Sprovedeno Istraživanje DLA Piper-a u toku januara 2021. godine pokazalo je da je u proteklih godinu dana došlo do porasta povrede podataka o ličnosti, odnosno do kršenja GDPR regulative, i da je broj nepoštovanja GDPR-a znatno porastao od čak 197 na 287 i prema najnovijim podacima na 331 obaveštenje dnevno, nastavljajući trend dvocifrenog rasta.
Istovremeno, vidimo da se neki veliki tehnološki giganti, poput Facebook-a, Tvitter-a ili Google-a kako se čini, izvlače kroz iglene uši. Nedavno je Twitter-u došla kazna od 450.000 EUR za povredu GDPR-a, za koju su mnogi utvrdili da je znatno niža od očekivane, i to dve godine nakon otkrivanja kršenja regulative, što je dovelo do oštrih kritika efikasnosti u sprovođenju kazni.
Ukupan iznos GDPR kazni
Okvirni iznos svih do sada izdatih GDPR kazni iznosi od 275 miliona evra. Zanimljivo je da je Google-u izrečena i najmanja i najveća novčana kazna do danas. Postoje i neke GDPR kazne (ukupno 7), pri čemu iznosi nisu javno objavljeni, pa ih ne možemo uključiti, četiri iz Slovačke, dve iz Nemačke i jedna iz Hrvatske.
Među zemljama članicama EU, najviše pojedinačne GDPR kazne izrekle su Francuska, Nemačka i Italija. U prošlogodišnjem izveštaju Austrija je bila jedan od lidera u dosad najvećoj pojedinačnoj novčanoj GDPR kazni. Međutim, redosled je promenjen nakon prethodno pomenutog prometa kazne.
Nemačka je imala dve višemilionske kazne u iznosu od nešto više od 24 miliona evra (9,55 miliona GDPR kazne za 1 & 1 Telecom i 14,5 miliona GDPR kazne za Deutsche Vohnen SE), dok je Francuska i dalje na prvom mestu sa Google-ovom kaznom od 50 miliona EUR .
Ukupan iznos GDPR kazni po zemljama
Do kraja 2020. godine Italija je izrekla novčane kazne u iznosu od skoro 70 miliona evra, pokazujući da je italijanski Garante spreman da se uhvati u koštac sa ozbiljnim kršenjima GDPR visokim kaznama, ostavljajući za sobom Nemačku, Francusku i Veliku Britaniju kada je u pitanju iznos zbirne novčane kazne.
Zemlje koje imaju najviše izrečenih GDPR kazni
Ako pogledamo aktivnost svih organa EU za zaštitu podataka, iznad svih je Špansko telo za zaštitu podataka (AEPD) sa 175 novčanih kazni. Sve zajedno, AEPD je izrekao preko 15,6 miliona evra kazne, zahvaljujući dve velike novčane kazne koje su nedavno izdate Banco Bilbao Vizcaia Argentaria (5 miliona evra) i 6 miliona evra CaikaBank-u, što je najviša GDPR kazna koju je država izdala.
Dva nivoa kazni prema GDPR – u
Pre nego što skoknemo do novčanih kazni, kratki pregled; postoje dva nivoa GDPR kazni:
- niži nivo je do 10 miliona evra, ili 2% svetskog godišnjeg prihoda iz prethodne godine, zavisno od toga koji je veći
- gornji nivo je dvostruko veći ili 20 miliona evra i 4% svetskog godišnjeg prihoda.
Pa da vidimo koje kompanije su se našle na listi od
TOP 5 njavećih GDPR kazni
1. Google – 50.000.000 €, Francuska
Francuska nacionalna komisija za informatiku i slobodu (CNIL) 21. januara 2019. kaznila je Google novčanom kaznom u iznosu od 50 miliona evra. Ovo je najveća kazna GDPR do danas, izrečena zbog kršenja:
- Informacija koje treba pružiti prilikom prikupljanja podataka od subjekta podataka – nisu pružena obaveštenja licu čiji se podaci obrađuju,
- Informacija koje treba pružiti tamo gde lični podaci nisu dobijeni od nosioca podataka – član 14,
- Zakonitost obrade – član 6,
- Principa koji se odnose na obradu ličnih podataka – član 5
Kazna je izdata zbog nedostatka transparentnosti načina na koji su podaci prikupljeni od subjekata podataka i korišćeni za marketinške svrhe. Google nije pružio dovoljno informacija korisnicima o smernicama za saglasnost i nije im dao dovoljnu kontrolu nad načinom obrade njihovih ličnih podataka.
2. H&M – 35.258.708 € Nemačka
Hamburški komesar za zaštitu podataka i slobodu informacija (BfDI) izdao je švedskom maloprodajnom konglomeratu Hennes & Mauritz – H&M novčanu kaznu u iznosu od 35,3 evra (ili 41,5 dolara) zbog kršenja Opšte uredbe o zaštiti podataka (GDPR).
Broj je postao javan nakon tehničke greške, podaci o mrežnom pogonu kompanije bili su dostupni svima u kompaniji nekoliko sati, a štampa je podigla vest kojom je Poverenik postao svestan kršenja.
Slučaj je prilično zanimljiv, jer je kompanija prikupljala osetljive lične podatke svojih zaposlenih metodom “rekla kazala“, prisluškivanjem internih konverzacija zaposlenih, tračevima i drugim neadekvatnim izvorima kako bi kreirala profile zaposlenih i koristila te podatke u procesu zapošljavanja. Lični podaci su uključivali medicinske kartone, uključujući dijagnoze i simptome bolesti, kao i privatne detalje o odmoru i porodičnim poslovima.
3. TIM – 27.800.000 EUR, Italija
Januar 2020. bio je kritičan dan za italijanskog telekomunikacionog operatora TIM. Italijanski DPA Garante izdao je 27,8 miliona evra GDPR kazne za prilično opsežnu listu prekršaja. Teško je zanemariti obim njihovih ilegalnih aktivnosti. Više puta su kontaktirali (ne)kupce (određeni broj preko 150 puta mesečno) bez odgovarajuće saglasnosti ili drugih pravnih osnova.
Nekoliko miliona pojedinaca bilo je pogođeno njihovom agresivnom marketinškom strategijom. Uključene aktivnosti: Nepravilno upravljanje spiskovima saglasnosti, prekomerno zadržavanje podataka ❌ Povrede podataka ❌ Nedostatak odgovarajuće saglasnosti ❌ Kršenje GDPR prava. Lični podaci su uključivali ime, prezime ili ime kompanije; poreski kod ili PDV broj; telefonska linija; adresa; kontakt podaci.
4. British Airvais – novčana kazna od 22.046.000, Britanija
U julu 2019. godine, ICO je prvobitno objavio svoju nameru da izda British Airvais-u 204,6 miliona evra (183,39 miliona funti) zbog kršenja člana 31. GDPR-a. Ono što je najavljeno kao najveća novčana kazna GDPR u Velikoj Britaniji, na kraju je smanjeno na 20 miliona funti, u svetlu nedavne pandemije COVID-19 i efekta koji je imao na avio-industriju.
Incident se dogodio u julu 2018. godine, ali je otkriven tek u septembru 2018. U tih nekoliko meseci veb lokacija British Airvais-a preusmerila je saobraćaj korisnika na veb stranicu hakera, što je rezultiralo krađom opsežnih ličnih podataka više od 400.000 kupaca.
Prema službenoj izjavi ICO-a „… istraga je utvrdila da avio-kompanija obrađuje značajnu količinu ličnih podataka bez adekvatnih mera bezbednosti čime se prekršio zakon o zaštiti podataka i, posle toga, BA je bio predmet sajber napada tokom 2018. godine, koji nije trajao duže od dva meseca. “
Kompanija je imala neadekvatne bezbednosne mehanizme o nije mogla da spreči takve sajber napade. ICO je navela da su „razne informacije ugrožene lošim bezbednosnim aranžmanima u kompaniji, uključujući podatke o prijavi, platnoj kartici i rezervaciji putovanja, kao i informacije o imenu i adresi“.
5. Marriott International – novčana kazna od 20.450.000 € u UK
U julu 2019. godine ICO je izdao nameru da kazni Marriott International sa više od 99 miliona funti zbog kršenja GDPR-a. Kazna se odnosila na sajber napad, u kojem su izloženi lični podaci – preko 339 miliona evidencija gostiju. Od tih 339 miliona pojedinaca, 31 milion je stanovništvo EE – evropskog ekonomoskog prostora.
Marriott International se izložio sajber napadu nakon kupovine hotelske grupe Starvood. ICO je zaključio da Marriott nije propustio dovoljno pažnje nakon kupovine i da je trebao primeniti odgovarajuće mere bezbednosti.
30. oktobra 2020, ICO je izdao obaveštenje o kazni u kome objašnjava svoju odluku. Nakon više od godinu dana, konačno postoji zaključak za ICO istragu, kazna se podmiruje sa ogromnih 99 miliona na 18, 4 miliona funti. U svom obaveštenju o kazni, ICO objašnjava razloge iza odluke uzimajući u obzir niz olakšavajućih faktora i uticaj pandemije Covid-19.
Marriott je takođe prokomentarisao odluku na njihovoj zvaničnoj veb stranici navodeći: „Marriott duboko žali zbog incidenta. Marriott ostaje posvećen privatnosti i sigurnosti informacija svojih gostiju i nastavlja da ulaže značajne mere u mere bezbednosti svojih sistema, kao što ICO prepoznaje. ICO takođe prepoznaje korake koje je Marriott preduzeo nakon otkrića incidenta kako bi odmah obavestio i zaštitio interese svojih gostiju. “ U 2020. godini, Marriott je pretrpeo još jedno kršenje podataka, ovog puta pogađajući 5,2 miliona pojedinaca.
Zaključak
Ovo je ažuran i trenutni spisak do sada najvećih GDPR kazni, ali spisak se neprestano menja, što ukazuje na puno aktivnosti organa za zaštitu podataka. Kao što izveštaj DLA Piper navodi: „Nadzorne vlasti širom Evrope zapošljavaju svoje izvršne timove i upoznaju se sa novim režimom.“
Važno iznošenje nedavne odluke ICO-a o smanjenju kazne za British Airvais pokazuje da se zakonodavci prilagođavaju posebnim okolnostima trenutne globalne situacije. Ono što ostaje da se vidi je da li će ga slediti i drugi organi za zaštitu podataka i u drugim zemljama.