GDPR Cookie Consent by Free Privacy Policy

GDPR u praksi: Evo zašto je izrečena novčana kazna zaštitarskoj tvrtki u Hrvatskoj

GDPR u praksi: Evo zašto je izrečena novčana kazna zaštitarskoj tvrtki u Hrvatskoj
ZAŠTITA PODATAKA
SEEbiz.eu - regionalni poslovni portal
Objavljeno: 24.02.2021 / 20:10
Autor: Ines i Marko Krečak, Centar Feralis
KOLUMNA - Agencija za zaštitu osobnih podataka (AZOP) na svojoj web stranici navodi da je donijela rješenje kojim se jedno od vodećih zaštitarskih društava sa sjedištem u Zagrebu kao izvršitelju obrade, izriče upravna novčana kazna zbog povrede Opće uredbe o zaštiti podataka, točnije zbog nepoduzimanja odgovarajućih tehničkih mjera sigurnosti obrade osobnih podataka.

AZOP navodi da je zaposlenik zaštitarskog društva, koje obavlja poslove tehničke i fizičke zaštite, snimio mobilnim uređajem snimku videonadzora s nadzornog ekrana te je podijelio s trećom osobom, nakon čega je snimka dospjela na društvene mreže i u medije. Posljedično, osoba čiji podaci su se nalazili na video snimci bila je izložena uvredama, podsmijehu i izrugivanju u javnosti, što je moglo prouzročiti određenu nematerijalnu štetu, odnosno utjecati na njezin duševni integritet.

Zaštitarsko društvo nije poduzelo bilo kakve radnje kako bi se sporna snimka uklonila s društvenih mreža, što ukazuje da nisu poduzeli odgovarajuće mjere sigurnosti prije ni nakon nastanka incidenta. Također, kao otegotnu okolnost AZOP navodi činjenicu da zaštitarsko društvo nije na vrijeme obavijestilo voditelja obrade o nastalom incidentu, već se samo očitovalo o tome tek nakon što je voditelj obrade zatražio informacije o incidentu. Time je također došlo do povrede odredbi Opće uredbe. Sve navedeno je dodatno utjecalo na izricanje i visinu novčane kazne.

Naime, u slučaju incidenta poslovni subjekt (voditelj/izvršitelj obrade) dužan je poduzeti sve dostupne mjere kako bi smanjio utjecaj incidenta na prava osobe čiji su podaci kompromitirani. To znači da je incident potrebno analizirati u odnosu na utjecaj koji ima na prava i slobode pojedinca, kako bi se poduzele primjerene akcije za ublažavanje svih posljedica i pravodobno poslala komunikacija prema voditelju, (AZOP-u i ispitanicima – ovisno o težini i razmjerima incidenta). Akcije bi trebale obuhvaćati i mjere koje će maksimalno smanjiti mogućnost od ponavljanja incidenta, a po njihovoj implementaciji poželjno je provjeriti provode li se na primjeren način.

U konkretnom primjeru bilo bi potrebno, između ostaloga, zatražiti uklanjanje snimke s društvenih mreža i obavijestiti one subjekte koji su takvu snimku dijelili da obavijeste svoje kontakte i zatraže uklanjanje sporne snimke i drugo, kako je riječ o izvršitelju obrade, isti je dužan neodgodivo obavijestiti voditelja obrade čije podatke obrađuje sa svim detaljima incidenta.

S obzirom na prirodu incidenta, potrebno je izvršiti sve potrebne provjere jesu li postojale primjerene mjere ili je riječ o propustu u proceduri, te poduzeti mjere kako bi se mogućnost ponavljanja minimizirala ili u potpunosti otklonila te predložiti komunikaciju. Dobro je spomenuti da je svaki incident potrebno ažurirati u evidenciji incidenata, koja se lokalno vodi u kompaniji i daje na uvid Nadzornom tijelu po njihovom zahtjevu.

Premda Uredba ne propisuje, odluka o prijedlogu mjera incidenta i komunikacije ima utjecaj na cjelokupnu organizaciju, pa prijedlog organizacijama može biti i propisivanje u interne protokole obavezno informiranje odgovorne osobe ili Uprave kompanije za čitavo vrijeme trajanja incidenta.

Pored navedenog, bitno je voditi računa da je za svaki odnos s vanjskim izvršiteljem, kao u ovom slučaju sa zaštitarskim društvom koje provodi videonadzor poslovnog subjekta, sklopljen sporazum o obradi osobnih podataka ili drugi akt kojim su uređeni zahtjevi iz Opće uredbe, te da se periodički vrše provjere izvršitelja o sigurnosnim mjerama koje provodi kako bi se smanjili mogući incidenti. Kada do incidenta i dođe tako bi se na ispravan način reagiralo i smanjio rizik za prava ispitanika te na taj način izbjegle moguće kazne i naknade šteta.

Kada je riječ o voditelju obrade, bitan element je i njegov interni proces nabave za odabir izvršitelja. Kada takav proces nabave ima propisane jasne kriterije o potrebnoj usklađenosti vanjskog izvršitelja prije odabira I ugovaranja, u znatnoj mjeri osigurava svoje poslovanje od situacija opisanih u slučaju.

Općenito, incidenti povrede osobnih podataka imaju mogućnost da se dogode u svakoj organizaciji, bez obzira na razinu usklađenosti. No, kada se incident i dogodi, važno je znati postupati s incidentnom situacijom, a to podrazumijeva imati jasne procedure za incidente koja uključuje između ostalog procjenu incidenta, prijedlog mjera za ublažavanje incidenta i da se smanji mogućnost ponavljanja te komunikaciju prema voditelju obrade i ostalim subjektima u incidentu te prema potrebi nadzornom tijelu ili ispitanicima.

Zaključno, uspjeh visoke učinkovitosti rješavanja svakog incidenta počiva na potrebnoj razini usklađenosti cjelokupne organizacije.

Tagovi: GDPR, zaštitarsko društvo, Agencija za zaštitu osobnih podataka, videonadzor, društvene mreže, neovlašteno snimanje
PROČITAJ I OVO
Ako su mogli Tesla i GameStop, zašto ne bi mogao i dogecoin
TRŽIŠTE I FUNDAMENTI
Ako su mogli Tesla i GameStop, zašto ne bi mogao i dogecoin
KOLUMNA - Pseći mem novčić postao je parodija vrijedna više od 50 milijardi dolara, što je jednostavno nevjerojatno. Primjera radi, njegova vrijednost veća je od tržišne kapitalizacije Forda.
Investitori ponovno otkrivaju europske dionice
NOVI ZAMAH
Investitori ponovno otkrivaju europske dionice
ANALIZA - Ekonomski rat između SAD-a i Kine, kao i Rusije, intenzivira se i nastavit će se. Europa je sve više prisiljena odabrati svoju stranu.
Narodni heroj Vili u slobodnom padu
BEZ POTPORE
Narodni heroj Vili u slobodnom padu
KOLUMNA - Pritisak oporbe, Veledrogerija, pa i KoHOM-a, Berošu ostavljaju sve manje prostora na dasci broda koji se opasno nakrivio u dužničkoj oluji. Narodni heroj Ljiljan Beroš Vidić tako postaje nepoželjnim antijunakom koji nije odolio čarima zapovjedne ''odgovornosti''.
Dogecoin u zamci teorije veće budale
KRIPTO EUFORIJA
Dogecoin u zamci teorije veće budale
KOLUMNA - Tržišna kapitalizacija dogecoina (usput rečeno: za razliku od bitcoina ima neograničenu ponudu) približila se prilično razini od 50 milijardi dolara, čineći ovu kovanicu neko vrijeme čak i među pet najvećih kriptovaluta.
Neslužbeni plan podjele BiH opet potpirio stare vatre na Balkanu
STARE TENZIJE
Neslužbeni plan podjele BiH opet potpirio stare vatre na Balkanu
KOMENTAR - Neslužbeni plan podjele BiH podigao je prašinu na Zapadnom Balkanu. EU se mora odlučno pozicionirati protiv takvih scenarija.
@ 2020 SEEbiz. All Rights Reserved.
CLOSE