Najčešći prekršaji kompanija – Navigacija kroz GDPR

U doba digitalne revolucije, usklađenost sa GDPR-om ključna je za svaku organizaciju. Da li ste znali da se mnoge kompanije služe tračarenjem i prikupljanjem informacija o zaposlenima po principu „rekla-kazala“? Od zloupotrebe ličnih podataka, do promene osnova prikupljanja, kompanije se suočavaju sa brojnim i ozbiljnim prekršajima i kaznama. Saznajte gde kompanije najviše greše.

143
Najčešći prekršaji kompanija - Navigacija kroz GDPR
- Sponzor članka -hikvision srbija

U doba kada digitalna era znatno preoblikuje način na koji poslujemo, zaštita ličnih podataka postaje sve relevantnija.

Privatnost, bezbednost i zaštita podataka nisu samo pravne obaveze, već i ključni aspekti etičkog poslovanja.

GDPR (Opšta uredba o zaštiti podataka) postavlja visoke standarde u zaštiti ličnih podataka, a nesklad sa njegovim pravilima može dovesti do ozbiljnih finansijskih posledica.

Razlikujući privatnost, bezbednost podataka i zaštitu podataka, ključno je razumeti kako ovi elementi doprinose celokupnoj usklađenosti sa GDPR-om.

  1. Privatnost se odnosi na pravo pojedinaca da kontrolišu svoje lične podatke.
  2. Bezbednost podataka obuhvata tehničke i organizacione mere za zaštitu podataka od neovlašćenog pristupa ili krađe. Bezbednost je preduslov privatnosti
  3. Zaštita podataka se, pak, fokusira na pravila i procedure koje osiguravaju da se podaci koriste isključivo u zakonom dozvoljene svrhe, odnosno podrazumeva integraciju bezbednosti i privatnosti.

Evo za koje prekršaje kompanije mogu biti kažnjene

  1. Ignorisanje zahteva korisnika (nosioca prava na zaštitu podataka o ličnosti)

GDPR daje pojedincima pravo da zahtevaju pristup, ispravku ili brisanje svojih ličnih podataka. Ignorisanje ovih zahteva od strane kompanije može dovesti do kazni. Na primer, ako kompanija ne reaguje na zahtev korisnika za pristup njihovim podacima, to se smatra ozbiljnim prekršajem.

  1. Neusaglašenost sa pravilima o kolačićima

Kolačići se često koriste na web-sajtovima za praćenje korisničkih preferencija. GDPR zahteva da korisnici daju jasnu i izričitu saglasnost za korišćenje kolačića. Nepoštovanje ovih pravila, kao što je automatsko omogućavanje kolačića bez saglasnosti korisnika, može dovesti do kazni. Facebook je u svojoj bogatoj istoriji kazni, između ostalog kažnjen i sa 60 miliona eura za nepravilno postupanje u vezi sa kolačićima, gde su korisnici morali da kliknu više puta kada odbijaju kolačiće, dok je jedan klik ili dva bilo dovoljno za prihvatanje.

Zašto stalno primate oglase za stvari o kojima ste upravo razgovarali? Evo kako da se zaštitite od praćenja na internetu!

  1. Neadekvatne mere zaštite podataka

Kompanije moraju implementirati odgovarajuće tehničke, organizacione i kadrovske mere za zaštitu ličnih podataka. Nedostatak ovih mera, kao što je slaba enkripcija ili neadekvatna zaštita od sajber napada, može rezultirati velikim kaznama. Uzmimo za primer Italijanski TIM SpA koji je kažnjen sa 7.6 miliona eura zbog serije bezbednosnih propusta koji su kompromitovali lične informacije miliona korisnika.

  1. Zloupotreba ličnih podataka

Neovlašćeno korišćenje ličnih podataka, bilo za marketinške svrhe bez saglasnosti ili za druge nezakonite aktivnosti, predstavlja ozbiljno kršenje GDPR-a. To znači, ako je korisnik usluga dao saglasnost i potpisao da će njegovi podaci biti korišćeni za određene svrhe, ne znači da ase isti lični podaci mogu koristiti u neke druge, pogotovo ne u marketinške.

  1. Nepridržavanje pravila o prenosu podataka

Transfer ličnih podataka van Evropske unije zahteva posebne uslove i dozvole. Ako kompanija prenosi podatke bez usklađenosti s GDPR-om, može se suočiti sa visokim kaznama. Meta (prethodno Facebook) kažnjen je sa 1.2 milijarde eura zbog transfera ličnih podataka evropskih korisnika u SAD bez adekvatnih mehanizama zaštite podataka.

  1. Nepostojanje procedura u slučaju curenja podataka

GDPR zahteva od kompanija da imaju procedure za brzo reagovanje u slučaju curenja podataka. Ako kompanija ne prijavi curenje podataka u roku od 72 sata, može biti kažnjena zbog kašnjenja ili neobaveštavanja nadležnih organa i pogođenih pojedinaca.

  1. Nedovoljna transparentnost prilikom obrade podataka

Kompanije su dužne da jasno obaveste korisnike o tome kako se njihovi podaci koriste i obrađuju. Nedostatak transparentnosti i jasnoće u komunikaciji ove informacije može dovesti do kazni. Tako je WhatsApp kažnjen sa 225 miliona eura zbog nedostatka transparentnosti u svojoj politici privatnosti i nedostatka informacija o obradi podataka korisnika. Takođe, Amazon je kažnjen sa 746 miliona eura zbog nedostatka transparentnosti u svom sistemu ciljanog oglašavanja bez odgovarajuće saglasnosti.

Rekordna kazna za WhatsApp – 225 miliona evra zbog povrede privatnosti

  1. Neadekvatna zaštita podataka maloletnih lica

Posebna pažnja se mora posvetiti zaštiti podataka maloletnih osoba. Online servisi koji privlače mlađu publiku moraju imati strože mehanizme zaštite. TikTok je kažnjen sa 12.7 miliona funti od strane UK Information Commissioner’s Office zbog neadekvatne zaštite podataka maloletnih korisnika. Meta Ireland kažnjena je sa 405 miliona eura zbog neadekvatnih mera zaštite privatnosti dece na Instagramu, posebno u vezi s poslovnim nalozima koji automatski prikazuju kontakt informacije dece.

ŠTA APLIKACIJA „TIK TOK“ RADI SA PODACIMA NAŠE DECE?

  1. Nepravilno korišćenje podataka za profilisanje

Profilisanje korisnika bez jasne saglasnosti ili neodgovarajuće korišćenje podataka za profilisanje, kao što su analiza ili predviđanje aspekata ličnosti, ponašanja, interesovanja, može dovesti do ozbiljnih sankcija. Sakupljanje i korišćenje ličnih podataka bez valjane saglasnosti.

Criteo je kažnjen sa 40 miliona eura od strane CNIL-a za niz GDPR povreda povezanih sa praksama ciljanog oglašavanja.

  1. Prisiljavanje na prihvatanje uslova korišćenja

Meta je kažnjena sa 390 miliona eura zbog promene uslova korišćenja na Facebooku i Instagramu, tvrdeći da je obrada podataka neophodna za pružanje usluga.

  1. Kršenje prava na zaborav

GDPR daje pojedincima pravo da zatraže brisanje ličnih podataka. Neuspeh kompanija da postupaju u skladu sa ovim zahtevima, kao što je odbijanje brisanja podataka kad je to opravdano, može rezultirati značajnim kaznama.

  1. Neadekvatna obrada osetljivih podataka

Posebna pažnja se zahteva pri obradi osetljivih podataka kao što su zdravstveni podaci, rasna ili etnička pripadnost i poreklo, politička mišljenja itd. Bilo kakvo neovlašćeno ili neodgovarajuće korišćenje ovakvih podataka može dovesti do visokih kazni.

  1. Nedostatak DPO (Data Protection Officer)

Određene organizacije su dužne imati imenovanog službenika za zaštitu podataka (DPO). Njegov izostanak može dovesti do sankcija, posebno u sektorima gde je obrada podataka posebno osetljiva.

  1. Neusaglašenost sa zahtevima prijave podataka

Nepravilno vođenje evidencije o obradi podataka ili nepotpuna prijava obrade podataka nadležnim organima može dovesti do kazni.

  1. Nepridržavanje principa minimizacije podataka

Prikupljanje i čuvanje podataka koji nisu neophodni za predviđenu svrhu obrade predstavlja kršenje principa minimizacije podataka.

  1. Nepoštovanje pravila o saglasnosti za decu

Posebni uslovi saglasnosti važe za obradu podataka dece. Nepridržavanje ovih pravila, kao što je obrada podataka dece bez saglasnosti roditelja, može dovesti do visokih kazni.

  1. Nepoštovanje zahteva za prenos podataka

GDPR daje pojedincima pravo da zatraže prenos njihovih podataka od jednog rukovaoca podataka drugom. Neuspeh u omogućavanju ovog prenosa može dovesti do sankcija.

  1. Zloupotreba sistema video nadzora

Kompanije koje koriste video nadzor moraju to činiti u skladu sa ZZPL/GDP ali i Zakonom o privatnom obezbeđenju , što uključuje obaveštenje javnosti o nadzoru i ograničenje korišćenja snimaka i niz drugih mera. Svakako, su tu brojne procedure i prakse zaštite, koje, ukoliko se ne primenjuju, mogu prouzrokovati ozbiljne kazne. Na primer za deljenje CCTV zapisa putem vibera ili drugih medija komunikacije među zaposlenima…čuvanje video zapisa duže od zakonom propisanog roka za sopstvene ili druge firmine potrebe i još mnogo toga.

VIDEO NADZOR I ZAPOSLENI: Zašto me snimaš na radnom mestu?

  1. Neovlašćeno prikupljanje podataka preko tračeva ili neformalnih kanala

Prikupljanje ličnih podataka zaposlenih ili klijenata putem neformalnih metoda, kao što su tračevi ili nezvanični izvori, smatra se kršenjem GDPR-a. Dobro poznati švedski maloprodajni lanac kažnjen je sa 35,3 miliona evra. Slučaj je prilično interesantan jer je  kompanija prikupljala osetljive lične podatke svojih zaposlenih putem šaputanja, tračeva i drugih izvora za kreiranje profila zaposlenih i te podatke koristila u procesu zapošljavanja. Lični podaci obuhvatali su medicinsku dokumentaciju, dijagnoze i simptome bolesti, kao i privatne podatke o odmoru i porodičnim poslovima.

  1. Nepravilna upotreba biometrijskih podataka

Neovlašćena obrada biometrijskih podataka, kao što su otisci prstiju ili skeniranje lica, bez jasne saglasnosti subjekta podataka predstavlja ozbiljno kršenje GDPR-a. Ako se mogu koristiti manje invazivna tehnička rešenja za zaštitu lica, imovine i poslovanja, onda treba pribeći blažim merama zaštite. U Republici Srbiji, imajući u vidu Zakon o zaštiti podataka o ličnosti koji se bazira na GDPR-u, moguće je izvršiti instalaciju i puštanje u rad ovih sistema uz izradu procene rizika u zaštiti lica, imovine i poslovanja, izradu kompletne GDPR dokumentacije, izradu DPIA – procene uticaja na zaštitu ličnih podataka koja se daje na saglasnost Povereniku za zaštitu informacija o javnog značaja i zaštitu podataka o ličnosti.

BIOMETRIJA POD LUPOM: Tehnički, pravni i etički izazovi biometrijske tehnologije

  1. Neusaglašenost sa zahtevima u vezi sa „Privacy by Design“ i „Privacy by Default“:

Kompanije moraju osigurati da su njihovi proizvodi i usluge dizajnirani sa ugrađenom zaštitom privatnosti od samog početka.

  1. Promena pravnog osnova

Za ovaj prekršaj Meta je kažnjena 390 miliona evra jer je promenila Uslove korišćenja usluge za svoje Facebook i Instagram korisnike neposredno pre nego što je GDPR primenjen, menjajući pravni osnov saglasnosti na ugovor za većinu svojih aktivnosti obrade.

Od korisnika je zatraženo da prihvate nove ažurirane Uslove korišćenja usluga za pristup svojim Facebook i Instagram nalozima; u suprotnom, usluge ne bi bile dostupne.

  1. Činjenje ličnih podataka javno dostupnim

Naime utvrđeno je 2021. godine da su brojni lični podaci sa Fejsbuka od strane Meta stavljeni na raspolaganje na javnoj hakerskoj platformi.

Ovo curenje podataka uticalo je na do 533 miliona korisnika , otkrivajući njihove lične podatke (brojeve telefona i adrese e-pošte) trećim licima bez ovlašćenja, čime je utvrđeno od strane nadležnih organa da je prekršen član 25. GDPR-

Spisak je dug….

Iako je spisak poduži, verujte, da to nije sve. U svetu gde podaci predstavljaju novu valutu, GDPR funkcioniše kao neophodan regulator koji štiti prava pojedinaca i postavlja standarde za poslovnu praksu. Biti informisan i proaktivno delovati u usklađenosti sa ZZPL/ GDPR-om ne samo da izbegava skupe kazne, već i gradi poverenje i reputaciju kod korisnika i klijenata. U tom kontekstu, razumevanje i poštovanje ZZPL/ GDPR-a treba da budu u samom vrhu prioriteta svake savremene organizacije.

Ne budite deo statistike

5/5 - (3 votes)
Prethodni članakZa ovaj “maliciozni program” biće vam potrebna mnogo veća zaštita u odnosu na druge
Sledeći članakBiometrijska autentifikacija – Benefiti i rizici