U širem smislu, postoje dvije razine GDPR novčanih kazni. Regulatorna tijela izračunavaju kazne na temelju nekoliko kriterija.
GDPR kazna niže razine iznosi do 10 milijuna eura ili 2% svjetskog godišnjeg prihoda za prethodnu godinu, ovisno o tome što je veće.
Viša razina kazne iznosi do 20 milijuna eura ili 4% svjetskog godišnjeg prihoda, ovisno o tome što je veće.
Od njegove provedbe u svibnju 2018., GDPR nadzorna tijela izrekla su 114 milijuna eura (126 milijuna USD) novčanih kazni, prema izvješću DLA Piper. Italija je na vrhu liste s najvećim ukupnim kaznama od više od 69,3 milijuna eura, a slijede je Njemačka, Francuska i Velika Britanija. ICO (UK) je 2020. donio 17 novčanih kazni zbog kršenja GDPR-a, od neželjene e-pošte do curenja podataka.
U prosincu 2020. Facebook je izdvojio 302 milijuna eura za moguće GDPR kazne jer je bio predmet istrage irskog nadzornog tijela za zaštitu podataka.
Isti mjesec Francuska je Googleu nametnula dotad najviše GDPR kazne. Francusko nadzorno tijelo za zaštitu podataka (CNIL) izreklo je novčanu kaznu u iznosu od 100 milijuna eura protiv Googlea i Google Ireland zbog stavljanja kolačića na uređaje korisnika bez njihovog pristanka.
Ovdje možete pročitati još zanimljivosti o dosad izrečenim GDPR kaznama: https://presido.hr/blog/3-godine-gdpr-87/; a u nastavku vam donosimo popis najvećih GDPR kazni iz 2020. i zasad iz 2021. godine:
1. Google, 100 milijuna eura
U prosincu 2020. francusko nadzorno tijelo (CNIL) izreklo je 60 milijuna eura kazne tvrtki Google LLC i 40 milijuna eura tvrtki Google Ireland zbog kršenja GDPR-a i francuskog Zakona o zaštiti podataka. Novčana kazna naplaćena je zbog postavljanja reklamnih „kolačića“ na računala korisnika bez njihovog prethodnog pristanka i bez pružanja odgovarajućih podataka o istima.
2. Amazon, 35 milijuna eura
Zajedno s Googleom, CNIL je kaznio i Amazon Europe Core s 35 milijuna eura zbog postavljanja kolačića bez prethodnog pristanka. CNIL je kontrolirao Amazonovo web mjesto (amazon.fr) od prosinca 2019. do svibnja 2020. i primijetio je da Amazon instalira kolačiće na uređaje korisnika bez njihovog prethodnog pristanka. Poput Googlea, Amazon također nije pružio odgovarajuće informacije o kolačićima i kako posjetitelji njihovih francuskih web stranica mogu odbiti kolačiće.
Kako pravilno koristiti „kolačiće“ i izbjeći kazne, možete pročitati u našem blogu:
https://www.akademija.hr/kako-pravilno-koristiti-kolacice/
Web stranice moraju obavijestiti korisnike o vrsti „kolačića“ i svrsi svakog od njih dok traže pristanak za „kolačiće“. Obavijest bi također trebala uključivati identitet voditelja obrade podataka i trećih strana koje generiraju i koriste kolačiće. Informacije moraju biti na jednostavnom jeziku, bez ikakvog tehničkog ili pravnog žargona koji je previše složen za razumijevanje. Web stranica mora pružiti sljedeće podatke prije dobivanja pristanka kako bi korisnici mogli donijeti informiranu odluku:
Pristanak može biti valjan samo izričitim ili pozitivnim postupkom, kao što je klik na gumb za prihvaćanje. Web stranice ne mogu "implicirati" pristanak korisnika na neafirmativne radnje, poput pomicanja ili pregledavanja web stranice ili nastavka korištenja web stranice. Web stranice također ne mogu upotrebljavati unaprijed označene potvrdne okvire jer to ne predstavlja pozitivnu radnju, a suglasnost dobivena na takav način je nevaljana.
3. H&M, 35,3 milijuna eura
U listopadu 2020. njemačko nadzorno tijelo za zaštitu podataka iz Hamburga kaznilo je tvrtku H&M s 35,3 milijuna eura zbog nezakonitog nadzora zaposlenika. Riječ je o najvećoj novčanoj kazni izrečenoj zbog kršenja GDPR-a iz radnih odnosa od kada je GDPR stupio na snagu.
Zbog curenja podataka iz 2019. otkriveno je da je H&M kreirao profile svojih zaposlenika koji su sadržali informacije o njihovom privatnom životu. Podaci su se prikupljali u njihovom servisnom centru u Nürnbergu, a prikupljanje je trajalo najmanje pet godina. Bilježili su se podaci koji su se prikupljali iz neformalnih razgovora, podaci o godišnjim odmorima, medicinskim simptomima, dijagnoze bolesti, vjerska uvjerenja…
Više o zaštiti osobnih podataka zaposlenika može pročitati ovdje: https://azop.hr/zastita-osobnih-podataka-zaposlenika/
4. TIM, 27,8 milijuna eura
U siječnju 2020. talijansko nadzorno tijelo za zaštitu podataka (Garante per la protezione dei dati personali) izreklo je telekomunikacijskom operateru TIM novčanu kaznu u iznosu od 27,8 milijuna eura zbog kršenja GDPR smjernica. Kazne su izrečene za neovlaštenu obradu podataka, agresivnu marketinšku strategiju, nevaljano prikupljanje pristanka i prekomjerno razdoblje čuvanja podataka.
Od siječnja 2017. do 2019. Garante je primio nekoliko stotina žalbi u vezi s agresivnim promotivnim kampanjama TIM-a. Milijunima korisnika upućeni su tzv. „hladni pozivi“ i neželjena komunikacija - uključujući i osobe koje nisu koristile usluge tog telekomunikacijskog operatera i osobe koje su na „blacklisti“.
5. British Airways, 22 milijuna eura
U listopadu 2020. Ured britanskog povjerenika za informacije (ICO), britansko tijelo za zaštitu podataka, kaznio je British Airways novčanom kaznom u iznosu od 22 milijuna eura zbog curenja podataka iz 2018. godine. Curenje podataka je uključivalo osobne podatke i podatke o kreditnim karticama više od 400 000 kupaca. Ukradeni podaci uključivali su vjerodajnice za prijavu zaposlenika, brojeve platnih kartica i detalje rezervacije putovanja, kao i imena i adrese.
ICO je naknadno izrekao znatno manju novčanu kaznu budući da je 2019.g prvotno izrečena kazna od 183 milijuna funti. Ova odluka je donesena zato jer je uzet u obzir negativni ekonomski utjecaj pandemije Covid-19. Međutim, to je i dalje najveća novčana kazna koju je do danas izreklo neko tijelo za zaštitu podataka.
6. Marriott International, 20,4 milijuna eura
ICO je kaznio Marriott International s 18,4 milijuna funti zbog curenja osobnih podataka kupaca. Novčana kazna povezana je s curenjem podataka koji su se dogodili nakon cyber napada na Mariottov lanac Starwood 2014. godine. Incident je otkriven tek u studenom 2018. Curenje podataka je uključivalo imena, adrese e-pošte, telefonske brojeve, lozinke, informacije o dolasku/odlasku, VIP status gostiju i brojeve članova programa vjernosti.
Prema ICO-u, procjenjuje se da je curenje podataka utjecalo na sedam milijuna gostiju u Velikoj Britaniji. Slično novčanoj kazni British Airways-a, zbog pandemije, ICO je smanjio kaznu sa 99 milijuna funti (srpanj 2019.) na 20,4 milijuna eura.
Data breach ili "curenje" podataka se može dogoditi svakome, ali upravo iz tog razloga je iznimno bitno pravodobno poduzeti sve nužne tehničke i organizacijske mjere kako bi se to spriječilo ili otežalo te kako biste kasnije lakše sanirali nastalu štetu.
Nova upravna novčana kazna koju je AZOP izrekao u srpnju 2021.g se odnosila upravo na to: „Zbog nepoduzimanja odgovarajućih tehničkih mjera sigurnosti obrade osobnih podataka od strane društva za pružanje informatičkih usluga iz Zagreba kao izvršitelja obrade, došlo je do kršenja sigurnosti koje je dovelo do neovlaštene obrade osobnih podataka 28.085 ispitanika, odnosno dovelo je do neovlaštenog pristupa osobnim podacima od strane hakera. Izvršitelj obrade nije poduzeo potrebne mjere za postizanje odgovarajuće razine sigurnosti sukladno postojećim i predvidivim rizicima te je postupio protivno članku 32. stavku 1. točke b) i d) te stavku 2. Opće uredbe o zaštiti podataka.“
7. Wind Tre, 16,7 milijuna eura
U srpnju 2020. talijansko nadzorno tijelo za zaštitu podataka Garante je izreklo kaznu od 16,7 milijuna eura tvrtki Wind Tre, teleoperateru, zbog agresivnog izravnog marketinga koji je kršio GDPR. Tvrtka je koristila osobne podatke kupaca bez njihovog pristanka za komunikaciju putem SMS-a, e-pošte, telefonskih poziva i automatiziranih poziva.
Podnositelji pritužbe također su obavijestili Garante o svojoj nemogućnosti da povuku pristanak ili se usprotive obradi njihovih podataka za marketing, jer politika privatnosti tvrtke nije pružala točne kontaktne podatke.
8. Vodafone, 12,25 milijuna eura
U studenom 2020. Garante je izdao kaznu u iznosu od 12,25 milijuna eura telekomunikacijskoj tvrtki Vodafone Italia. Tvrtka je kažnjena zbog agresivnog telemarketinga. Nakon što je zaprimio pritužbe na neželjene pozive od Vodafona, Garante je pokrenuo istragu. Otkrio je da je Vodafoneov sustav za pohranu podataka o kupcima imao mnogo nedostataka. Tvrtka je također kupila popise kontakata za preko 4,5 milijuna ljudi od vanjskih pružatelja usluga, naravno, bez odgovarajućeg pristanka ispitanika.
Vodafoneu je posljedično zabranjena daljnja obrada podataka u marketinške ili komercijalne svrhe s podacima prikupljenim od trećih strana bez pristanka korisnika.
Ovo je treća najveća kazna koju je do sada izdao talijanski Garante, nakon 27,8 milijuna eura za TIM i 16,7 milijuna za Wind Tre.
Kako izbjeći kazne poput ovih?
Pročitajte naš blog: https://www.akademija.hr/oprezno-pri-kupnji-podataka-za-kontakt/
9. EGL, 11,5 milijuna eura
U siječnju 2020. Garante je kaznio Eni Gas e Luce (EGL) s 11,5 milijuna eura. Talijanski dobavljač električne energije i plina kažnjen je zbog nezakonite obrade osobnih podataka i neželjenih potrošačkih ugovora.
Prva kazna od 8,5 milijuna eura izrečena je zbog nezakonite obrade osobnih podataka za telemarketing. EGL je uputio marketinške pozive kupcima koji nisu htjeli takve promotivne pozive.
Druga novčana kazna od 3 milijuna eura izrečena je zbog neželjenih ugovora na slobodnom tržištu koji su pogodili 7200 kupaca.
10. Notebooksbilliger.de, 10,4 milijuna eura
U siječnju 2021. njemačko nadzorno tijelo iz Donje Saske kaznio je njemačkog trgovca prijenosnim računalima Notebooksbilliger.de sa 10,4 milijuna eura. Kazna je izrečena za konstantno praćenje zaposlenika putem videonadzora tijekom protekle dvije godine bez zakonske osnove.
Kamere su bile instalirane u zajedničkim prostorijama zaposlenika, na njihovom radnom mjestu, skladištu i prodajnim mjestima. Tvrtka je također snimala kupce bez njihovog pristanka postavljanjem kamera na određena mjesta poput prostora za sjedenje ili prodajnih prostorija u kojima su kupci testirali proizvode.
Više o tome kako uskladiti videonadzor s GDPR-om i na što sve trebate obratiti pažnju možete pročitati u našem blogu:
https://www.akademija.hr/kako-uskladiti-videonadzor-s-gdpr-om/
AZOP je u srpnju 2021., nakon provedenog nenajavljenog nadzora, izrekao novu upravnu novčanu kaznu zbog neoznačavanja objekta pod videonadzorom.
11. Google, 7 milijuna eura
U ožujku 2020. švedsko nadzorno tijelo za zaštitu podataka (SDPA) kaznilo je Google zbog neusklađivanja s GDPR-om. Google je kažnjen zbog toga što nije uklonio neke rezultate pretraživanja na svojoj tražilici, zbog GDPR prava na zaborav.
U 2018. godini SDPA je zaprimio žalbe zbog nepridržavanja prethodno izdane naredbe prema koje je Google morao ukloniti nekoliko rezultata pretraživanja. Dakle, SDPA je pokrenuo naknadnu reviziju u 2018. godini. Nadležno tijelo utvrdilo je da Google nije pravilno uklonio dva rezultata pretraživanja za koja im je SDPA naložio da ih uklone još 2017.
SDPA je također zahtijevao od Googlea da prestane informirati vlasnike web stranica o uklanjanju rezultate s popisa jer to vlasnicima web mjesta može dati informacije o ispitaniku koji je zatražio uklanjanje s popisa.
Ovo je druga najveća novčana kazna za Google, nakon 100 milijuna eura koje je izrekao francuski CNIL.
12. Caixabank, 6 milijuna eura
Španjolsko nadzorno tijelo (AEPD) kaznilo je tvrtku za financijske usluge Caixabank sa 6 milijuna eura u siječnju 2021. godine zbog zlouporabe korisničkih podataka. To je najveća GDPR kazna koja je dosad izrečena u Španjolskoj. Utvrđeno je da podaci koje je pružala Caixabank nisu bili usklađeni u svim njihovim dokumentima i različitim kanalima komunikacije koje su koristili te su koristili nepreciznu terminologiju u svojoj politici privatnosti.
Caixabank je također pružala nedovoljno podataka o kategoriji obrađenih osobnih podataka, korisničkim profilima, pravnoj osnovi obrade, kao i o ostvarivanju prava i rokovima čuvanja podataka. Uz to, tvrtka također nije valjano prikupljala suglasnost ispitanika za obradu podataka, odnosno, pronađeni su neki nedostaci u procesu prikupljanja suglasnosti.
13. BBVA, 5 milijuna eura
U prosincu 2020. AEPD je također izdao novčanu kaznu tvrtki BBVA (Banco Bilbao Vizcaya Argentaria) koji se bavi financijskim uslugama. BBVA je kažnjena zbog korištenja neprecizne terminologije u svojoj politici privatnosti i pružanja nedovoljnih podataka o kategoriji obrađenih osobnih podataka.
Nadalje, BBVA nije prikupila pristanak ispitanika prije slanja promotivnih SMS poruka te također te nije imala razrađeni mehanizam za dobivanje korisničkog pristanka. Osim toga, BBVA je također kažnjena zbog nezakonitog prijenosa osobnih podataka tvrtkama iz grupe.
Ovo je druga najveća novčana kazna koju je izrekla Španjolska i koja dijeli mnoge sličnosti s novčanom kaznom izrečenom Caixabanci.
Što je s vašom Politikom privatnosti?
Imate li pravilno izrađene evidencije aktivnosti obrade?
Više o evidencijama aktivnosti obrade možete saznati ovdje: https://azop.hr/izrada-evidencija-aktivnosti-obrade/
14. AOK, 1,24 milijuna eura
U lipnju 2020. njemačko tijelo za zaštitu podataka izreklo je kaznu u iznosu od 1,24 milijuna eura za društvo koje se bavilo zdravstvenim osiguranjem Allgemeine Ortskrankenkasse (AOK). Novčana kazna naplaćena je zbog nedostatka tehničkih i organizacijskih mjera zahtijevanih čl. 32 GDPR-a.
Između 2015. i 2019. AOK je organizirao lutrije i prikupljao osobne podatke sudionika, uključujući njihove kontakt podatke i trenutno stanje zdravstvenog osiguranja. Tvrtka je ove podatke pojedinaca koristila u reklamne svrhe. Utvrđeno je da je AOK obrađivao podatke 500 ljudi bez njihovog pristanka i također je utvrđeno da nisu postajale odgovarajuće mjere za provođenje takve aktivnosti.
15. BKR, 830.000 eura
U kolovozu 2020. nizozemsko tijelo za zaštitu podataka izreklo je dosad najveću kaznu od 830.000 eura nizozemskom Uredu za registraciju kredita (BKR). Kazne su izdane zbog nepoštivanja prava pristupa osobnim podacima. Kazna je izdana za period od svibnja 2018. do ožujka 2019.
Utvrđeno je da je BKR naplaćivao naknadu ispitanicima koji žele pristupiti svojim osobnim podacima u digitalnom formatu. BKR je pružao besplatan pristup ispitanicima samo jednom godišnje putem pošte, na taj način obeshrabrujući ispitanike da podnesu zahtjev za pristup osobnim podacima.
Više informacija o pravima ispitanika možete pronaći u AZOP-ovom priručniku o pravima ispitanika: https://azop.hr/wp-content/uploads/2021/02/Vodic-prava-ispitanika.pdf
Prema Općoj uredbi o zaštiti podataka, prava ispitanika jamčena uredbom su:
No znate li kada ispitaniku možete ograničiti prava i kada na koje pravo ima ispitanik? Javite nam se na ured@presido.hr