GDPR: Evo zašto je kažnjen Booking.com

Nizozemsko nadzorno tijelo za zaštitu podataka izreklo je kaznu u iznosu od 475.000 EUR tvrtki Booking.com radi nepoštivanja roka za prijavu povrede osobnih podataka od 72 sata nakon saznanja o toj povredi.

SLUČAJ BOOKING.COM
Booking.com je 13. siječnja 2019. imao saznanje da je žrtva „phishing“ napada putem kojeg su kompromitirani osobni podaci više od 4.000 korisnika, uključujući i pojedinosti o kreditnim karticama gotovo 300 korisnika. Međutim, o tome je nadzorno tijelo izvijestio tek 22 dana kasnije i time počinio povredu Opće uredbe (GDPR), objavilo je Nizozemsko nadzorno tijelo LINK.

POVREDA PODATAKA I GDPR
Općom uredbom o zaštiti podataka zahtijeva se da, u slučaju povrede, voditelj obrade (u konkretnom slučaju Booking.com) bez nepotrebne odgode obavijesti nadzorno tijelo najkasnije u roku od 72 sata nakon što je saznao za povredu, osim ako nije vjerojatno da će povreda prouzročiti rizik od nastanka negativnih učinaka za pojedince čiji su podaci kompromitirani. Tijekom tog razdoblja voditelj obrade trebao bi procijeniti vjerojatni rizik za pojedince te koje su mjere potrebne za rješavanje problema povrede.

Moguće je da voditelj obrade već ima početnu procjenu potencijalnog rizika koji bi povreda mogla prouzročiti, a ta procjena postoji u okviru procjene učinka na zaštitu podataka. Međutim, procjena učinka na zaštitu podataka može biti općenitija u usporedbi s konkretnim okolnostima stvarne povrede pa će stoga u svakom slučaju biti potrebno provesti dodatnu procjenu uzimajući u obzir te okolnosti te ako je vjerojatno da će nastati negativni učinci voditelj obrade treba što prije u razumnim granicama, obavijesti i pogođene pojedince o povredi.

Kada se točno može smatrati da je voditelj obrade „saznao” za određenu povredu ovisit će o okolnostima konkretne povrede. Međutim, naglasak bi trebalo staviti na hitno djelovanje kako bi se incident istražio i kako bi se poduzele mjere za popravljanje štete te prema potrebi obavijestilo o povredi osobe čiji osobni podaci su povrijeđeni.

PRAKTIČNE PREPORUKE ZA POVREDU PODATAKA
Iako su voditelji obrade i izvršitelji obrade odgovorni za uspostavljanje primjerenih mjera za sprečavanje povreda, reagiranje na njih i njihovo otklanjanje, postoje određene praktične mjere koje bi trebalo poduzeti u svim slučajevima.

• Informacije koje se odnose na sve događaje povezane sa sigurnošću trebale bi biti usmjerene prema odgovornoj osobi ili osobama čiji je zadatak odgovor na incidente, utvrđivanje postojanja povrede i procjenjivanje rizika.
• Potom bi trebalo procijeniti rizik za pojedince koji je prouzročen povredom (vjerojatnost da rizik ne postoji, postoji ili da postoji visoki rizik), pri čemu je potrebno obavijestiti relevantne odjele unutar organizacije.
• Ako se to zahtijeva, o povredi bi trebalo obavijestiti nadzorno tijelo, a možda i pogođene pojedince.
• Istodobno bi voditelj obrade trebao djelovati kako bi obuzdao povredu i otklonio njezine posljedice.
• Povredu bi trebalo kontinuirano dokumentirati tijekom njezina trajanja.

VAŽNOST PRAVOVREMENOG INFORMIRANJA NADZORNOG TIJELA
U skladu s tim, trebalo bi biti jasno da je voditelj obrade obvezan djelovati povodom svakog početnog upozorenja i utvrditi je li stvarno došlo do povrede. U tom kratkom razdoblju omogućuje se da voditelj obrade provede kratku istragu te prikupi dokaze i ostale relevantne pojedinosti. Međutim, nakon što voditelj obrade s razumnim stupnjem sigurnosti utvrdi da je došlo do povrede, i ako su ispunjeni potrebni uvjeti, on mora obavijestiti nadzorno tijelo bez nepotrebne odgode i, ako je izvedivo, najkasnije u roku od 72 sata. Ako voditelj obrade ne reagira pravodobno i ako postane očito da je došlo do povrede, to se može smatrati neobavješćivanjem

POVREDA PODATAKA SE MOŽE DOGODITI SVAKOME
Povrede osobnih podataka se događaju čak i kada su poduzete dobre mjere zaštite. No, bitno je pravodobno reagirati i u skladu s pravilima Opće uredbe postupati kada se takve povrede dogode kako bi se ublažile negativne posljedice i moguće kažnjavanje.