Slučajevi iz prakse, pokazuju da kršenja zaštite podataka nisu ograničena samo na interne procese, već mogu utjecati i na vanjske strukture i tehnička sučelja. Čak ni velike i etablirane tvrtke nisu imune na značajne nedostatke u praktičnoj provedbi propisa o zaštiti podataka - s dalekosežnim posljedicama.
Odluka njemačkog nadzornog tijela (BfDI) podsjetnik je svim tvrtkama za obradu podataka da testiraju sve svoje postojeće strukture zaštite podataka te ukazuje na mjere potrebne za rano prepoznavanje i izbjegavanje sličnih rizika.
I. Neadekvatan nadzor partnerskih agencija (15 milijuna eura)
Prva kazna od 15 milijuna eura odnosi se na korištenje takozvanih partnerskih agencija koje posreduju u ugovorima s klijentima u ime Vodafone GmbH.
Prema BfDI-u, obveze zaštite podataka za praćenje i kontrolu ugovornih partnera kršile su se godinama. Konkretno, riječ je o kršenjima članka 28. stavka 1. rečenica 1. GDPR-a, prema kojoj voditelj obrade mora osigurati da pružatelji usluga koje je angažirao nude dovoljna jamstva za obradu u skladu s GDPR-om.
U nekoliko slučajeva, zaposlenici takvih prodajnih partnera zloupotrijebili su podatke o kupcima, na primjer za izmjenu ili sklapanje novih ugovora. U nekim slučajevima to je učinjeno na štetu samih kupaca, na primjer dodavanjem dodatnih ili skupljih ugovornih komponenti, a u drugim slučajevima sklapanjem fiktivnih ugovora za vlastitu korist - na primjer radi dobivanja neovlaštenih provizija. BfDI je smatrao da je ponašanje partnerskih agencija rezultat neadekvatnog praćenja od strane Vodafonea.
Posebno je kritizirao činjenicu da nisu postojali učinkoviti procesi za odabir, reviziju i kontinuirano praćenje poslovnih partnera, iako su imali pristup opsežnim osobnim podacima - uključujući osjetljive podatke o ugovorima i podatke o računu. BfDI je utvrdio da Vodafone nije u dovoljnoj mjeri ispunio svoje obveze prema članku 28. GDPR-a u ovom kontekstu.
Vodafone nije porekao optužbe, prihvatio je kaznu i, prema vlastitim izjavama, izazvao sveobuhvatne strukturne posljedice: Između ostalog, raskinuti su partnerski ugovori, revidirani su procesi povezivanja s vanjskim tijelima i ojačani su mehanizmi interne kontrole.
II. Sigurnosni nedostaci u procesu autentifikacije (30 milijuna eura)
BfDI je izrekao dodatnu kaznu od 30 milijuna eura zbog značajnih sigurnosnih nedostataka u procesima autentifikacije pri korištenju online portala "MeinVodafone" u vezi s telefonskom korisničkom podrškom. Tehnički kombinirani napad na oba sustava omogućio je trećim stranama nezakonit pristup korisničkim računima iskorištavanjem slabih ili neispravnih postupaka autentifikacije - posebno eSIM profilima, koji su potrebni za pristup mobilnim uslugama.
Otkrivene ranjivosti omogućile su preuzimanje brojeva mobilnih telefona i njihovu potencijalnu zlouporabu za druge digitalne usluge - na primjer u kontekstu dvofaktorske autentifikacije ili korištenja mobilnih brojeva kao značajke identiteta u platnim transakcijama.
U svom priopćenju za javnost, BfDI nije pružio nikakve konkretne informacije o standardu zaštite podataka na temelju kojeg je ova kazna procijenjena. Međutim, izričito se osvrnuo na ozbiljne praktične rizike za prava ispitanika, posebno u vezi s korištenjem digitalnih identiteta.
Osim toga, BfDI je izdao upozorenje u skladu s člankom 58. stavkom 2. točkom b) GDPR-a. Prema njegovim informacijama, to se odnosilo na daljnje ranjivosti u Vodafoneovim prodajnim sustavima, koje su kršile odredbe članka 32. stavka 1. GDPR-a i identificirane su neovisno o postupku autentifikacije. Članak 32. GDPR-a obvezuje voditelje obrade da osiguraju razinu zaštite primjerenu riziku i, na primjer, da poduzmu mjere za pseudonimizaciju, šifriranje te da osiguraju integritet, dostupnost i otpornost sustava i usluga.
Kako je objašnjeno u 26. izvješću o radu za 2020., upozorenje nije samo opomena, već formalno utvrđivanje kršenja zaštite podataka s pravnim učinkom. Dokumentira nedolično ponašanje u evidenciji i može se uzeti u obzir u slučaju ponavljanja prekršaja, čime se povećava novčana kazna. Čak i bez izravno provedivog naloga, stoga ima regulatorni učinak koji se ne smije podcijeniti.
Vodafone je odgovorio na kritike nadzornog tijela i objavio da je sada revidirao svoje tehničke sustave i potpuno zamijenio neke od njih. Područje odabira i upravljanja pružateljima usluga također je restrukturirano. BfDI je najavio da će preispitati praktičnu provedbu i učinkovitost tih mjera i to u sklopu naknadne inspekcije.
III. Relevantnost za tvrtke – tipične slabosti i specifične obveze djelovanja
Kazne protiv Vodafone GmbH odnose se na dva područja koja su od središnje važnosti za tvrtke: procjena i angažman vanjskih pružatelja usluga i sigurnost digitalnih sustava pristupa. U korporativnoj praksi oba područja često karakteriziraju organizacijski nedostaci i nedovoljna svijest o riziku. Odluke BfDI-a jasno pokazuju da regulatorna očekivanja nadilaze puke ugovorne obveze i usmjerena su na strukturiranu, na rizik usmjerenu kontrolu procesa zaštite podataka.
1. Procjena pružatelja usluga/ poslovnih partnera
U slučaju partnerskih agencija, kršenje propisa o zaštiti podataka posljedica je neadekvatnog praćenja. Prema članku 28. stavku 1. rečenici 1. GDPR-a, tvrtka koja angažira pružatelja usluga za obradu osobnih podataka dužna je ne samo ugovorno uključiti pružatelja usluga, već i osigurati da pružatelj usluga zapravo ima na snazi odgovarajuće tehničke i organizacijske mjere za provođenje obrade u skladu s Uredbom. Ova obveza nije formalne, već materijalne prirode: Odabir pružatelja usluga mora se temeljiti na sveobuhvatnoj procjeni.
Osim toga, tvrtke su dužne kontinuirano preispitivati provedbu zahtjeva za zaštitu podataka tijekom trajanja ugovora.
Međutim, u praksi se često događa da se takav pregled ne provodi ili se provodi samo površno.
Iako se ugovori s izvršiteljima obrade sklapaju, ne provode se specifične provjere ili adekvatne i redovne (po potrebi izvanredne) revizije. Posebno u odjelima vezanim uz prodaju, marketing ili u slučaju podružnica. U slučaju Vodafonea, BfDI je izričito kritizirao nedostatak učinkovitih procesa za odabir, reviziju i praćenje partnerskih agencija - iako su imale pristup znatnoj količini osobnih podataka. Kazna jasno daje do znanja da kršenje ovih obveza dubinske analize može imati konkretne financijske i pravne posljedice.
2. Tehničke i organizacijske mjere
Osim organizacijske kontrole vanjskih partnera, drugi dio odluke odnosi se na još jedan rizik koji utječe na mnoge tvrtke: osiguranje digitalnog pristupa kupaca i korisnika. Članak 32(1) GDPR-a zahtijeva zaštitu osobnih podataka od neovlaštenog pristupa, nezakonite obrade i slučajnog gubitka tehničkim i organizacijskim mjerama. Mora se osigurati razina zaštite primjerena riziku, uzimajući u obzir vjerojatnost napada, kategorije dotičnih podataka i potencijalni utjecaj na ispitanike.
U svom izvješću o radu za 2023. godinu, BfDI je pod naslovom "Autentifikacija u telekomunikacijskom sektoru" naveo rizike povezane s neadekvatnom provjerom identiteta u digitalnom okruženju. BfDI se posebno poziva na potencijal zlouporabe povezan sa zamjenom SIM kartica ili pristupom komunikacijskim podacima, na primjer. Uvijek je potrebna analiza rizika, koja se temelji na vrsti kontakta s kupcem: Online pristup, pozivni centri ili fizičke trgovine znatno se razlikuju u pogledu rizika autentifikacije. Sam zahtjev za lozinku nije dovoljan, posebno pri pristupu osjetljivim ugovornim ili komunikacijskim podacima. Umjesto toga, u većini slučajeva potrebna je višefaktorska autentifikacija i šifrirana komunikacija, posebno za digitalne sustave samoposluživanja.
Prema BfDI-ju, tipičan rizik je da se brojevi mobilnih telefona ili adrese e-pošte koriste kao sigurnosna ˝sidra˝ za druge usluge. Neovlašteni pristup tim podacima može imati dalekosežne posljedice, uključujući krađu identiteta, financijske gubitke ili kompromitiranje drugih računa. Čak i ako su takve posljedice djelomično izvan kontrole telekomunikacijskog davatelja usluga, ipak ih treba uključiti u njihovu procjenu rizika.
Po mišljenju nadzornog tijela, potrebni su posebni sigurnosni mehanizmi za zaštitu od tih rizika, posebno prilikom izdavanja zamjenskih SIM kartica ili sličnih osjetljivih procesa. Oni moraju biti prikladni za učinkovito sprječavanje pristupa neovlaštenih trećih strana i provedbu načela integriteta i povjerljivosti osobnih podataka. Ali to također znači za tvrtke iz drugih sektora: Tehničke i organizacijske mjere uvijek se moraju odabrati ovisno o vlastitom profilu rizika tvrtke.
3. Unutarnje upravljanje i sustavi upravljanja zaštitom podataka
Zajedničko za oba područja je potreba za strukturiranim upravljanjem zaštitom podataka. GDPR ne samo da obvezuje tvrtke da se pridržavaju pojedinačnih propisa, već zahtijeva i uspostavu provjerljivog sveobuhvatnog sustava za usklađenost s propisima o zaštiti podataka. Ova odgovornost je izričito standardizirana u članku 5. stavku 2. GDPR-a. Tvrtke moraju biti u mogućnosti dokazati, na zahtjev nadzornog tijela, da Poduzeli su sve potrebne tehničke, organizacijske i pravne mjere kako bi se uskladili s Općom uredbom o zaštiti podataka.
Osim dokumentiranja postupaka obrade, to uključuje i uvođenje procesa sustavnog pregleda, jasnu raspodjelu zadataka u organizaciji za zaštitu podataka i redovitu edukaciju zaposlenika. Zaštita podataka ne bi se trebala smatrati sporednom stvari, posebno u područjima povezanim s tvrtkom s kontaktom s kupcima ili prodajnim strukturama, već bi se njome trebalo aktivno upravljati. To također uključuje uspostavu sustava ranog upozorenja - poput internih sustava za prijavu nepravilnosti ili redovitih provjera rizičnih procesa.
U svom izvješću o aktivnostima za 2024. godinu, berlinsko tijelo za zaštitu podataka istaknulo je da učinkovit sustav upravljanja zaštitom podataka mora uključivati i koncept obvezujućeg brisanja.
Redovito se mora preispitivati koji su osobni podaci još uvijek potrebni i jesu li još uvijek predmet ograničenja svrhe. Osnova takvih sustava je jačanje poslužiteljskih sustava, snažna logička zaštita pristupa - obično putem višefaktorske ili ključne autentifikacije - i izbjegavanje nepotrebnog pohranjivanja podataka.
Što se više osobnih podataka pohranjuje, to je veći rizik od neovlaštenog pristupa i curenja podataka. Stoga se tvrtkama savjetuje da strukturno ispune zahtjeve za usklađenost sa zaštitom podataka putem jasnih odgovornosti, tehničkih zaštitnih mjera i robusne dokumentacije.
IV. Zaključak
Mjere nametnute Vodafoneu impresivno naglašavaju činjenicu da se odgovornost za zaštitu podataka mora sveobuhvatno razmatrati – ona ne završava na granicama tvrtke ili ugovorima sklopljenim s trećim stranama.
Nadzorna tijela sve više provode strukturne provjere: svatko tko obrađuje osobne podatke mora ih dokumentirati, pratiti i tehnički osigurati – na trajnoj i na osnovi usmjerenoj na rizicima.
Tvrtke koje uključuju vanjske pružatelje usluga ili pružaju digitalni pristup korisnicima moraju uskladiti svoje procese s važećim pravnim standardima. Ključno je da se ne ispune samo formalni zahtjevi, već i da se uspostavi funkcionalna struktura kontrole i provjere.
Odluka BfDI-ja pokazuje da oni koji ne prepoznaju i ne uklone strukturne nedostatke u ranoj fazi riskiraju ne samo novčane kazne, već i štetu po ugled i dugoročni gubitak povjerenja. Zaštita podataka stoga se mora promatrati kao dio upravljanja korporativnim rizicima – ne kao izolirano pravno pitanje, već kao trajni zadatak upravljanja.
