da ne postoje interne procedure za pregled izvora dostupnih u BIP-u kako bi se utvrdio trenutak njihove objave. To je uzrokovalo, na primjer, to što su u BIP-u, između ostalog, bile dostupne i izjave o imovini iz 2010. godine, dok je razdoblje njihovog skladištenja 6 godina, što proizlazi iz sektorskih propisa. U slučaju podataka čiji rok čuvanja nije reguliran zakonom, voditelj obrade bi ga trebao sam odrediti u skladu s ciljevima za koje ih obrađuje. Stoga je voditelj obrade prekršio načelo ograničenja skladištenja iz članka 5. stavka 1. točke (e) GDPR-a. Također je tijekom istrage utvrđeno da su snimljeni materijali sa sjednica gradskog vijeća bili dostupni u BIP-u samo putem veze do namjenskog YouTube kanala. U Općinskom uredu nije bilo rezervnih kopija tih snimaka. Dakle, u slučaju gubitka podataka pohranjenih na YouTubeu, voditelj obrade ne bi imao na raspolaganju snimke. Nisu provedene analize rizika za objavljivanje snimaka sa sastanaka odbora isključivo na YouTubeu. Dakle, povrijeđena su načela integriteta i povjerljivosti (članak 5. stavak 1. točka (f) GDPR-a), kao i načelo odgovornosti (članak 5. stavak 2. GDPR-a). Načelo odgovornosti bilo je također povrijeđeno u vezi s nedostacima u registru prerađivačkih aktivnosti. Na primjer, nije naveo sve primatelje podataka, niti je naznačio planirani datum brisanja podataka za određene aktivnosti obrade.
Predsjednik Ureda prilikom izricanja kazne uzeo je u obzir činjenicu da, usprkos utvrđenim nepravilnostima tijekom postupka, voditelj obrade ih nije otklonio niti je implementirao rješenja s ciljem sprječavanja budućih kršenja zakona. Voditelj obrade također nije surađivao s nadzornim tijelom. Stoga je predsjednik Ureda odlučio da nema prostora koji bi mogao ublažiti visinu novčane kazne. Osim novčane kazne, predsjednica Ureda također je naredila kontroloru da poduzme mjere za otklanjanje relevantnih prekršaja u roku od 60 dana.
Detaljno priopćenje za javnost poljskog DPR dostupno je na https://uodo.gov.pl/pl/138/1240, a sama odluka dostupna je na https://uodo.gov.pl/decyzje/ZSPU.421.3.2019.
Kazne od 2 do 4 posto prometa na godišnjoj razini
Upitali samo za komentar profesoricu Mariju Boban sa splitskog Pravnog fakulteta, najpoznatiju stručnjakinju i konzultanticu za zaštitu osobnih podataka u Hrvatskoj, koja nam je ukratko prokomentirala ovo priopćenje.
- U cijeloj Europskoj uniji primjena GDPR-a u primjeni je od 25. svibnja 2018. godine od kada se Uredba i primjenjuje. Kazne su od 2 do 4 posto prometa na godišnjoj razini i ovise o obliku prekršaja i odluci nadzornog tijela koje provodi nadzor. Zadnje kazne izrečene su u Rumunjskoj, Latviji, Španjolskoj, Austrii, Belgiji i Švedskoj i u kreću se u prosjeku od 5.000 do 200.000 eura. Ova izrečena gradu ubraja se među prve kazne javnom subjektu u Poljskoj, ali posljednja izrečena u Poljskoj bila je 210.000 poljskih zlota (približno 364.000 kuna) tvrtki ClickQuickNow Sp. z o.o. jer nisu proveli odgovarajuće tehničke i organizacijske mjere koje bi omogućile lako i učinkovito povlačenje pristanka na obradu osobnih podataka i ostvarivanje prava na dobivanje brisanja osobnih podataka ("pravo biti zaboravljeni").
Time je prekršena načelo zakonitosti, pravičnosti i transparentnosti obrade osobnih podataka, koja su navedena u GDPR-u. Jedna od najvećih u posljednje vrijeme izrečena je u listopadu 2019. od strane austrijskog tijelo za zaštitu podataka (DPA) koje je izreklo upravnu kaznu u iznosu od 18 milijuna eura tvrtki Österreichische Post AG (ÖPAG) nakon što je pokrenuo upravni postupak novčane kazne. Nakon rasprave, austrijski DPA smatrao je da je osnovana na temelju dokaza da je ÖPAG prekršio GDPR obradom osobnih podataka o navodnoj političkoj pripadnosti osoba i time narušio njihovu privatnost. Pored toga, utvrđeno je još jedno kršenje zbog daljnje obrade podataka o učestalosti paketa i učestalosti izmještena u svrhu izravnog marketinga, jer to nije obuhvaćeno GDPR-om. Te povrede GDPR-a predstavljaju nezakonite radnje zbog čega je gore spomenuta administrativna kazna prikladna za sprečavanje drugih ili sličnih kršenja te služi i kao upozorenje budućim prekršiteljima. Valja naglasiti kako kazna nije konačna jer se može osporiti pred Saveznim upravnim sudom u roku od četiri tjedna nakon dostave obavještenja o kazni.“
Pilot projekt tehnologije prepoznavanja lica putem video nadzora u školi donio prvu švedsku kaznu za GDPR u kolovozu 2019. godine
Profesorica Boban je istaknula i sljedeći slučaj:
- Za čitatelje valja naglasiti i slučaj identifikacije lica u školi u Švedskoj što je donijelo prvu Švedsku kaznu za GDPR u kolovozu 2019. Naime, švedski DPA kaznio je općinu sa 200 000 SEK (otprilike 20 000 eura) zbog korištenja tehnologije prepoznavanja lica za nadgledanje pohađanja učenika u školi. Škola na sjeveru Švedske provela je pilot pomoću prepoznavanja lica kako bi pratila prisustvo učenika u školi. Probni rad odvijao se u jednom školskom razredu u ograničenom vremenskom razdoblju. Švedski DPA zaključio je da test krši nekoliko članaka u GDPR-u i općini je izrekao kaznu u iznosu od oko 20 000 eura. U Švedskoj javne vlasti mogu dobiti maksimalnu kaznu od 10 milijuna SEK (otprilike 1 milijun eura). Ovo je bila prva novčana kazna koju je izdala švedska DPA. Škola je nezakonito obradila osjetljive biometrijske podatke i nije uspjela izvršiti adekvatnu procjenu učinka, uključujući traženje prethodnih savjetovanja sa švedskim DPA. Škola je obradu temeljila na pristanku, ali švedski DPA smatra da pristanak nije valjan pravni temelj s obzirom na jasnu neravnotežu između subjekta podataka i kontrolera odnosno škola nije provela „procjenu učinka“ odnosno DPIA analizu nužnu kod pojačanih ugroza privatnosti koja bi dovela do ključnog zaključka kako se radi o narušavanju privatnosti učenika - kazala nam je Boban.