Švedsko nadzorno tijelo kaznilo je društvo za upravljanje investicijama s 500.000 SEK (oko 43.700 €) zbog netočnog slanja e-pošte koja je sadržala datoteku s osobnim podacima, što je rezultiralo kršenjem članka 32. stavka 1. GDPR-a. Švedsko nadzorno tijelo primilo je pritužbe u kojima se navodi da je 20. siječnja 2021. Indecap ispitanicima poslao e-poštu koja sadrži datoteku s osobnim podacima o, između ostalog, financijama klijenata.
Voditelj obrade je priznao pogrešku i objasnio da je do povrede došlo zbog ljudske pogreške. Zaposlenik je greškom priložio netočan Excel list jer je bio nazvan slično kao ispravna datoteka. Netočna datoteka sadržavala je podatke o imenu klijenta, matičnom broju, banci, imenu bankovnog savjetnika, adresi e-pošte, odabranoj razini rizika, raspodjeli u fondove (ograničeno na odabir pojedinačnog fonda) i zadnjoj učitanoj vrijednosti udjela klijenata u ovim fondovima. E-pošta je uključivala osobne podatke 52.364 ispitanika, a primilo ih je najviše 2.813 osoba. Točan broj primatelja nije se mogao utvrditi jer je vlastita istraga Indecapa pokazala da je e-pošta zapela u filteru pošte mnogih kupaca.
Indecap je poduzeo razne korake kako bi ublažio štetu od povrede. Pokrenuta je istraga velikog incidenta zajedno s vanjskim stručnjacima kako bi se identificirali interni rizici i izradio interni akcijski plan. Ispitanicima su poslane informacije o incidentu, provedene su dodatne tehničke i sigurnosne sigurnosne mjere te je održana dodatna edukacija za zaposlenike. Također su kontaktirani primatelji odnsono oni koji su primili e-poštu sa osobnim podacima i zamoljeni su da izbrišu poruku te da potvrde da je poruka obrisana. Naposljetku, Indecap je poslao obavijest o povredi osobnih podataka švedskom nadzornom tijelu i također podnio izvješće švedskom tijelu za financijski nadzor.
Daljnje okolnosti slučaja...
Indecap je izjavio da je datoteka priložena e-pošti kao rezultat pogreške koju je napravio zaposlenik. Međutim, kao voditelj obrade podataka, Indecap je odgovoran za svu obradu osobnih podataka koja se odvija pod njegovim upravljanjem ili u njegovo ime. Stoga je švedsko nadzorno tijelo odlučio kazniti Indecap kao društo za upravljanje investicijama, što znači da je priroda njegova posla već unaprijed nametnula visoke standarde zaštite jer je, između ostalog, obrađivala financijske podatke i nacionalne sigurnosne brojeve. Ovi visoki standardi također se odražavaju u nacionalnim zakonima. Poglavlje 1, odjeljak 11, prvi stavak Zakona o tržištu vrijednosnih papira (2007:528) navodi da osoba koja je ili je bila povezana s društvom za vrijednosne papire ne smije neovlašteno otkriti ili koristiti ono što je naučila tijekom svog zaposlenja ili tijekom zadatka o tuđim poslovnim ili osobnim prilikama. Bilo je jasno da dotična obrada stoga uključuje visok rizik.
Sukladno članku 32. GDPR-a, Indecap ima obvezu zaštititi osobne podatke koje tvrtka obrađuje poduzimanjem odgovarajućih tehničkih i organizacijskih mjera. Obrada osobnih podataka odvijala se u okviru osnovne djelatnosti Indecapa, za koju je tvrtka trebala imati visoku razinu sposobnosti da osigura odgovarajuću razinu sigurnosti. Prema vlastitim informacijama Indecap-a, razlog pogrešno priložene datoteke bio je to što je nazvana sličnim imenom druge datoteke koja je sadržavala općenite informacije o uspješnosti fondova. To sugerira da Indecap nije imao dovoljno jasne upute za sprječavanje miješanja dokumenata koji sadrže podatke o korisnicima s drugim javnim dokumentima. Štoviše, povreda je uključivala velik broj ispitanika (oko 52.000 osoba).
Iz tih je razloga švedsko nadzorno tijelo smatralo da je Indecap prekršio članak 32. stavak 1. GDPR-a i kaznio ih s oko 43.700 eura.
Ovaj primjer je ogledan uzmemo li u obzir koje otegotne i koje olakotne okolnosti je prilikom odmjeravanja kane uzelo u obzir nadzorno tijelo, no istovremeno iz njeg amožemo naučiti da je potrebno prilikom implementacije zahtjeva voditi računa ne samo o osnovnim pravilnicima o zaštiti podataka već i o raznim operativnim procedurama kojima se ispunjavaju svi zahtjevi GDPR-a, a koje ovise od organizacije do organizacije te koje je potrebno ažurirati i o ovisnosti od novo utvrđenih rizika i/ili incidenata koji su se dogodili.
