Zatraži ponudu
Javite nam se

Nazovite nas +385 95 1234 098
ili nam pišite na ured@presido.hr

Početna Blog Izrečene kazne za prijenos osobnih podataka u Kinu

Izrečene kazne za prijenos osobnih podataka u Kinu

Svi članci
24.07.2025.

Sankcije za kršenje prijenosa u treće zemlje i dalje su rijetke, ali pravilno provođenje procjene utjecaja prijenosa od strane voditelja obrade je ključno za izbjegavanje kazni.

Od presude Suda EU-a (CJEU) u slučaju Schrems II (C-311/18), voditelji obrade i izvršitelji moraju provesti procjenu učinka prijenosa (Transfer Impact Assessment, TIA) prije prijenosa osobnih podataka u "treću zemlju" koja ne nudi odgovarajuću razinu zaštite u usporedbi s Općom uredbom EU o zaštiti podataka (GDPR).

Irsko nadzorno tijelo, Data Protection Commission (DPC), je izreklo ukupnu kaznu od 530 milijuna eura europskom pružatelju platforme društvenih medija TikToku, koji pripada grupi sa sjedištem u Kini, o čemu smo već pisali na blogu. Kazna je, između ostalog, posljedica neispravne TIA.

Detalji odluke Suda pravde EU-a

DPC je svoju je odluku temeljio na dvije točke:

  • Nedostatci transparentnosti: S jedne strane, tvrtka nije dovoljno informirala europske korisnike o mogućem prijenosu njihovih osobnih podataka u Kinu u svojim obavijestima o privatnosti iz 2021., čime je prekršila članak 13. stavak 1. točka f) GDPR-a. Niti su treće zemlje poput Kine spomenute po imenu, niti je pojašnjeno da su korisnički podaci pohranjeni u SAD-u i Singapuru podložni mogućem daljinskom pristupu iz Kine. U prosincu 2022. (tijekom tekućeg postupka DPC-a), tvrtka je revidirala svoje obavijesti o privatnosti, čime je ispravila kritizirana kršenja transparentnosti.
  • Međunarodni prijenosi podataka: S druge strane, tvrtka je prekršila članak 46. stavak 1. GDPR-a jer nije dovoljno ispitala i osigurala jesu li standardne ugovorne klauzule EU-a korištene za prijenos u Kinu dovoljne da se osobni podaci europskih korisnika pohranjeni tamo podvrgnu razini zaštite jednakoj onoj u EU. Posebno, tvrtka nije uspjela adekvatno razmotriti mogući pristup kineskih sigurnosnih vlasti europskim korisničkim podacima na temelju regulative o borbi protiv terorizma, o protušpijunaži, o kibernetičkoj sigurnosti ili o obavještajnim službama te nadoknaditi povezana kršenja temeljnih prava odgovarajućim jamstvima i dodatnim mjerama.

Napomena: Nalog DPC-a o obustavi takvih prijenosa osobnih podataka u Kinu u međuvremenu je osporen, a irski Visoki sud naredio je odgodu ovog dijela odluke DPC-a. Ova odgoda bit će na snazi do početka listopada kada će sud saslušati zahtjev tvrtke kojom se traži dulja odgoda.

Značaj odluke

Iako su TIA-e do sada igrale prilično važnu ulogu u praksi sankcioniranja europskih nadzornih tijela, kazna koju je sada izrekao DPC treća je najveća kazna za kršenje GDPR-a do danas.  Najviša kazna ikad je izrečena - 1,2 milijarde eura Meti Platforms Ireland Ltd. (2023), a slijedi ju Amazon Europe s 746 milijuna eura (2021).

DPC je uzeo u obzir da tvrtka trenutačno provodi projekt usklađenosti sa zaštitom podataka vrijedan više milijardi eura. Kako pojašnjava DPC, gore spomenuto kršenje zahtjeva za transparentnost iz članka 13. GDPR-a iznosi "samo" 45 milijuna eura, dok je kršenje zahtjeva za međunarodni prijenos podataka kažnjeno sa 485 milijuna eura.

Istodobno, tvrtke su teoretski podložne visokom riziku provedbe, budući da su europska nadzorna tijela formulirala specifične zahtjeve za TIA-e, a kršenja odgovarajućih zahtjeva koja podliježu kaznama stoga je u osnovi lako prepoznati. Osim toga, trenutačno postoji samo “nekoliko” odluka o adekvatnosti Europske komisije, pa bi provođenje TIA-e trebalo biti pravilo (obveza), a ne iznimka.

U tom kontekstu, tvrtke bi trebale provesti potrebne procese kako bi osigurale da su TIA-e dio procjene rizika zaštite podataka. Sve već provedene TIA-e trebale bi se pregledati radi potpunosti i adekvatnosti te, ako je potrebno, poboljšati (svakako revidirati).

Gdje je to potrebno, moraju se poduzeti potrebne dodatne mjere za zaštitu osobnih podataka u trećim zemljama.

Prethodno sankcioniranje TIA-e

Europska nadzorna tijela do sada su se činila nevoljkim sankcionirati kršenja zakonskih zahtjeva u vezi s provođenjem TIA-e. U svakom slučaju, samo su izolirane odluke postale javne.

Na primjer, u Norveškoj je tijelo izreklo kaznu od približno 500.000 eura, između ostalog, na temelju toga što je dotična tvrtka prenijela osobne podatke obrađivaču sa sjedištem u Kini bez dovoljne pravne osnove i nije provela TIA u tom kontekstu.

U Španjolskoj je tamošnje nadzorno tijelo izreklo kaznu od 6,1 milijun eura. Ova je odluka djelomično bila utemeljena na činjenici da je dotična tvrtka nedovoljno procijenila stanje zaštite podataka u određenim zemljama i uvjete TIA-e (nije bila adekvatna).

Norveški slučaj

Nakon što je obaviješten o mogućem kršenju zaštite podataka putem vijesti, norveški DPA započeo je istragu o norveškoj tvrtki za naplatu cestarine Ferde AS. Otkriveno je da je tvrtka prenosila informacije o prolascima u naplatnim krugovima obrađivaču podataka u Kini, što je predstavljalo visok rizik za zaštitu podataka.

Nakon istrage, DPA je zaključio da je niz osnovnih obveza GDPR-a prekršen tijekom razdoblja od 1-2 godine. Točnije, prije obrade osobnih podataka nije provedena procjena rizika, nisu korištene sigurnosne mjere i, što je najvažnije, nije pronađena valjana pravna osnova za prijenos osobnih podataka. Budući da je kršenjem pogođena velika količina osobnih podataka, izrečena je novčana kazna od 496.000 EUR.

Procjena utjecaja prijenosa

Jedan od glavnih razloga zašto se Ferde AS nije pridržavao propisa bio je neprovođenje Procjene utjecaja prijenosa (TIA), koja je obvezna za međunarodne prijenose podataka u zemlje izvan EGP-a.

TIA je izuzetno važna kako bi se utvrdilo je li razina zaštite podataka u zemljama izvan EGP-a ista kao što je zajamčeno GDPR-om. Ako se utvrdi da je razina zaštite podataka niža, moraju se uvesti dodatne mjere ili se prijenos podataka ne bi trebao nastaviti.
Ako vaša tvrtka prenosi, obrađuje osobne podatke ili koristi pružatelja usluga iz zemalja izvan EGP-a – Procjena učinka prijenosa (TIA) je obvezna. TIA-om se procjenjuje:

  • pravni sustav zemlje u kojoj se nalazi primatelj podataka;
  • vjerojatnost pristupa vlade podacima;
  • odgovarajuće zaštite koje su na snazi;
  • primatelja podataka i njihovu pouzdanost;
  • moguće rizike prijenosa osobnih podataka i dodatne sigurnosne mjere koje bi se mogle poduzeti.

Procjenu biste trebali provesti prije nego što počnete obrađivati podatke.

Možda najvažniji korak u procjeni utjecaja prijenosa podataka jest razmatranje svih potencijalnih prijetnji sigurnosti i privatnosti podataka. Također nužno je obuhvatiti i procjenu zakonodavstva zemlje u koju se izvoze podaci jer ispitanici moraju imati istu razinu zaštite.

Španjolski slučaj

2024. godine je španjolsko nadzorno tijelo (AEPD) izreklo tvrtki Endesa kaznu od 6,1 milijuna eura zbog neuspjeha u poduzimanju potrebnih sigurnosnih mjera za zaštitu privatnosti svojih kupaca od čega se 2 milijuna odnosilo na kršenje Općih načela prijenosa.

Endesa, španjolska elektroprivredna tvrtka, sklopila je 2020. ugovor o marketingu svojih proizvoda i usluga putem raznih komercijalnih akcija s tvrtkom XXX. Nakon toga, ovaj je pružatelj usluga u ožujku 2021. podugovorio tvrtku YYY za „posredničku aktivnost u registraciji kupaca za Endesu putem komercijalnih telefonskih poziva za istraživanje tržišta koristeći Endesine baze podataka“.

U kolovozu 2021. otkriveni su određeni Facebook oglasi koji su najavljivali „najam sustava za dobivanje točaka opskrbe energijom i plinom samo s adresom kupca“. Korisnici iza tih oglasa pokazali su se zaposlenicima tvrtke YYY. Nakon potvrde neovlaštene prodaje Endesinih CRM baza podataka, uključujući vjerodajnice za pristup alatu za korisnike energije i plina, prodajna kampanja je obustavljena, a Endesa je poduzela potrebne mjere.

Međutim, u veljači 2022. ponovno je otkriveno preko 100 prodajnih operacija pogođenih krađom identiteta, jer telefonski brojevi i snimke potvrda poziva nisu odgovarali ugovorenom kupcu. Slijedom toga, Endesa je pokrenula Protokol upravljanja kršenjem sigurnosti.

Istraga AEPD-a. Do rujna 2022. na društvenoj mreži Facebook identificirano je ukupno 440 oglasa. Ovi oglasi nudili su najam i/ili prodaju pristupnih vjerodajnica Endesinom alatu. Utvrđeno je da je krađa podataka provedena u prijevarnoj prodaji podataka bila namijenjena obavljanju komercijalnih poziva putem istraživanja, savjetovanja i zadataka korisničke službe. Točnije, utvrđeno je da je približan broj vjerodajnica kupaca kojima se moglo pristupiti bio 4,8 milijuna kupaca električne energije i 1,2 milijuna kupaca plina.

Na kraju, ravnatelj AEPD-a objavio je Rješenje o postupku sankcioniranja protiv Endese zbog kršenja GDPR-a i to članaka:

  • Članka 5.(1)(f), Načelo cjelovitosti i povjerljivosti - 2.500.000,00 eura.
  • Članka 32., Sigurnost obrade -1.500.000,00 eura.
  • Članka 33., Izvješćivanje nadzornog tijela o povredi osobnih podataka - 800.000,00 eura.
  • Članka 34., Obavješćivanje ispitanika o povredi osobnih podataka - 800.000,00 eura.
  • Članka 44., Opća načela prijenosa - 2.000.000,00 eura.

Zaključno, puno je obveza na koje morate paziti da biste bili usklađeni stoga nam se možete obratiti za sva pitanja o implementaciji svih zahtjeva propisa kojima se uređuje pitanje privatnosti i zaštite osobnih podataka.

Imate pitanja? Kontaktirajte nas!
Odgovaramo u najbržem mogućem roku.

Pročitajte još i ...
Smjernice za provedbu samoprocjene kibernetičke sigurnosti
Ima li poslodavac pravo koristiti sliku zaposlenika za oglašavanje usluga i robe?
Slanje izravnog marketinga ispitaniku bez njegovog pristanka
Prikaži sve članke
Newsletter
Prijavi se i ostvari eksluzivan pristup novostima iz svijeta GDPR-a.

Presido d.o.o. prikuplja vaše osobne podatke kada pristupite stranici www.presido.hr. Vaša privatnost i osobni podaci su nam bitni te vas stoga obavještavamo da upotrebljavamo kolačiće kako bi vam osigurali bolje korisničko iskustvo i funkcionalnost korištenja stranice.

Više informacija o kolačićima možete pronaći ovdje

Posebno napominjemo kako koristimo kolačiće multimedijskog sadržaja kako bi se mogle očitati neke od naših besplatnih edukacija, video lekcija ili seminara koje vam pružamo radi usavršavanja vaših znanja i kompetencija.

Vaša prava kao ispitanika su pravo na pristup, pravo na brisanje, pravo na ispravak, pravo na prigovor, pravo na prenosivost te pravo na ograničenje obrade. Privolu u bilo kojem trenutku možete povući.

Zahtjeve za ostvarivanjem prava možete poslati na ured@presido.hr. Uvijek smo vam na raspolaganju. 

Shvaćam

Zatvori

Presido d.o.o. prikuplja vaše osobne podatke kada pristupite stranici www.presido.hr. Vaša privatnost i osobni podaci su nam bitni te vas stoga obavještavamo da upotrebljavamo kolačiće kako bi vam osigurali bolje korisničko iskustvo i funkcionalnost korištenja stranice.

Više informacija o kolačićima možete pronaći ovdje

Posebno napominjemo kako koristimo kolačiće multimedijskog sadržaja kako bi se mogle očitati neke od naših besplatnih edukacija, video lekcija ili seminara koje vam pružamo radi usavršavanja vaših znanja i kompetencija.

Vaša prava kao ispitanika su pravo na pristup, pravo na brisanje, pravo na ispravak, pravo na prigovor, pravo na prenosivost te pravo na ograničenje obrade. Privolu u bilo kojem trenutku možete povući.

Zahtjeve za ostvarivanjem prava možete poslati na ured@presido.hr. Uvijek smo vam na raspolaganju.