Unutar komunikacije s klijentima, često dolazimo do izjava poput „Mi smo se uskladili pri samom početku“ i „Nama GDPR ne treba“, no u daljnjem razgovoru isplivaju na površinu sitni nedostaci vezani za povredu zaštite osobnih podataka.
Koje su najčešće greške koje se potkradaju u svakodnevnom poslovanju?
Članak 5. GDPR Uredbe najbolji je primjer lapsusa u poštovanju zaštite osobnih podataka. Načela obrade osobnih podataka sklizak su teren te se uz članak. 6 koji izdvaja zakonitost obrade podataka ističe kao najčešće nepoštivano područje.
U nastavku donosimo primjere najčešćih povreda svake od točaka navedenog članka:
Najčešće greške povrede članka 5.: „Načela obrade osobnih podataka“
- Zakonitost, poštenost, transparentnost obrade
- Njemačka– podaci prikupljeni na nagradnoj igri osiguravajuće kuće povezani sa zdravstvenim podacima korišteni su u marketinške svrhe (1, 240 000 eura)
- Ograničavanje svrhe
- Španjolska– bez dozvole ispitanika i bez pravne osnove upotrijebljeni su osobni podaci te podaci bankovnog računa za aktivaciju telefonske linije koja nije tražena (55 000 eura)
- Smanjenje količine podataka- načelo minimizacije
- Finska– uporaba kamera koje su omogućavale audio snimanje bez potrebe za istim, povreda načela minimizacije (72 000 eura)
- Točnost
- Mađarska– banka je pogrešno slala SMS poruke na telefonski broj druge osobe unatoč zahtjevu ispitanika za promjenom broja (kazna 1560 eura)
- Ograničenje pohrane
- Italija– podaci prikupljeni unutar aplikacije čuvani su duže od osnovne i navedene svrhe te ispitanici nisu bili obavješteni o trajanju njihova čuvanja već su nakon nekog vremena ponovo kontaktirani u druge svrhe. Prilikom ponovnog kontaktiranja ispitaniku nije dana nikakva obavijest (27 800 000 eura)
- Cjelovitost i povjerljivost
- Danska– kompjuter koji je sadržavao osjetljive osobne podatke 20 620 stanara je ukraden (kazna 14 000 eura)
Najčešća greška povrede članka 6..:„Zakonitost obrade“
- Privola je prikupljena za nekoliko svrha
- Španjolska- bez dozvole ispitanika i bez adekvatne pravne osnove, podaci su upotrjebljeni u drugu svrhu osim navedene (24 000 eura)
- Cipar– bez pristanka ispitanika te bez adekvatne pravne osnove poslane su marketinške poruke. Također, nije postojala mogućnost blokiranja marketinških poruka iz navedenog eShop-a (1000 eura)
- Švedska– operator web stranice objavio je javno podatke o ljudima koji su u dugovima (35 000 eura)
- Ikea Španjolska– tvrtka je iskoristila kolačiće bez pristanka ispitanika; neusklađen skočni prozor i privola (10 000 eura)
Potrebno je osvijestiti kako je za svaku od navedenih povreda odgovoran voditelj obrade (u većini slučajeva poslodavac) te kako navedene kazne mogu doseći visinu čak do 4% ukupnog prihoda tvrtke.
Što je s greškama u Hrvatskoj?
Izvješće AZOP-a iz 2018. godine navodi neke od najčešćih povreda zaštite osobnih podataka.
Prema vrsti potencijalne povrede prava, podnesene pritužbe/zahtjevi za utvrđivanje povrede prava najvećim dijelom odnosili su se na sljedeće:
- obradu osobnih podataka korištenjem novih tehnologija
- obradu osobnih podataka video nadzornim kamerama u poslovnim prostorijama poslodavaca
- javnu objavu osobnih podataka na Internetu i društvenim mrežama (Facebook i Instagram)
- javnu dostupnost osobnih podataka upisivanjem imena i prezimena u tražilicu Google,
- objavu osobnih podataka na oglasnoj ploči, objava osobnih podataka u medijima,
- obradu osobnih podataka u svrhu sklapanja pretplatničkih ugovora (zlouporaba identiteta)
- obradu osobnih podataka u ovršnim postupcima (zamjena identiteta)
- davanje osobnih podataka na korištenje trećim osobama u prekomjernom opsegu,
- korištenje osobnih podataka od strane društava za proizvodnju i distribuciju toplinske energije u svrhu naplate spornih računa i onemogućavanje uvida/pristupa osobnim podacima radnika koje obrađuju njihovi poslodavci.
Još uvijek smatrate kako ste u potpunosti usklađeni s GDPR uredbom? Znate li koje podatke ispitanika smijete upotrebljavati i u koju svrhu? Koje je dozvoljeno vrijeme čuvanja podataka?
Kako bi se zaštitili od najavljenog nadzora i samih kazni, nužno je biti educiran na području zaštite osobnih podataka te se kvalitetno pripremiti za eventualni nadzor.
Obratite nam se s povjerenjem kako bi stekli najbolju moguću edukaciju o zaštiti osobnih podataka. Za više informacija o samoj zaštiti osobnih podataka ili o našim edukacijama, obratite nam se na ured@presido.hr