#GDPRlesson
Donosimo vam pregled 2 nove velike milijunske kazne koje su izrečene u proteklih mjesec dana!
Španjolsko nadzorno tijelo izreklo je kaznu u ukupnom iznosu od 1 500 000 EUR za dvije povrede GDPR-a
Španjolsko nadzorno tijelo je utvrdilo da španjolska tvrtka EDP COMERCIALIZADORA, S.A.U nije usvojila tehničke i organizacijske mjere koje jamče provjeru ima li osoba koja unajmljuje njezine usluge u ime druge fizičke osobe ovlaštenje za provođenje ugovora te jamči li ona usklađenost za zaštitom osobnih podataka i zahtjevima iz Opće uredbe. Također, nisu usvojene tehničke i organizacijske mjere koje su morale biti propisane da bi se izvršila provjera je li osoba koja djeluje u ime druge fizičke osobe ovlaštena pristati na drugu obradu osobnih podataka u njezino ime. Ove su suglasnosti zatražene tijekom postupka zapošljavanja, u dvije svrhe: međusobna komunikacija, kao i komunikacija s trećim stranama u komercijalne svrhe te profiliranje podataka iz baza podataka trećih strana za automatizirano donošenje odluka kako bi se poslali personalizirani prijedlozi reklama i omogućilo ugovaranje određenih usluge. Slijedom toga, španjolsko nadzorno tijelo je zaključilo da je tvrtka EDP COMERCIALIZADORA, S.A.U. prekršila članak 25. GDPR-a. U skladu s člankom 83. stavkom 4. točkom (a) izrečena je novčana kazna od 500.000 eura.
Nadalje, španjolsko nadzorno tijelo smatra da dokument osmišljen za pružanje informacija ispitanicima ne pruža dovoljno podataka o voditelju obrade, pravni temelj za obradu koji se ne temelji na pristanku, svrhe obrade koje se odnose na profiliranje na temelju legitimnog interesa, niti mogućnost prigovora aktivnostima obrade koje voditelj obrade temelji na svom legitimnom interesu. Štoviše, u nekim postupcima za ugovaranje usluga tvrtke (npr. ugovaranje putem telefona), pristup svim podacima koji se zahtijevaju prema članku 13. nije jednostavan i neposredan. Slijedom toga, došlo je do povrede članka 13. GDPR-a. Sukladno članku 83. stavku 5. točki (b) GDPR-a izrečena je novčana kazna od 1.000.000 eura.
Nove kazne u Švedskoj: MedHelp AB kažnjen s 1,19 milijuna eura!
Švedska telefonska linija (Vårdguiden, pozivni broj 1177) je linija na na kojoj možete dobiti razne medicinske savjete. Tijekom pandemije, ova linija je također pružala informacije o COVID-19. Sve švedske regije koriste navedenu liniju.
Mediji su još 2019. izvijestili da se snimke poziva nalaze na nesigurnom web poslužitelju kojem u principu može pristupiti bilo tko bez autentifikacije. Kao rezultat toga, švedsko nadzorno tijelo pokrenulo je istrage protiv tri tvrtke i tri švedske regije. MedHelp AB bila je jedna od tih tvrtki.
Tvrtka Inera je u početku bila odgovorna za tehničku administraciju i razvoj sustava i svi pozivi na broj 1177 bili su upućeni njoj. Pozivi iz regija Stockholm, Sörmland i Värmland su kasnije prebačeni adresatu kazne (MedHelp).
MedHelp je potpisao ugovor s tajlandskom tvrtkom Medicall Co Ltd. za primanje poziva noću i vikendom. I MedHelp i Medicall ugovorili su, između ostalog, snimanje poziva s tehnološkom tvrtkom Voice Integrate Nordic AB.
Kao što je švedsko nadzorno tijelo otkrilo tijekom istrage, podaci o pozivima koje je primio Medicall bili su izloženi na poslužiteljima Voice Integratea. Do incidenta je došlo zbog pogrešne konfiguracije mrežnog uređaja za pohranu koji je bio povezan na internet bez odgovarajućih mjera zaštite. Zbog ranjivosti sustava, došlo je do neovlaštenog pristupa velikom broju snimaka.
Prema mišljenju švedskog nadzornog tijela, MedHelp, kao pružatelj zdravstvene zaštite i odgovorna strana, prekršio je svoju dužnost poduzimanja odgovarajućih tehničkih i organizacijskih mjera kako bi osigurao odgovarajuću razinu sigurnosti za zaštitu osobnih podataka, odnosno nije osigurao nemogućnost pristupa neovlaštenim osobama.
Nadalje, MedHelp nije pravilno obavijestio ispitanike o obradi njihovih osobnih podataka u skladu s člankom 13. GDPR-a.
Također je utvrđeno kršenje načela zakonitosti u outsourcingu obrade osobnih podataka Medicall-u. Tajlandska tvrtka Medicall nije obuhvaćena švedskim zdravstvenim i medicinskim zakonodavstvom i ne podliježe zakonskoj dužnosti povjerljivosti koja postoji u švedskom zdravstvenom sektoru.
U odvojenom novčanom postupku izrečene su i ove kazne:
Voice Integrate kažnjen je sa 64 500 EUR, regija Stockholm sa 49 600 EUR i regije Sörmland i Värmland sa 24 800 EUR.