1. Meta Platforms Ireland Ltd. - kazna od 1,2 milijarde eura
Kršenje GDPR-a - čl. 46 (1)
Irska Komisija za zaštitu podataka (DPC) utvrdila je da Meta krši smjernice GDPR-a za međunarodni prijenos. Rekordna kazna od 1,2 milijarde eura izrečena je matičnoj kompaniji zbog krivog postupanja s osobnim podacima prilikom prijenosa između Europe i Sjedinjenih Država (SAD).
Srž kršenja je Metin prijenos podataka u SAD na temelju standardnih ugovornih klauzula od 2020.
SCC klauzule su bile (do stupanja na snagu nove odluke o adekvatnosti) jedini valjani način prijenosa podataka između EU-a i SAD-a, pod uvjetom da postoji odgovarajuća razina zaštite podataka koju Meta nije uspjela pružiti.
Osim kazne, Meta je dobila nalog da svoje prijenose podataka uskladi s GDPR-om. Meta je izjavila da će se žaliti na ovu odluku.
2. Meta Platforms Ireland Ltd. - kazna od 390 milijuna eura
Kršenje GDPR-a - čl. 5. stavak 1. točka a), čl. 6. stavak 1., čl. 12, čl. 13 (1) c)
Meta Platforms Ireland Ltd. pojavljuje se drugi put ove godine s kaznom od 390 milijuna eura zbog zahtjeva za korištenjem podataka ispitanika za prikazivanje oglasa na Facebooku i Instagramu na nezakonit način. Regulator navodi da Meta ne može ispitanike prisiliti na pristanak tražeći od potrošača kao ispitanika da prihvate kako se njihovi podaci koriste ili da napuste platformu.
Irska komisija za zaštitu podataka (DPC) također je tijekom istrage utvrdila da Meta nije bila dovoljno jasna o tome kako i zašto bi koristila podatke korisnika.
3. TikTok Ltd - kazna od 345 milijuna eura
Irski povjerenik za zaštitu podataka (DPC) kaznio je TikTok sa 345 milijuna eura zbog kršenja brojnih pravila GDPR-a, uključujući stavljanje računa korisnika od 13 do 17 godina na zadanu javnu postavku.
Ovaj neuspjeh u zaštiti maloljetnih korisnika od pogleda javnosti bio je povezan s nedostavljanjem transparentnih informacija tim korisnicima i neprovjeravanjem da li je odrasla osoba koja se 'uparila' s djetetom u shemu tzv. 'obiteljskog uparivanja' zapravo (stvarno)roditelj ili skrbnik ispitanika (djeteta).
Nadalje, TikTok nije uzeo u obzir rizik za maloljetne korisnike koji su dobili pristup platformi.
4. Criteo - 40 milijuna eura kazne
Kršenje GDPR-a - čl. 7. st. 1., 3. čl. 12, čl. 13, čl. 15. st. 1. čl. 17. st. 1. čl. 26
Francuska agencija za zaštitu podataka (CNIL) kaznila je Criteo, stručnjake za online oglašavanje, s 40 milijuna eura kao odgovor na pritužbe neprofitnih organizacija Privacy International i None of Your Business (NOYB).
CNIL-ova odluka navodi propust Critea da osigura da njegovi partneri, dobiju pristanak korisnika za korištenje Criteo kolačića. Iako su partneri prvenstveno odgovorni za dobivanje pristanka od korisnika, CNIL još uvijek smatra Criteo odgovornim za provjeru tog pristanka.
Kazna od 40 milijuna eura iznosi približno 2% globalnog prihoda tvrtke te je smanjena u odnosu na početni prijedlog od 60 milijuna eura izvjestitelja CNIL-a.
5. TikTok - kazna od 12,7 milijuna funti
Kršenje GDPR-a - čl. 5 (1) a) GDPR, čl. 12 GDPR, čl. 13 GDPR
ICO kao regulator je kaznio TikTok s 12,7 milijuna funti zbog niza kršenja koja uključuju nezakonitu obradu podataka 1,4 milijuna djece mlađe od 13 godina. Regulator je utvrdio da TikTok nije učinio dovoljno da spriječi mlađima od 13 godina pristup platformi te da nisu provedene odgovarajuće provjere.
Nadalje, ICO je utvrdio da TikTok nije osigurao zakonitu obradu osobnih podataka koji pripadaju korisnicima iz Ujedinjenog Kraljevstva na pošten i transparentan način. Nakon istrage, ICO je objavio Dječji kodeks kako bi zaštitio djecu u digitalnom svijetu.
6. TIM SpA - kazna od 7,6 milijuna eura
Kršenje GDPR-a - čl. 5. stavak 2., čl. 6, čl. 7, čl. 12. st. 2., st. 3., čl. 13, čl. 14, čl. 15. st. 1. čl. 32 (1) b)
Talijanska agencija za zaštitu podataka kaznila je tvrtku za telemarketing TIM SpA od 7,6 milijuna eura zbog neadekvatnog nadzora obrade podataka u pozivnom centru. Tvrtka je bila predmet prethodnih istraga i još ima prostora za napredak kada je u pitanju obrada podataka.
Istragom je utvrđeno da je tvrtka neadekvatno odgovorila na zahtjeve pojedinaca za ostvarivanje prava ispitanika te objavila osobne podatke u javnim telefonskim imenicima bez dobivanja privole.
7. WhatsApp Ireland Ltd. - kazna od 5,5 milijuna eura
Kršenje GDPR-a - čl. 6. stavak 1., čl. 12, čl. 13 (1) c)
Irski nadzorno tijelo kaznilo je WhatsApp Ireland Ltd s iznosom od 5,5 milijuna eura zbog prisiljavanja korisnika da pristanu na korištenje osobnih podataka za "poboljšanje usluge i sigurnost". Ovaj slučaj sličan je onom protiv Meta Platforms Ireland Ltd., koji također datira iz svibnja 2018.
Osim novčane kazne, WhatsApp Ireland Ltd također je dobio naredbu da svoje postupke obrade podataka uskladi s pravilima EU-a o privatnosti u roku od šest mjeseci.
8. EOS Matrix d.o.o. - kazna u iznosu od 5,47 milijuna eura
Hrvatsko nadzorno tijelo utvrdilo je neovlaštenu obradu većeg broja osobnih podataka fizičkih osoba (dužnika) te da voditelj obrade nije implementirao dovoljne tehničke mjere zaštite.
Ono po čemu je ovaj slučaj izuzetno zanimljiv, ali i ulijeva strah svim tvrtkama je da je Agencija za zaštitu osobnih podataka U Republici Hrvatskoj 22. ožujka 2023. godine zaprimila anonimnu predstavku u kojoj se navodilo kako je došlo do neovlaštene obrade većeg broja osobnih podataka fizičkih osoba (dužnika) od strane voditelja obrade. Predstavci je priložen USB stick na kojemu se nalazi 181 641 osobnih podataka fizičkih osoba u strukturi ime i prezime, datum rođenja te OIB, a koji su imali nepodmireno dugovanje. Isto tako, u predmetnoj predstavci navedeno je kako se u bazi podataka nalazi i 294 fizičke osobe koje su u vremenu sastavljanja baze podataka bile maloljetne. Po zaprimljenoj prijavi, Agencija je provela nadzorno postupanje nad voditeljem obrade, EOS Matrix d.o.o.
Zastrašujuće je da netko anonimno dostavi USB stick, da se ne zna tko je navedeno dostavio, da se takav opseg podataka nalazi u mnogim drugim institucijama, da se ne zna tko je stvarno podacima imao pristup jer je netko morao kreirati dokument koji je dostavljen na USB sticku, ali da voditelj obrade bude kažnjen.
Važno je napomenuti kako je u Republici Hrvatskoj moguće nakon Rješenja nadzornog tijela pokrenuti upravni postupak nakon kojega će se tek smatrati cjelokupan postupak pravomoćno okončanim.
Dakle, ostalo je za vidjeti kako će završiti postupak i kako će nadležni sud odlučiti osobito u dijelu u kojem se nadzorno tijelo poziva na utvrđivanje negativnih činjenica što je pravnim stručnjacima nevjerojatno da su se uopće mogle utvrditi negativne činjenice. Hoće li doći do nezavisnog IT vještačenja u postupku također ostaje za vidjeti.
9. Clearview AI Inc. - kazna od 5,2 milijuna eura
Kršenje GDPR-a - kazna za nepoštivanje naloga
Clearview AI Inc. opet je u problemu nakon što se nije pridržavao naloga francuskog regulatora. Nakon izrečene kazne od 20 milijuna eura i naloga da se podaci pojedinaca u Francuskoj ne prikupljaju i ne obrađuju bez pravne osnove, Clearview AI nije surađivao dva mjeseca.
Francuski regulator, CNIL, stoga je nametnuo plaćanje kazne u iznosu od 5,2 milijuna eura uz izrečenu nepodmirenu kaznu.
10. Spotify - kazna od 4,9 milijuna eura
Kršenje GDPR-a - čl. 12. st. 1. čl. 15 (1), (2)
Platforma za streaming glazbe Spotify kažnjena je u Švedskoj novčanom kaznom od 58 milijuna kruna (4,9 milijuna eura) zbog kršenja prava pristupa podacima svojih korisnika. Švedsko nadzorno tijelo za zaštitu privatnosti (IMY) otkrilo je da Spotify nije bio transparentan u načinu na koji se koriste prikupljeni podaci njegovih korisnika.
Budući da se Spotify koristi u mnogim zemljama, odluka je donesena u koordinaciji s drugim tijelima za zaštitu podataka u EU. Spotify odbacuje odluku IMY-ja i namjerava se žaliti.
11. Trygg-Hansa - kazna od 3 milijuna eura
Kršenje GDPR-a - čl. 5. stavak 1. točka f), čl. 32 (1)
Švedsko nadzorno tijelo za zaštitu podataka (IMY) izdalo je novčanu kaznu od 35 milijuna SEK (približno 2.915.316 €) tvrtki Tryg Forsikring A/S (Trygg-Hansa) zbog kršenja Opće uredbe o zaštiti podataka (GDPR) nakon pritužbe ispitanika.
IMY je primio pritužbu u prosincu 2020. u kojoj se navodi da je Trygg-Hansa dopustila neovlašteni pristup osjetljivim osobnim podacima svojih kupaca. Nakon istrage, IMY je otkrio da je Trygg-Hansa obradila osobne podatke približno 650.000 pojedinaca, uključujući imena, podatke za kontakt, podatke o zdravstvenom stanju, brojeve socijalnog osiguranja, financijske podatke, podatke o osiguranju, detalje o događajima i informacije o imovini.
Ova povreda podataka razotkrila je osjetljive zdravstvene podatke koji su bili dostupni na internetu bez potrebe za autentifikacijom. IMY je zabilježio da su pogođeni podaci 202 korisnika, a ovaj neovlašteni pristup dogodio se od listopada 2018. do veljače 2021.
Detaljnije o svim kaznama možete pročitati u Zbirci odluka po nacionalnim tijelima za zaštitu podataka od svibnja 2018. do svibnja 2023 (Odvjetničko društvo ComplyCloud & CIT) koju besplatno zatražite niže putem kontakt obrasca.
