Početna Blog GDPR kazne u 2022. godini porasle za 168%!

GDPR kazne u 2022. godini porasle za 168%!

Svi članci
23.01.2023.

2022. bila je još jedna rekordna godina s ukupno 2,92 milijarde eura kazni GDPR-a izrečenih diljem Europe, što je povećanje od 168% u usporedbi s ukupnim iznosom od 1,09 milijardi EUR izdanih kazni u godini 2021. Irska je sada na vrhu ovogodišnje ljestvice po ukupnim kaznama izrečenim do danas, koje iznose više od 1,0 milijarde eura. Luksemburg je na drugom mjestu, s najvišom pojedinačnom kaznom od 746 milijuna EUR izrečenom 2021. Budući da su Irska i Luksemburg popularna mjesta za osnivanje tehnoloških tvrtki u Europskoj uniji i budući da su sve najviše novčane kazne u tim jurisdikcijama izrečene tehnološkim tvrtkama, možda i ne čudi što su Irska i Luksemburg na prvim mjestima ove godine. Predviđamo da će se ovaj trend vjerojatno nastaviti.

Smanjenje godišnjih obavijesti o povredama podataka

Povećanje broja obavijesti o povredi podataka koje smo vidjeli posljednjih godina počelo se smirivati. Prosječan broj obavijesti o povredama podataka po danu od 28. siječnja 2022. do 27. siječnja 2023. je 300 u usporedbi s 328 u istom razdoblju prošle godine. Regulatorima je od 28. siječnja 2022. prijavljeno ukupno oko 109 000 povreda osobnih podataka, što je malo smanjenje u odnosu na prošlogodišnji ukupni broj od približno 120 000. Ovo smanjenje može biti djelomično zbog činjenice da su postupci obavješćivanja ispitanika organizacija o GDPR-u postali zreliji, a također i zbog sofisticiranijeg bilježenja brojki obavijesti o povredi podataka od strane nadzornih tijela za zaštitu podataka. Smanjenje obavijesti o povredama također može biti pokazatelj toga da su organizacije postale opreznije s obzirom na rizik od istraga, izvršenja, novčanih kazni i odštetnih zahtjeva koji mogu uslijediti nakon obavijesti.

Rast kazni – najviše prema tehnološkim tvrtkama

Irski povjerenik za zaštitu podataka (DPC) ove je godine nametnuo niz rekordnih kazni za Metu, uključujući kaznu od 405 milijuna EUR u vezi s obradom osobnih podataka djece i kaznu od 265 milijuna EUR koji se odnosi na usklađenost s obvezom GDPR-a za zaštitu podataka prema dizajnu i prema zadanim postavkama (oboje je trenutačno u žalbenom postupku). DPC je započeo 2023. s dvije ogromne kazne protiv Facebooka i Instagrama od 210 milijuna EUR odnosno 180 milijuna EUR, u vezi s njihovim postupcima profiliranja potrošača koji se koriste za personalizirano oglašavanje.

Provedba GDPR-a u vezi s umjetnom inteligencijom

Clearview AI prikupio je slike lica ljudi i podatke iz javno dostupnih informacija na internetu i platformama društvenih medija diljem svijeta i osigurao online globalnu bazu podataka koja se može koristiti za prepoznavanje lica, omogućujući svojim korisnicima da usporede slike sa svim slikama u bazi podataka. Pojedinci nisu bili obaviješteni da se njihovi osobni podaci koriste na ovaj način, a baza je sadržavala znatnu količinu osobnih podataka. Nakon niza pritužbi koje su u svibnju 2021. podnijeli noyb i druge organizacije za digitalna prava, nekoliko nadzornih tijela za zaštitu podataka izdalo je novčane kazne protiv Clearview AI-a zbog kršenja GDPR-a.

Dana 9. ožujka 2022. talijansko nadzorno tijelo (Garante) izdalo je novčanu kaznu od 20 milijuna EUR protiv Clearview AI-a utvrdivši da je tvrtka prekršila nekoliko temeljnih načela GDPR-a. Slično tome, 23. svibnja 2022. Ured povjerenika za informiranje Ujedinjenog Kraljevstva (ICO) kaznio je Clearview AI sa 8,6 milijuna EUR (trenutačno u žalbenom postupku). Nakon toga uslijedile su slične tužbe. Grčko nadzorno tijelo za zaštitu podataka (HDPA) i francusko nadzorno tijelo (CNIL) su izdali maksimalne kazne od 20 milijuna EUR protiv Clearview AI.

Budući da se očekuje da će Zakon EU-a o umjetnoj inteligenciji biti dovršen 2023., očekujemo više smjernica od nadzornih tijela za zaštitu podataka o međudjelovanju umjetne inteligencije i zakona o zaštiti podataka te kao dio toga međudjelovanju umjetne inteligencije i etike podataka.

Osim toga, prethodnih godina (2020. i 2021.) nadzorna tijela za zaštitu podataka u Švedskoj, Finskoj i Povjerenik u Hamburgu donijeli su odluke protiv Clearview AI-ja i korisnika usluga Clearview AI-ja. Spremnost nadzornih tijela za zaštitu podataka da provode mjere izravno protiv korisnika umjetne inteligencije, a ne samo da ciljaju na Clearview AI kao pružatelja tehnologije, zamjetna je i upozorava organizacije koje svjesno ili nesvjesno koriste AI.

Međunarodni prijenosi osobnih podataka i provedba Schrems II

Austrijsko nadzorno tijelo (DSB) donijelo je svoju drugu službenu odluku kao odgovor na 101 pritužbu noyb-a u vezi s prijenosima osobnih podataka Google Analytics-a u Sjedinjene Države. DSB je smatrao da je korištenje Google Analytics-a na web stranicama kojima upravlja austrijska tvrtka, koji uključuje i prijenos osobnih podataka Google LLC-u u SAD-u, prekršio članak 44. GDPR-a budući da ni ugovoreni SCC-ovi niti provedene dodatne mjere nisu pružile odgovarajuću razinu zaštite. DSB u svojoj odluci nije izrekao novčanu kaznu. Međutim, navedeno je da relevantni operateri web stranica moraju prestati koristiti Google Analytics. DSB je posebno razmatrao dopušta li EU GDPR pristup temeljen na riziku međunarodnim prijenosima podataka i zaključio da Poglavlje V. GDPR-a ne prepoznaje pristup temeljen na riziku jer nije predviđen u tekstu članka 44. (ili, implicitno, bilo gdje drugdje u Poglavlju V GDPR).

CNIL je francuskoj web stranici izdao službenu obavijest kojom joj je naložio usklađivanje s GDPR-om, smatrajući da je obrada na web stranici i prijenos osobnih podataka u SAD pomoću Google Analytics-a u suprotnosti s člankom 44. GDPR-a. Kao i u slučaju odluke austrijskog DSB-a, istraga CNIL-a proizašla je iz noyb-ove 101 pritužbe, koja je uključivala pritužbe protiv raznih web stranica u Francuskoj koje koriste Google Analytics. Slične odluke uslijedile su i od talijanskog Garante i danskog Datatilsyne. Te su odluke ograničene na njihove specifične činjenice i ne odražavaju nužno pristup svih nadzornih tijela EU-a za zaštitu podataka.

Imate pitanja? Kontaktirajte nas!
Odgovaramo u najbržem mogućem roku.

Newsletter
Prijavi se i ostvari eksluzivan pristup novostima iz svijeta GDPR-a.