BLOG

GDPR se smatra najvećom i najznačajnijom regulativom o privatnosti podataka u poslednjih 20 godina. Stupio je na snagu 25. maja 2018. s ciljem da zameni Direktivu o zaštiti podataka iz 1995. godine (Direktiva 95/46/EC).

 

Dok je Direktiva 95/46 bila na snazi, članice EU su usvajale lokalne propise i zato zakoni o zaštiti podataka o ličnosti nisu bili usaglašeni. Usvajanjem GDPR-a stvoren je jedinstven pravni instrument sa direktnom primenom u svim državama članicama EU, ali i šire. Pored toga, GDPR uzima u obzir i nove tehnologije koje nisu obuhvaćene Direktivom, kao što su Big Data, mobilne aplikacije, društvene mreže itd. Kazne za nepoštovanje ovih propisa dosežu do 20 miliona evra ili 4% globalnog prihoda kompanije na godišnjem nivou, u zavisnosti od toga koji je iznos veći. Ova činjenica dovoljno govori o neophodnosti pravovremenog usaglašavanja poslovanja organizacija sa GDPR-om.

 

Ipak, sprovedeno istraživanje globalne pravne kompanije DLA Piper ukazuje na to da je u proteklih godinu dana došlo do porasta povrede podataka o ličnosti, odnosno, do kršenja GDPR regulative.

 

Njihovo istraživanje u 2020. godini pokazalo je da su organi za zaštitu podataka zabeležili 121.165 obaveštenja o kršenju podataka, što je za 19% više u odnosu na prethodni period. Analitičari predviđaju da će se trend dvocifrenog rasta nastaviti.

 

Kad su kazne u pitanju, one su se povećale za gotovo 40%. Na drakonske kazne zbog kršenja GDPR regulative nisu ostale imune ni neke od najvećih svetskih kompanija.

 

U nastavku prenosimo 5 najvećih kazni ikada izrečenih zbog nepoštovanja GDPR-a.

 

 

1. Google – 50 miliona evra

 

Francuska nacionalna komisija za informatiku i slobodu (CNIL) je 2019. godine izrekla kaznu kompaniji Google zbog nedostatka transparentnosti načina na koji su podaci prikupljeni od subjekata podataka i korišćeni za marketinške svrhe. Google nije pružio dovoljno informacija korisnicima o smernicama za saglasnost i nije im dao dovoljnu kontrolu nad načinom obrade njihovih ličnih podataka.

 

Google je uložio žalbu na ovu kaznu, međutim, Vrhovni sud Francuske za administrativno pravo je odbacio žalbu i potvrdio ovu vrtoglavu kaznu.

 

Ovo nije jedini put da je Google odgovarao zbog kršenja GDPR-a. U martu 2020. godine je Švedska uprava za zaštitu podataka Švedske (SDPA) kaznila Google zbog toga što je zanemario uklanjanje određenih rezultata pretrage, iako mu je to naloženo 2017. godine. Google je prema “pravu na zaborav” iz GDPR-a imao obavezu da to uradi na zahtev. Kazna je iznosila 7 miliona evra.

 

Google je odgovarao i u Rusiji. Kazna od 3 miliona rubalja (34.620 evra) izrečena je zbog kršenja zakona o ličnim podacima. Google je bez komentara potvrdo ovu kaznu. Rusija je i pre ovoga kažnjavala Google zbog nebrisanja zabranjenog sadržaja.

 

 

2. H&M – 35 miliona evra

 

Hamburški komesar za zaštitu podataka i slobodu informacija (BfDI) izdao je švedskom maloprodajnom konglomeratu Hennes & Mauritz – H&M novčanu kaznu u iznosu od 35.258.708 evra zbog kršenja Opšte uredbe o zaštiti podataka (GDPR).

 

Naime, kompanija je prikupljala osetljive lične podatke svojih zaposlenih neadekvatnom metodom – prisluškivanjem internih konverzacija zaposlenih, tračevima i drugim neadekvatnim izvorima. Visoko osoblje H&M-a steklo je opsežno znanje o privatnom životu svojih zaposlenih u rasponu od prilično bezazlenih detalja do porodičnih pitanja i verskih ubeđenja. Lični podaci su uključivali i medicinske kartone, dijagnoze i simptome bolesti, kao i privatne detalje o odmoru i porodičnim poslovima. Ovako detaljan profil je korišćen za procenu učinka zaposlenih i uticao je na donošenje odluka o njihovom zaposlenju.

 

 

3. TIM – 27,8 miliona evra

 

Italijanski DPA Garante izrekao je 27,8 miliona evra GDPR kazne italijanskom telekomunikacionom operatiru TIM-u, zbog niza prekršaja koji su se nakupili u poslednjih nekoliko godina.

 

Prekršaji TIM-a uključuju razne nezakonite radnje, od kojih većina proističe iz previše agresivne marketinške strategije. Milioni pojedinaca uznemiravani su promotivnim pozivima i neželjenom komunikacijom.

 

Aktivnosti zbog kojih je TIM kažnjen uključuju nepravilno upravljanje spiskovima saglasnosti, prekomerno zadržavanje podataka, povrede podataka, nedostatak odgovarajuće saglasnosti, kršenje GDPR prava.

 

 

4. British Airways – 22 miliona evra

 

ICO je u oktobru izrekao kaznu avio kompaniji British Airways zbog kompromitacije podataka koja se dogodila 2018. godine. Prvobitna namera bila je da iznos kazne bude 204 miliona evra, zbog kršenja člana 31 GDPR-a. Međutim, zbog nedavne pandemije i efekta koji je ista imala na avio-industriju, kazna je smanjena na 22 miliona.

 

Sistemi kompanije bili su kompromitovani. U tih nekoliko meseci veb lokacija British Airways-a preusmerila je saobraćaj korisnika na veb stranicu hakera, što je rezultiralo krađom opsežnih ličnih podataka više od 400.000 kupaca.

 

Prema službenoj izjavi ICO-a, istraga je utvrdila da avio-kompanija obrađuje značajnu količinu ličnih podataka bez adekvatnih mera bezbednosti čime se prekršio zakon o zaštiti podataka. Nakon ovoga, British Airways je bio predmet sajber napada tokom 2018. godine, koji nije trajao duže od dva meseca.

 

Informacije koje su kompromitovane uključuju podatke o prijavi, platnoj kartici i rezervaciji putovanja, kao i informacije o imenima i adresama.

 

Prema ICO-u, ovaj napad je mogao biti sprečen da je kompanija imala adekvatne bezbednosne mehanizme. Međutim, British Airways, ne samo da nije imao odgovarajuće mere za zaštitu svojih sistema, mreža i podataka, već, u vreme napada, nisu imali ni osnove poput višefaktorkse autentifikacije.

 

 

5. Marriot – 20,4 miliona evra

 

Hotelski lanac Marriot imao je situaciju da su izloženi lični podaci gostiju, tačnije, 339 miliona evidencija gostiju, od kojih je 31 milion stanovništvo evropskog ekonomskog prostora.

 

Hakovanje se dogodilo u sistemu rezervacija Starwood grupe još 2014. godine. Marriot je akvizirao Starwood 2016, a tek 2018. je hakovanje otkriveno.

 

ICO je utvrdio da Marriot nije obavio odgovarajuću dubinsku analizu nakon akvizicije Starwood-a. Trebalo je da usvoje adekvatniju strategiju za zaštitu svojih informacionih sistema.

 

 

Ne možemo da ne pomenemo i Amazon. Ubedljivo najveća kazna ikada za nepoštovanje GDPR-a izrečena je prošlog meseca upravo ovoj kompaniji. Njen iznos je neverovatnih 746 miliona evra.

 

Ova paprena kazna koju je izrekla Nacionalna komisija za zaštitu podataka sa sedištem u Luksemburgu, skoro da je duplo veća od svih ostalih GDPR kazni zajedno.

 

Ne postoji dovoljno informacija o tome na šta se tačno odnosi ova kazna. Francuska advokatska grupa koju predstavlja 10.000 ljudi utvrdila je da Amazonov sistem za oglašavanje nije zasnovan na „slobodnom pristanku“.

 

Amazon je izjavio da nije došlo do povrede podataka i najavio da će na ovu kaznu uložiti žalbu. Da li će doći do isplate ove astronomske svote novca, ostaje da se vidi.

 

 

Iako sada možda deluje da je GDPR preplavio i opteretio organizacije, na duže staze očekuje se bolji user experience, manje kompromitacije podataka i veće poverenje između korisnika i organizacija u pogledu ličnih podataka.

 

Najjednostavniji i najočigledniji način da se kompanija zaštiti od GDPR kazni, ali i da utiče na jačanje sopstvene reputacije, jeste usklađenost sa GDPR regulativom u što većoj meri.

 

Da li kompanije u Srbiji poštuju GDPR i Zakon o zaštiti podataka o ličnosti?
Kakva je situacija sa vašom kompanijom? Zakon predviđa izuzetno visok nivo odgovornosti za sve entitete koji prikupljaju i obrađuju lične podatke.

Za više informacija o tome kako vam Sky Express kompanija, regionalni lider u oblasti sajber bezbednosti, može pomoći u usaglašavanju sa GDPR-om, kontaktirajte nas na
prodaja@sky-express.rs

*Izvor: www.msn.com; www.tessian.com

Poslednji blogovi