Privatna tvrtka je kažnjena s 61.500 EUR zbog nepoštivanja više temeljnih obveza iz GDPR-a.

Međutim, važnije je uočiti da je litavsko nadzorno tijelo time htjelo dati jasan signal svim organizacijama koje se GDPR obveza drže samo deklarativno.

Možemo li takav pristup očekivati i u okolnostima našeg domaćeg hrvatskog okruženja?

Nije tajna da se u stručnim krugovima spominje ključnost tog momenta - prve kazne na nacionalnoj razini, kojom se započinje nova faza postizanja opće svjesnosti o obvezama poštivanja GDPR okvira, ne samo na deklarativnoj razini niti na razini izrađenih ili kupljenih obrazaca.

U litavskom slučaju posebnost je ta da se radi o međunarodnoj tvrtki koja se bavi pružanjem usluga plaćanja, i koja je prisutna i izvan granica Litve, konkretno, i u Latviji. Stoga je litavsko nadzorno tijelo usko surađivalo s latvijskim. Evidentno je da je tvrtka, svojim nesmotrenim aktivnostima, izvršila povrede podataka javnim objavama osobnih podataka i nije izvršila prijavu povrede nadzornom tijelu. Konkretno, na njihovim web stranicama su na dva dana bile objavljene transakcije plaćanja njihovih klijenata. Da li tvrtke u Hrvatskoj prijavljuju povrede podataka AZOP-u, ne znamo, ali posljedice neprijavljivanja se u ovom slučaju mogu jasno prepoznati. Dodatno, kažnjena tvrtka u Litvi prekomjerno je prikupljala osobne podatke pojedinaca i zadržavala ih bez ikakvog opravdanja 216 dana.

Još je zanimljiviji slučaj da je upravljanje i državanja IT sustavima i infrastrukturom bilo povjereno SAMO jednoj osobi, razvidno je da nisu primjenjene prikladne tehničke i organizacijske mjere unutar tvrtke.

U konačnici, nadzorno je tijelo zatražilo od tvrtke da dokaže kako ispunjava GDPR obveze i ispunjenje temeljnih načela iz članka 5. GDPR-a, i tvrtka nije bila sposobna to učiniti. Je li tvrtka imala dovoljno stručno osoblje koje bi to moglo osigurati, barem ispravno odabranog službenika za zaštitu podataka. Odgovor se nameće sam po sebi.

 

Pročitajte:

https://edpb.europa.eu/news/national-news/2019/first-significant-fine-was-imposed-breaches-general-data-protection_en