Nove kazne zbog nepoštivanja GDPR-a – u Grčkoj kažnjen PwC, a u Švedskoj srednja škola

In Najave, Praksa, Regulativa, Sve vijesti, Zanimljivostiby stankocerin

U Grčkoj kažnjena konzultantska kuća PricewaterhouseCoopers (PwC)

Grčko nadzorno tijelo postupalo je temeljem pritužbe te je u postupku nadzora obrade osobnih podataka zaposlenika PwC utvrdio nepravilnosti koje se tiču načela zakonitosti, poštenosti i transparentnost te načela „pouzdanosti“ (eng. accountability).

Naime, PwC je kao osnovu za obradu osobnih podataka svojih zaposlenika koristio privolu. Nadzorno tijelo je usvojoj odluci utvrdilo da se se privola ispitanika, tj. zaposlenika, dana u kontekstu radnog odnosa ne može smatrati dobrovoljnom zbog očito neravnopravnog položaja strana. Pored toga, PwC je bio prebacio teret dokazivanja usklađenosti s Uredbom sa sebe, tj. voditelja, na svoje zaposlenike, tj. ispitanike, a što je protivno načelu pouzdanosti. Sve to je rezultiralo kaznom u iznosu od 150,000.00 EUR.

Prijevod sažetka odluke na engleskom jeziku dostupno je ovdje.

Ovaj slučaj je zanimljiv iz više razloga, a prvenstveno zato što je riječ o konzultanskoj kući – jednoj od tzv. Big Four najvećih međunarodnih kompanija koje svojim klijentima diljem svijeta nude usluge revizije, savjetovanja o osiguranju, porezima, korporativnom financiranju i pravne usluge. U savjetodavne usluge spadaju i u one u vezi usklađivanja s GDPR-om. S tim na umu, opravdano je za reći da je ovom kaznom ozbiljno narušen ugled PwC-a kao konzultanta za područje GDPR-a.

U Švedskoj izrečena kazna zbog sustava za prepoznavanje lica s ciljem praćenja prisutnosti učenika na satovima

Švedsko nadzorno tijelo je prošli tjedan izreklo svoju prvu novčanu kaznu zbog nepoštivanja odredbi GDPR-a, i to srednjoj školi koja je uvela pilot projekt video nadzora i sustava prepoznavanja lica s ciljem praćenja prisutnosti učenika.

Naime, škola je prikupljala biometrijske podatke učenika te je kao osnovu za takvu obradu koristila privolu učenika. Odnosno, škola je prikupljala i obrađivala posebnu kategoriju osobnih podataka. Nadzorno tijelo je utvrdilo da se takva privola ne može smatrati valjanom budući da su učenici ovisni o školi te se samim time nalaze u podređenom položaju. Dakle, nadzorno tijelo je utvrdilo da škola nije imala valjanu osnovu. Također, nadzorno tijelo je naglasilo da je ovakva mjera neopravdana budući da su se za ostvarenje ovog cilja mogle koristiti manje invazivne metode. Pored toga, škola je prije uvođenja ovog sustava propustila provesti procjenu učinka na zaštitu podataka (eng. DPIA) te provesti prethodno savjetovanje s nadzornim tijelom sukladno članku 35. i 36. GDPR-a.

Nadzorno tijelo je izreklo kaznu u iznosu od cca 20.000 EUR jer se testiranje provodilo na malom uzorku i u kratkom razdoblju.

Sažetak presude na švedskom dostupno je ovdje, a ukoliko koristite Chrome preglednik onda desnim klikom miša bilo gdje na stranici možete dobiti i prijevod na engleski jezik.