Sve više novčanih kazni izriče se zbog neprimjerenih tehničkih mjera zaštite

In Praksa, Sve vijesti by Kristina Mandic

Sve su češće odluke nadzornih tijela kojima je utvrđeno kršenje načela cjelovitosti i povjerljivosti osobnih podataka, i to na način da voditelji, tj. izvršitelji obrade ne štite podatke primjerenim mjerama zaštite. Ovo je samo dodatna potvrda da za usklađivanje (i dokazivanje usklađenosti) nije dovoljno provesti  samo pravne i organizacijske mjere već je podatke nužno zaštititi i primjerenim sigurnosno-tehničkim mjerama.

Primjerice, dansko nadzorno tijeloDatatilsynet je, sukladno svojim ovlastima, naredilo voditelju obrade – prijevozničkoj kompaniji, da u zadanom roku prilagodi svoje IT sustave u kojima se obrađuju osobni podaci i omogući ispunjavanje prava ispitanika. Konkretno, u odluci se zahtijeva izmjena IT sustava kako bi se omogućilo brisanje ili ispravak netočnih podataka. Više info dostupno je ovdje.

Pored toga, u Norveškoj je sa 170 tisuća eura kažnjena (općina) administrativna regija Bergen, i to zbog nepostojanja zaštitnih mjera u obradi osobnih podatka učenika i zaposlenika osnovnih škola kojima općina administrativno upravlja. Incidentom su ugroženi podaci o korisničkim imenima i lozinkama više od 35 000 korisničkih računa u općinskom računalnom sustavu. Nepostojanje sigurnosnih mjera u sustavu omogućilo je svakom korisniku da se prijavi u razne informacijske sustave, a time i pristup raznim kategorijama osobnih podataka koji se odnose na učenike i zaposlenike škola (npr. informacije o korisničkom imenu, datumu rođenja, adresi i ocjenama i sl.). Na iznos kazne utjecala je i činjenica se su većina ispitanika posebno ranjiva skupina –  djeca mlađa od 14 godina, ali i sustavno zanemarivanje mjera sigurnosti od strane voditelja unatoč (anonimnim) upozorenjima korisnika sustava. Za razliku od hrvatskog Zakona o provedbi Opće uredbe, norveški nacionalni zakon propisuje da se novčane upravne kazne mogu izreći i tijelima javne vlasti.  Više informacija dostupno je ovdje.

Nadalje, i grčko nadzorno tijelo ima pune ruke posla. Posljednja odluka odnosi se na slučaj kršenja Opće uredbe od strane tvrtke Hellenic Petroleum S.A. – zbog nezakonite obrade osobnih podataka i nepoduzimanja mjera zaštite izrečena je novčana kazna u ukupnom iznosu od 30 tisuća eura. Naime, Hellenic Petroleum S.A. angažirao je izvršitelja obrade –  agenciju za istraživanje tržišta One Time. Nadzorom je utvrđeno da su podaci koji su, uz ime i prezime, uključivali i posebne kategorije – političko opredjeljenje i članstvo u sindikatu, obrađivani bez zakonite pravne osnove, a uslijed nepoduzimanja mjera zaštite rezultati istraživanja su greškom izvršitelja obrade javno objavljeni na internetu. U ovom slučaju kažnjen je voditelj obrade jer je odgovoran za postupanje izvršitelja.