GDPR Cookie Consent by Free Privacy Policy

GDPR: Što tvrtke mogu očekivati u postupku nadzornog tijela zbog kršenja uredbe?

GDPR: Što tvrtke mogu očekivati u postupku nadzornog tijela zbog kršenja uredbe?
KRŠENJE PRAVILA
SEEbiz.eu - regionalni poslovni portal
Objavljeno: 20.05.2021 / 18:34
Autor: Ines i Marko Krečak, Centar Feralis
KOLUMNA - Iako novčano kažnjavanje nije nikada samo sebi svrha, u prirodi pojedinca je sposobnost mijenjanja razmišljanja i navika kada se za određenu zakonsku normu propišu visoke novčane kazne.

U poslovanju vrijedi slično pravilo koje kaže da se snaga regulatorne norme mjeri visinom novčane kazne. Unatoč prereguliranom tržištu, poduzetnici uz pomoć stručnih osoba pronalaze načine kako poslovati u okvirima zakona. Zakonske norme su, unatoč svojoj nepopularnosti, po prirodi okvir koji su poslodavci dužni poštovati s manjim utjecajem na suštinski dizajn poslovanja, pa su formati, metode I rokovi za poštivanje jasni i jednoobrazni, a novčane kazne ili rasponi su dovoljno egzaktni da poduzetnici imaju konkretnu sliku rizika za svoje poslovanje.

GDPR I POSLOVNI SUBJEKTI

Kada govorimo o primjeni Opće uredbe (GDPR) u poslovanju, situacija može izgledati drugačije. U prvom redu, Opća uredba je krovni okvir Europske unije kojemu se prilagođavaju svi drugi zakoni Unije, ali i nacionalna zakonodavstva u pogledu zaštite osobnih podataka. Pored novih obveza za subjekte (poput ostvarivanja prava za pojedince, formiranja evidencija aktivnosti obrade i upravljanja povredama) u osnovi regulira što sve može biti osobni podatak, kako se prikuplja, obrađuje, razmjenjuje i pohranjuje propisujući mjere zaštite i sigurnosti u obradi. To znači da ima direktni utjecaj na kreiranje i promjene kod partnerskih odnosa, radnih odnosa, poslovnih procesa, pravila pristupa osobnim podacima te IT sustava za razmjenu i pohranu podataka. Kako se svi segmenti poslovanja neprestano unaprijeđuju, promjenom postojećih ili stvaranjem novih, poslovanje je glavni okidač trajne prisutnosti GDPR u samom kreiranju poslovanja.

Unatoč određenim prednostima u poslovanju, većina subjekata je prilagodila svoje poslovanje Općoj uredbi radi zakonitosti poslovanja i samog izbjegavanja novčanih kazni. A kada govorimo o novčanim kaznama, treba naglasiti da ne postoje jasno definirani iznos ili raspon. Međutim, postoje Smjernice o primjeni i određivanju upravnih novčanih kazni za potrebe Uredbe 2016/679 koje govore što sve nadzorno tijelo ima na raspolaganju I kako može procijenjivati prilikom određivanja odgovarajuće korektivne mjere.

Nakon što se utvrdi da je došlo do kršenja Uredbe, nadzorno tijelo određuje najprikladnije korektivne mjere čije je izricanje učinkovito, proporcionalno i odvraćajuće kako bi se opet poštovala Uredba ili kaznilo nezakonito ponašanje a moguće i oboje.

PROCJENA KRŠENJA

Prilikom procjene, uzimaju se u obzir priroda, težina i trajanje kršenja. Pokazatelj težine kršenja može biti ne samo priroda kršenja, već i opseg, svrha predmetne obrade kao i broj pojedinaca i razina štete koju su pretrpjeli. Broj pojedinaca bi se trebao gledati proporcionalno (npr. od ukupnog broja korisnika), a ukoliko je pretrpljena šteta zbog kršenja Uredbe, tada bi se to trebalo uzeti u obzir pri odabiru korektivne mjere bez obzira što nadzorno tijelo ne određuje naknade za pretrpljenu štetu.

Jedan od kriterija prilikom procjenjivanja kršenja je i da li je nastala namjerom ili nepažnjom.

Namjerno kršenje može uključivati nezakonitu obradu koju je izričito naložila uprava voditelja obrade ili onu koja se obavlja suprotno savjetu službenika za zaštitu podataka, ili koja se obavlja zanemarajući postojeće propisane mjere.

Primjeri nepažnje mogu biti ljudska pogreška, nepravovremena primjena tehničkih ažuriranja i slično.

Iako će ponekad biti teško razlučiti namjeru od nepažnje, to ne znači da će se kao opravdanje moći upotrijebiti razlog da subjekt nije imao dovoljno resursa za provedbu Uredbe i sprječavanje kršenja.

Nadzorno tijelo će procijeniti je li ponašanje subjekta bilo odgovorno ili ne prilikom odabira korektivnih mjera te tijekom izračuna visine sankcije koja će se izreći u određenom slučaju, pa je dobro spomenuti kako otegotne i olakotne okolnosti mogu igrati važnu ulogu u odabiru odgovarajuće korektivne mjere. Zbog toga je važno da kada dođe do kršenja i ispitanik pretrpi štetu, subjekt učini sve što je u svojoj moći da ublaži posljedice koje bi kršenje moglo imati na predmetne pojedince.

Primjeri takvog pozitivnog ponašanja iz regulatorne prakse može biti kontaktiranje trećih strana koji su možda sudjelovali u daljnjoj obradi ili pravodobno djelovanje subjekta kako bi se spriječilo daljnje kršenje po kojoj bi posljedice bile daleko ozbiljnije.

PROCJENA STUPNJA ODGOVORNOSTI

Pri određivanju stupnja odgovornosti subjekta može se voditi računa o sljedećim pitanjima:

• Je li subjekt proveo tehničke i organizacijske mjere u skladu s načelima tehničke ili integrirane zaštite podataka kao i mjere za postizanje primjerene razine sigurnosti
• Jesu li svi odgovorni upoznati s rutinskim postupcima zaštite podataka / politikama i primjenjuju li se oni na odgovarajućoj rukovodećoj razini u organizaciji?

Na osnovi toga nadzorno tijelo procjenjuje u kojoj je mjeri voditelj obrade napravio sve što je bilo u njegovoj mogućnosti. Tijekom te procjene trebali bi se uzeti u obzir standardi poslovanja i kodeksi ponašanja u odgovarajućem sektoru ili struci, iz kojih se može naslutiti koja je uobičajena praksa kao i koja je razina znanja o načinima rješavanja karakterističnih sigurnosnih situacija.

Treba napomenuti da i sva prijašnja kršenja, bez obzira na prirodu utječu na procjenu konkretne situacije, jer mogu osnovano upućivati na općenito nepoznavanje razumijevanja i primjene Uredbe u poslovanju.

PROCJENA STUPNJA SURADNJE

Premda Uredba ne daje konkretan odgovor na pitanje kako treba vrednovati stupanj suradnje prilikom određivanja korektivne mjere, ako su postupci subjekta ograničili ili u potpunosti poništili negativni utjecaj takvo djelovanje bi se moglo uzeti u razmatranje pri odabiru korektivne mjere. Primjer takve suradnje bi mogli biti učinkoviti odgovori subjekta na zahtjeve nadzornog tijela tijekom inspekcijskog nadzora, a koji su doveli do smanjenja negatiuvnog utjecaja na prava pojedinaca.

KATEGORIJE PODATAKA I SURADNJA S NADZORNIM TIJELOM

Kada govorimo o samim osobnim podacima koji su predmet kršenja, nadzorno tijelo će svakako pokušati utvrditi odnosi li se kršenje na obradu posebnih kategorija podataka, mogu li se isti povezati direktno s pojedincima, da li su kršenjem neposredno ugrožena prava pojedinaca te da li su podaci bili s odgovarajućom tehničkom zaštitom kriptirani ili ne.

Kada voditelj obrade ustanovi da je došlo do kršenja, neovisno o razini saznanja o samom kršenju bez odgađanja je obvezan obavijestiti nadzorno tijelo. Otegotna okolnost bi se uzelo ako je nadzorno tijelo saznalo o kršenju od trećih strana (npr. iz medija, anonimnom dojavom i sl). Ali, ako je voditelj obrade obavijestio s odgađanjem od trenutka saznanja ili nije naveo sva saznanja se također može uzeti kao otegotna okolnost.

OSTALI ELEMENTI

Od ostalih elemenata koji bi se mogli uzeti u obzir kada se odlučuje je li primjereno izreći upravnu novčanu kaznu za kršenje odredbi, ostvarena financijska dobit ili druga vrsta tržišne prednosti koja je ostvarena kršenjem može upućivati na odluku o izricanju upravne novčane kazne.

ZAKLJUČAK

Proces izricanja korektivnih mjera i upravnih novčanih kazni je dugotrajan i neprekidno se usavršava na razini Europske unije. Kršenje Uredbe se u dinamici poslovanja može nenamjerno dogoditi i subjektima s najvišom razinom usklađenosti. No, kad se i dogodi, znatno širi spektar elemenata se uzima prilikom procjene. Zbog toga su prilagodba poslovanja, konkretno provođenje unutar organizacije i kontinuirano preispitivanje usklađenosti s Uredbom najbolje i jedino isplativo rješenje da čak i kada se dogode kršenja postoje mehanizmi i argumentacija kojom će nadzorno tijelo izreći učinkovitu, proporcionalnu i odvraćajuću korektivnu mjeru koja će i kao takva imati najmanji mogući negativni učinak na poslovanje organizacije.

Tagovi: GDPR, zaštita podataka, Opća uredba
PROČITAJ I OVO
Sjajna godina za Ljubljansku burzu, NLB najveća dobitnica
OPTIMIZAM
Sjajna godina za Ljubljansku burzu, NLB najveća dobitnica
ANALIZA - Središnji indeks Ljubljanske burze SBITOP i ove je godine pokazao stabilnost i profitabilnost uz minimalnu zaduženost poduzeća i povoljne cijene dionica.
Politička nestabilnost trese europska tržišta
NEIZVJESNOST
Politička nestabilnost trese europska tržišta
KOLUMNA - Nakon nedjeljnih izbora vodeće europske burze skliznule su, posebice su pale dionice banaka u Parizu.
ECB povukao ključni potez; inflacija i dalje prijeti
NIŽI TROŠKOVI FINANCIRANJA
ECB povukao ključni potez; inflacija i dalje prijeti
ANALIZA - U SAD-u se ekonomija hladi samo zbog povećanja kamata. Podaci o realnom BDP-u za prvo tromjesečje 2024. revidirani su naniže na 1,3 posto, s početne procjene od 1,6 posto.
Predviđanja za iduće razdoblje: Koje su dobre investicijske prilike?
INVESTICIJE
Predviđanja za iduće razdoblje: Koje su dobre investicijske prilike?
ANALIZA - Jeste li se zapitali gdje investirati svoj novac u narednom periodu? Sigurno da je ovo velika dilema, i da je potrebno pažljivo proučiti sve opcije.
Koliko je održiv ovakav tržišni optimizam?
VISOKI PRINOSI
Koliko je održiv ovakav tržišni optimizam?
KOLUMNA - Budući da su njujorške burze na krilima dionica AI kompanija poput Nvidije koje postavljaju rekorde i hvale se visokim dugoročnim prinosima, razumno je zapitati se koliko ovo još može trajati. Hoće li sljedeće desetljeće biti jednako profitabilno?
@ 2020 SEEbiz. All Rights Reserved.
CLOSE