GDPR u brojkama...
U šest godina otkako je Opća uredba o zaštiti podataka (GDPR) postala primjenjiva, njezin snažan okvir za izricanje novčanih kazni svakako je pomogao podići svijest i potaknuti napore za usklađivanje – baš kao što je europski zakonodavac namjeravao. U isto vrijeme, rizik od kazni do 20 milijuna eura ili 4 % globalnog godišnjeg prometa tvrtke također može dovesti do straha i nevoljkosti ili neznanja o pitanjima usklađenosti.
Što je novo po pitanju kazni u svijetu GDPR-a i što možemo naučiti na tuđim greškama?
Ovaj članak pokriva sve novčane kazne od 2018. do 1. ožujka 2024. odnosno otprilike 2086 novčanih kazni (brojka je i veća no za dio kazni se ne znaju točne odnosno precizne okolnosti).
Do ožujka 2024. izdano je ukupno 2086 novčanih kazni (+510 u usporedbi s 2023. godinom).
Svjesni smo da je različit pristup objavljivanju novčanih kazni/odluka često vezan uz posebnosti nacionalnih propisa, primjerice u nekim zemljama je objavljivanje kazni i prekršaja vezanih uz kršenje odredbi o zaštiti osobnih podataka i privatnosti zasebna sankcija.
Ipak, europska nadzorna tijela objavljuju agregirane podatke barem jednom godišnje, npr. u svojim godišnjim izvješćima. Na temelju odgovarajućih nasumičnih uzoraka već znamo da je stvarni broj predmeta znatno veći od broja slučajeva zabilježenih na https://www.enforcementtracker.com/.
Ukupne kazne iznose oko 4,48 milijardi eura (+1,71 milijardu u usporedbi s 2022. godinom). U cijelom izvještajnom razdoblju 2018. – 2024. prosječna kazna iznosila je oko 2,14 milijuna eura u svim zemljama. Veliki iznos prosječne kazne uglavnom je posljedica velikih kazni protiv "Big Tech" tvrtki izrečenih tijekom 2021./2022. (tu je i prva kazna u milijardama 2023. godine.).
Najvišu GDPR kaznu do sada od 1,2 milijarde eura izrekla je DPA u Irskoj u svibnju 2023. zbog kršenja propisa o međunarodnom prijenosu podataka (ETid-1844). Ovo je prva kazna u milijardama do sada. Druga najveća kazna izrečena je od strane nadzornog tijela u Luksemburgu (746 milijuna eura, srpanj 2021., ETid-778), a zatim slijedi pet irskih kazni (405 milijuna eura, rujan 2022., ETid-1373; 390 milijuna eura, siječanj 2023., ETid-1543; 345 eura milijuna, rujan 2023., ETid-2032; 265 milijuna eura, studeni 2022., ETid-1502 i 225 milijuna eura, rujan 2021., ETid-820 ).
Na vrhu popisa vrsta prekršaja u pogledu broja kazni i prosječnog iznosa su “nedovoljna pravna osnova za obradu podataka” (612 kazni, prosječno 2,7 milijuna eura) i “nepridržavanje općih načela obrade podataka” (561 kazne, prosječno 3,7 milijuna eura).
Sljedeći na listi su “nedovoljne tehničke i organizacijske mjere za osiguranje informacijske sigurnosti” (357 kazni, prosječno 1,1 milijun eura).
Španjolska je – već petu godinu zaredom – daleko vodeća na ljestvici broja kazni, a slijede je ponovno Italija i Rumunjska.
Irska, Luksemburg i Francuska vode na ljestvici s prosječnim iznosima kazni i ukupnim iznosima kazni po zemlji, ponovno odražavajući učinak rekordnih kazni nametnutih velikim tehnološkim kompanijama od 2021.godini.
Raspodjela kazni od svibnja 2018. pokazuje da su europska nadzorna tijela u početku zauzela oprezan pristup u prvoj godini primjene GDPR-a s prvom kaznom zabilježenom u Portugalu (400.000 EUR protiv javne bolnice u srpnju 2018., ETid-45), nakon čega slijedi relativno dosljedan i stalno rastući broj novčanih kazni u 2018. i povećanje između 2019.godine i sredine 2021. godine.
Budući da smo svjesni da detaljno istraživanje u Enforcement Trackeru može biti opterećujuće, evo nekih općih zaključaka:
Jasno je da je članak 5. iznimno širok te da se kršenjem istoga može smatrati puno toga jer opća načela pokrivaju sve zahtjeve usklađenosti koji su detaljnije navedeni u drugim, specifičnijim odredbama GDPR-a. Sve veći broj navođenja članka 5. prilikom kažnjavanja bit će predmet drugog bloga.
Vjerujemo da nije potrebno dodatno isticati koliko su propisi o zaštiti podataka naglasili zaštitu ispitanika tako da će upravo kršenje prava ispitanika izazvati voditeljima obrade i u budućnosti novčane kazne. No, fokus na ispitanicima i njihovoj zaštiti nije samo tema u sklopu GDPR-a , ta tema je i relevantno pitanje u "digitalnim aspektima" ESG (Environmental, Social & Governance) koncepata, ponajviše za korporativnu digitalnu odgovornost (CDR).
Prepoznajući složenost postupanja sa zahtjevima za pristup podacima i obvezama transparentnosti, Europski odbor za zaštitu podataka (EDPB), kao neovisno koordinacijsko tijelo europskih nadzornih tijela, pravo pristupa prema članku 15. GDPR stavio je u središte svoje koordinirane provedbene akcije u 2024. godini.
Nedavne presude Suda Europske unije (CJEU) dodatno su razjasnile opseg prava ispitanika na pristup (npr. C-154/21 , C-487/21 i C-579/21 ). Iako ove odluke pružaju prijeko potrebnu jasnoću , one također predstavljaju pooštravanje zahtjeva za zaštitu podataka za tvrtke i kao takve smanjuju slobodu tvrtkama da tumače čl. 15 GDPR na način koji je prihvatljiv za zaštitu podataka, ali i više odgovara samim tvrtkama.
Iako se sektorski slučajevi razlikuju, obrazloženo pretpostavljamo da je vjerojatnije da će B2C poduzeća biti podvrgnuta DPA istragama (i na kraju novčanim kaznama): tome doprinosi sami odnos tvrtke i ispitanika, ali i veća spremnost ispitanika da prijavi (navodna) kršenja propisa nadzornim tijelima.
Zadovoljan ispitanik treba biti u središtu pažnje.
Još jedan okidač koji potkrjepljuje činjenicu sektorske izloženosti je uporaba novih tehnologija, koja je potaknuta stalnim pritiskom za inovacijama u tim (izloženim) industrijama, kao što je primjerice sve veći razvoj umjetne inteligencije. AI sustavi mogu uključivati opsežnu i složenu obradu osobnih podataka i povećati vjerojatnost "rizične" obrade te potencijalnih povreda zaštite podataka.
S obzirom na to da inovativna tehnologija može biti rizična za „prava i slobode ispitanika“, to je za odgovarajuće upravljanje rizikom važnije proniknuti u detalje (i odgovarajuću dokumentaciju) usklađenosti sustava koje tvrtke žele i planiraju koristiti. Preporuka je izvršiti opsežnu činjeničnu, pravnu i tehničku procjenu prije uvođenja i korištenja inovativne tehnologije.
EDPB je zadnje navedenog itekako svjestan te u svojoj strategiji za razdoblje 2024. – 2027. navodi da će se nastaviti suočavati s izazovima novih tehnologija poput umjetne inteligencije.
Privremeno ograničenje generativne AI uporabe u Italiji pokazuje da bi i druge vrste sankcija mogle postati češće primjenjive u budućnosti. Ovakve korektivne mjere u nekim slučajevima mogu imati čak i veći utjecaj na poslovanje od novčane kazne.
Istodobno sa zabranom pojedinih obrada se povećavaju mogućnosti ostvarivanja individualnih prava ispitanika i to kroz skupne tužbe udruga za zaštitu potrošača ili drugih udruženja za kolektivne tužbe za naknadu štete. Dokaz navedenom je presuda Suda Europske unije iz 2022. u kojoj je Sud Europske unije utvrdio da GDPR ne isključuje primjenu nacionalnog zakonodavstva koje dopušta udruzi/ udrugama za zaštitu potrošača poduzimanje pravnih radnji protiv voditelja obrade koji je navodno odgovoran za kršenje propisa o zaštiti podataka.
Osim toga, budući da se regulativa (EU) 2020/1828 sada provodi diljem EU-a i da su mnoge države članice prilagodile svoje nacionalno postupovno pravo navedenoj kako bi omogućile pokretanje zastupničkih tužbi, očekujemo daljnji porast postupaka pred nadzornim tijelima koje pokreću različite udruge.
Tvrtke stoga mogu sve više očekivati da će ih udruge potrošača tužiti zbog mogućih povreda zaštite podataka.
Šest godina nakon stupanja na snagu GDPR-a mnoga pitanja još uvijek su neodgovorena. Ključna pitanja o tumačenju odredbi GDPR-a, uključujući ona o novčanim kaznama, sve su više predmet sudskih postupaka, a predmeti stižu i do Suda Europske unije.
Sud Europske unije bio je posebno aktivan 2023., donoseći značajne odluke, kao što su slučajevi C-683/21 i C-807/21, gdje je presudio o uvjetima pod kojima nacionalna tijela za zaštitu podataka mogu izreći novčane kazne tvrtkama.
Sudsko preispitivanje odluka nadzornih tijela ključni je aspekt načela vladavine prava – a odluke DPA-a (uključujući obavijesti o izvršenju ili odluke o novčanim kaznama) nisu iznimka. Što su ulozi veći (čitaj kazne), organizacije su manje sklone odmah prihvatiti odluke DPA-a. Kako se povećava broj pitanja vezanih uz zaštitu podataka o kojima Europski sud pravde upućuje i odlučuje, očekuje se da će porasti i "sudska kontrola" novčanih kazni. Ovaj trend obećava povećanje pravne sigurnosti u tumačenju GDPR-a.
Tvrtkama je teško snaći se u ponekad znatnim razlikama u tumačenju i provedbi GDPR-a između država članica. S druge strane, organizacije za građanska prava žale se na nedostatke u provedbi. Idemo vidjeti presjek po sektorima?
Nastavlja se porast kazni u sektoru financija, osiguranja i poslovnog savjetovanja (već uočen posljednjih godina). Iznos izrečenih kazni povećao se s pet novčanih kazni koje premašuju 1 milijun EUR tijekom referentnog razdoblja ETR-a 2024. u usporedbi s jednom kaznom koja prelazi 1 milijun EUR tijekom referentnog razdoblja ETR-a 2023.
Sve najviše novčane kazne izrečene su zbog nedostatka odgovarajućih internih mjera usklađenosti posebno u dijelu osiguravanja adekvatne pravne osnove za obradu podataka o klijentima. U oba slučaja voditelji obrade nisu prikupili adekvatnu suglasnost za obradu podataka.
Stoga bi tvrtke u sektoru financija, osiguranja i poslovnog savjetovanja trebale uspostaviti i provoditi sveobuhvatne procese kako bi osigurale adekvatnu pravnu osnovu za svaku aktivnost obrade podataka. Konkretno, trebali bi uspostaviti odgovarajuće mehanizme za dobivanje – u nedostatku zakonske ili druge osnove – učinkovitog pristanka od svojih klijenata i osigurati da se podaci obrađuju samo u skladu s tim pristankom (koji je moguće dokazati i to da je dan u skladu sa zahtjevima GDPR-a). Osim toga, čini se da nadzorna tijela pomnije promatraju kako je točno dana privola i jesu li ispitanici bili u potpunosti informirani od strane voditelja obrade prije davanja privole.
Uz navedeno, nedovoljne mjere sigurnosti podataka rezultirale su značajnim novčanim kaznama i mogle uzrokovati značajnu štetu ugledu. Sukladno tome, tvrtke koje posluju u financijskom sektoru i sektoru osiguranja, kao i konzultantske tvrtke trebale bi se usredotočiti na snažne mjere sigurnosti podataka.
Kako digitalizacija napreduje u sektoru financija, osiguranja i poslovnog savjetovanja te se sve više usluga pruža online ili putem aplikacija, sigurnost podataka postat će još važnija. To je osobito važno budući da tvrtke iz navedenog sektora rade u visoko reguliranom okruženju i stoga su podvrgnute strogom nadzoru u pogledu sigurnosti svojih podataka i opće IT sigurnosti, ne samo od strane DPA-a, već i od strane financijskih regulatora.
Preporuka je da se provede godišnja revizija te da se provjere implementirane mjere zaštite kao i sva do sada izrađena i implementirana dokumentacija.
Sektor smještaja i ugostiteljstva uključuje globalne igrače, kao i kafiće, male i velike hotele i sl., a ta se raznolikost sektora odražava u ovogodišnjim nalazima.
Gotovo 90 % ukupnog iznosa kazne može se pripisati dvama većim slučajevima sa šesteroznamenkastim kaznama, pri čemu su kazne protiv malih i srednjih poduzeća općenito znatno niže. Kao i prethodnih godina CCTV i dalje igra važnu ulogu u ovom sektoru, čineći više od 60 % svih slučajeva u kojima je izrečena novčana kazna.
Vjerovali ili ne i danas nakon toliko godina i dalje iznimno veliki broj voditelja obrade nema adekvatno usklađene procese vezane uz CCTV.
Kao što smo već primijetili posljednjih godina, većina kazni u zdravstvenom sektoru izrečena je radi neadekvatnih tehničkih i organizacijskih mjera zaštite podataka (npr. nedostatak ograničenja pristupa za zaposlenike - ovlaštenja pristupa). Ovo je ostalo neriješeno pitanje u mnogim zdravstvenim ustanovama, mnoge zdravstvene ustanove zaboravljaju na analizu ovlaštenja pristupa, ali očito i na činjenicu da obrađuju posebne kategorije osobnih podataka te da s tim u vezi u startu imaju u odnosu na obradu podataka pacijenata veće rizike od mnogih drugih voditelja obrade.
Prijavljeni slučajevi u ovom sektoru pokazuju da rizik usklađenosti može biti povezan s (ne)dostupnošću podataka (uz povjerljivost kao najčešći sigurnosni problem), neadekvatnom migracijom zdravstvenih podataka između sustava i nenamjernim otkrivanjem zdravstvenih podataka (npr. navođenjem pošiljatelj na poštanskim omotnicama ili davanje usmenih informacija o zdravlju osobama koje se ne identificira na adekvatan način).
Konačno, važno je napomenuti da je – kao i prošle godine – talijanski DPA bio posebno aktivan u području zdravstvene zaštite, a kršenja povezana s Covidom-19 ostala su relevantna čak i 2023. godine.
Sektor industrije i trgovine suočen je sa značajnim novčanim kaznama zbog nepoštivanja općih načela zaštite podataka i nedostatne pravne osnove za obradu podataka. Agencije za zaštitu podataka pokazale su svoju spremnost nametnuti kazne u rasponu od sedam do osam znamenki.
Što se tiče općih načela obrade podataka, DPA-i pomno razmatraju nužnost obrade podataka i trajanje (svrhovitost) razdoblja čuvanja. Slučaj Clearview AI pokazuje da su DPA-i iz različitih zemalja voljni istražiti i izreći značajnu novčanu kaznu za ̋jedno ̋ kršenje ako ono utječe na ispitanike pod njihovim, različitim, nadležnim jurisdikcijama. Vrijedno je napomenuti da je španjolski DPA (AEPD) daleko najaktivnije tijelo, izričući više od 40 % svih kazni u ovom sektoru.
Poduzeća u sektoru nekretnina često obavljaju aktivnosti obrade “visokog rizika” – u rasponu od obrade osobnih dokumenata potencijalnih stanara ili detaljnih financijskih informacija do rada sustava CCTV (često od strane izvršitelja obrade/pružatelja usluga) za zaštitu imovine od krađe, vandalizma i sličnih problema . Ključna je provedba odgovarajućih tehničkih i organizacijskih mjera, kao i poseban fokus na opća načela obrade kao što je minimiziranje podataka ili ograničeno zadržavanje. Ako su potrebne objave bilo koje vrste, također treba voditi računa da se osobni podaci ne otkriju nenamjerno, npr. putem slika pojedinaca u ponudama za najam.
Većina kazni GDPR-a u sektoru medija, telekomunikacija i emitiranja izrečena je jer su osobni podaci obrađivani bez adekvatne pravne osnove. Također se može primijetiti da nadzorna tijela izriču sve veće kazne.
Štoviše, rekordne kazne protiv Mete ostaju tema koja se ponavlja u ovom izvještajnom razdoblju. Irski DPA (DPC) je u svibnju 2023. kaznio tvrtku Meta Platforms Ireland Limited najvišom kaznom do sada od 1,2 milijarde eura zbog kršenja propisa o međunarodnom prijenosu podataka. Zapanjujuće je da je kaznu izrekao DPC tek nakon obvezujuće odluke Europskog odbora za zaštitu podataka (EDPB), kao što je već bio slučaj s drugim velikim kaznama koje je DPC izrekao posljednjih godina. Taman mislite da ste se spasili, a kad ono...
Ukupan iznos izrečenih kazni znatno je veći u odnosu na prethodno razdoblje, s povećanjem od 94 %. To je naravno djelomično zbog rekordne kazne izrečene Meti; međutim, izrečene su i druge novčane kazne u rasponu od osam pa čak i devet znamenki.
Također je vrijedno napomenuti da su, za razliku od prethodnih godina, značajne novčane kazne bile raspoređene na više različitih kompanija, a ne samo na nekoliko istih igrača.
Broj slučajeva u prometnom i energetskom sektoru povećao se posljednjih godina. S druge strane, smanjen je prosječni iznos kazne.
Konkretno, broj uključenih ispitanika i ozbiljnost pojedinačnih prekršaja, kao i spremnost na suradnju s odgovarajućim DPA-om, predstavljali su važne čimbenike u određivanju iznosa kazni. Unatoč blagom padu prosječnih kazni, ipak su u ovom izvještajnom razdoblju izrečene pojedinačne kazne u sedmeroznamenkastom, pa čak i osmeroznamenkastom iznosu.
Neadekvatna pravna osnova za obradu podataka i nepoštivanje općih načela obrade podataka rezultirali su značajnim novčanim kaznama i bili jedan od najčešćih razloga za kažnjavanje u sektoru prometa i energetike.
Tijela javne vlasti imaju poseban položaj od povjerenja koji zahtijeva posebno strogo poštivanje propisa o zaštiti podataka i iznimno visoku razinu sigurnosti podataka. Isto se odnosi i na škole i druge obrazovne ustanove, posebice one koje obrađuju osobne podatke maloljetnika. Čini se da su DPA-i pojačano promatrali javni i obrazovni sektor od posljednjeg Izvješća o ET-u, posebice u vezi s upotrebom tehnologije.
Kao i prethodne godine, DPA su i ove godine nastavile izricati novčane kazne zbog kršenja zaštite podataka povezanih s Covid-19. Nadalje, broj kazni u vezi s obradom osjetljivih podataka (npr. zdravstvenih podataka), profiliranjem i praćenjem ili nadzorom pojedinaca nastavlja rasti. Čini se vjerojatnim da će se ovaj trend nastaviti i u budućnosti. U tom kontekstu, primjetno je da najveća i druga najveća kazna u javnom i obrazovnom sektoru (obje izrečene 2022.) proizlaze iz opsežnog i sustavnog prikupljanja i obrade osobnih podataka (uključujući osjetljive podatke) građana, uglavnom za statističke potrebe te u svrhe profiliranja.
U RH izuzeća od kažnjavanja su dosta široka pa makar primjećujemo da su državna i javna tijela potpuno neusklađena ili minimalno usklađena s GDPR-om kazne izostaju radi važećim propisa koji su na snazi U RH.
Ako se ide prema javnoj percepciji, čini se da je GDPR prvenstveno usmjeren na "digitalne globalne igrače". Međutim, analiza sektora pojedinaca i privatnih udruga daje nešto drugačiju sliku.
Iako broj kazni u ovoj oblasti ove godine nije tako značajno porastao kao prošle godine, ipak je zabilježen porast veći od 50 %, dok je ukupni iznos tek neznatno povećan. To ukazuje da su pojedincima izrečene male novčane kazne. Više od polovice svih poznatih kazni u ovom području izrekao je španjolski DPA (193).
Nadzorna tijela tretiraju veće neprofitne organizacije (posebno sportske udruge) baš kao i tvrtke slične veličine. Izrekli su novčane kazne za različite prekršaje, od nedostatka tehničkih i organizacijskih mjera do nedovoljnih informacija danih ispitanicima.
Što se tiče pojedinačnih poduzetnika i privatnih osoba, čini se da DPA-i posvećuju veliku pozornost opsegu u kojem je pojedinac mogao predvidjeti kršenje i motivima obrade. Posebno je važan bio broj ispitanika i namjera kršitelja da nezakonitom obradom podataka ostvari ekonomske interese.
Uklopivši se u opći trend i naglašavajući fokus na nametljive aktivnosti obrade, gotovo polovica svih kazni u ovom sektoru temeljila se na nezakonitom videonadzoru / CCTV-u. To naglašava prevladavajući fokus tijela za zaštitu podataka na videonadzor, budući da smatraju da je videonadzor toliko rizičan oblik obrade da moraju biti ispunjeni strogi zahtjevi, čak i od strane privatnih osoba.
Primijetili smo značajan porast ukupnog iznosa kazni izrečenih do danas, uglavnom zbog kazne od osam znamenki izrečene tijekom ovog izvještajnog razdoblja.
Unatoč činjenici da su novčane kazne u ovom iznosu trenutačno još uvijek iznimka, a ne pravilo, i dalje pretpostavljamo da će zaštita podataka o zaposlenicima ostati ključno područje aktivnosti DPA-a, s obzirom na ukupnu važnost obrade podataka o zaposlenicima za tvrtke bilo koje veličine i u bilo kojem sektoru.
Velika je vjerojatnost da će zaposlenici podnijeti pritužbe DPA-u, posebno u slučaju konfliktnih situacija. Slučajevi koji se konačno pokrenu pred radnim sudovima mogu dodatno uključivati zahtjeve za naknadu štete temeljene na kršenju zaštite podataka.
Prema našem iskustvu, poslodavci su posljednjih godina morali opravdati svoju usklađenost sa zaštitom podataka ne samo DPA-ima, već i sindikatima i/ili radničkim vijećima. Zaposlenici i tijela za suodlučivanje sve više iskorištavaju nesigurnost poslodavaca u vezi sa zaštitom podataka kako bi zauzeli druga pravna stajališta protiv poslodavaca. Poslodavci trebaju biti jako oprezni.
Istodobno, predmeti koji uključuju obradu podataka zaposlenika ostaju i dalje pravno složeni: obrada osobnih podataka u kontekstu zapošljavanja usko je povezana s nacionalnim pravnim okvirom koji uređuje radni odnos, a utvrđeno tumačenje takvih nacionalnih zakona o radu obično utječe na dopušteni opseg obrade podataka zaposlenika. Ovaj aspekt dovodi do izazova posebno za međunarodne organizacije, koje često pokušavaju primijeniti jedinstvene politike obrade podataka o ljudskim resursima u globalnim organizacijama i/ili upravljaju integriranim sustavima upravljanja ljudskim resursima, što zahtijeva povećane napore za usklađivanje. Ovo su samo neke od grešaka, unificiranost nekada vodi ka velikom riziku od kažnjavanja.
Početna analiza novčanih kazni povezanih s podacima zaposlenika potvrđuje da bi poslodavčevo oslanjanje na zakonsku pravnu osnovu kao i na izvršavanje ugovora trebalo biti najbolji izbor. Suglasnost zaposlenika ostaje – zbog pretpostavljene strukturne neravnoteže između poslodavaca i zaposlenika – ograničena na pojedinačne, specifične slučajeve u kojima zaposlenici imaju „pravi izbor“.
Konačno kraj...
GDPR-u nema kraja i ako niste to naučili u ovih šest godina vjerujemo da ste sada shvatili da on neće izumrijeti stoga svima koji kažu da im GDPR ne treba ili da nije bitan, da nitko nije usklađen ili da tijela ne kažnjavaju preporučujemo da počnu s ovim blogom iz početka. 😊