GDPR godinu dana kasnije: koje su pouke i kakve perspektive?

Pravni nadzor – lipanj 2019.

Dana 25. svibnja 2018. stupila je na snagu Opća uredba o zaštiti podataka.

Ovaj novi tekst donio je brojne promjene u poslovnim praksama, bilo na razini njihove interne organizacije ili kontakata s njihovim kupcima.

Iako je zaštita podataka ugrađena u pravni okvir od 1978. u Francuskoj i 1995. na europskoj razini, ova je Uredba dala novi poticaj onome što predstavlja i ljudsko pravo i ekonomsko pitanje. A financijske kazne predviđene novim tekstom nisu strano tome.

Kakva je praktična situacija u pogledu usklađenosti, djelovanja CNIL-a i njegovih europskih kolega?

U Francuskoj je došlo do dramatičnog porasta pritužbi, sigurnosnih obavijesti i zahtjeva za informacijama upućenih CNIL-u. Krajem svibnja nadzorno tijelo objavilo je statističko izvješće o prvoj godini, u kojem je navedeno više od 11.900 pritužbi (+30 %) i 2.044 obavijesti o povredi podataka. CNIL također nastavlja istraživati brojne slučajeve, od kojih se neki odvijaju u suradnji s europskim susjedima. Stoga je uključen u 800 transnacionalnih postupaka.

Dok podržava tvrtke u njihovim naporima za usklađivanje, CNIL je također izrekao brojne sankcije. Pogledajmo pobliže neke od njih:

• Najspektakularnija sankcija je nesumnjivo ona izrečena Googleu, u rekordnom iznosu od pedeset milijuna eura.

• Dvije druge, mnogo skromnije sankcije ipak zaslužuju poseban interes jer su iznesene pred Državno vijeće, koje je ispitalo njihovu proporcionalnost.

• U jednom od slučajeva od 17. travnja 2019., Državno vijeće potvrdilo je kaznu od 75.000 eura: nakon formalne obavijesti i nekoliko ponovljenih zahtjeva CNIL-a, Adef (Udruga za razvoj domova) još uvijek nije ispravila sigurnosni propust koji je omogućavao online pristup dokumentima podnositelja zahtjeva za stanovanje. Vrijeme koje je udruzi bilo potrebno za provedbu potrebnih korektivnih mjera bilo je jedan od odlučujućih čimbenika za Državno vijeće.

• U drugom slučaju, također od 17. travnja 2019., Državno vijeće smanjilo je iznos kazne koju je CNIL izrekao tvrtki Optical Center: tvrtka je zapravo ispravila sigurnosni propust u roku od dva dana od obavijesti CNIL-a koji je omogućio pristup računima kupaca putem njezine web stranice. Kazna je smanjena s 250.000 na 200.000 eura.

• Ovaj kratki pregled zaključit ćemo najnovijom sankcijom od 13. lipnja 2019., ovaj put značajnom jer se odnosi na vrlo malo poduzeće: tvrtka Uniontrad postavila je sustav video nadzora koji je njezine zaposlenike stavio pod stalni nadzor.

U ovom slučaju, CNIL je također dva puta upozorio tvrtku prije nego što joj je formalno naredio da promijeni svoje prakse, a da potrebne mjere nisu poduzete do kraja zadanog roka. Dana 18. lipnja CNIL je izdao administrativnu kaznu od 20.000 eura, uzimajući u obzir veličinu i financijsku situaciju tvrtke.

Zaključak iz ovih različitih slučajeva jest da će i multinacionalne kompanije i manja poduzeća ili udruženja vjerojatno biti predmet sankcija. Nadalje, sve odluke ističu važnost reakcije kontrolora podataka kada se otkrije kršenje propisa i utjecaj te reakcije na iznos bilo kakve potencijalne sankcije.

A što je s našim europskim susjedima?

Svi pokazatelji pokazuju porast pritužbi i istraga tijela za zaštitu podataka, kao i iznosa sankcija.

U svim tijelima za zaštitu podataka u Europskom gospodarskom prostoru postoji nešto više od 280 000 slučajeva, uključujući otprilike 144 000 pritužbi i 89 sigurnosnih propusta. Krajem svibnja pod istragom je bilo 371 tijelo za zaštitu podataka.

Inicijativa za popis različitih sankcija na europskoj razini, koju je ažurirala njemačka konzultantska tvrtka, pruža globalni pregled djelovanja nadzornih tijela: https://www.enforcementtracker.com.

Najviše kazne, osim one koju je CNIL usvojio u vezi s Googleom, izrekao je Portugal, koji je bolnici izrekao kaznu od 400.000 eura zbog nezaštite podataka pacijenata; CNIL je također izrekao kaznu od 400.000 eura agenciji za nekretnine; te Španjolska u vezi s aplikacijom za pametne telefone koja tajno koristi mikrofone telefona pojedinaca. Španjolska profesionalna nogometna liga kažnjena je s 250.000 eura zbog ovog prekršaja i uložila je žalbu na tu odluku.

Prema koordinaciji javnih tijela izvan GDPR-a?

Značajan novi razvoj odnosi se na suradnju javnih tijela s ciljem povećanja njihove koherentnosti i učinkovitosti. Te se inicijative posebno odnose na tijela za zaštitu podataka, ona odgovorna za pitanja tržišnog natjecanja i ona odgovorna za zaštitu potrošača.

Rasprave, koje je 2016. godine pokrenuo Europski nadzornik za zaštitu podataka u sklopu projekta „digitalne klirinške kuće“, sada orkestrira akademski sektor, a podržava ih rezolucija Europskog parlamenta.

Projekt sada okuplja tijela iz Europe, kao i s drugih kontinenata. Razvijene sinergije usredotočuju se na zaštitu pojedinaca u kontekstu digitalnog gospodarstva i "velikih podataka". Sastanak 5. lipnja 2019. okupio je 25 nadzornih tijela iz Europske unije i drugih zemalja. Raspravljalo se o dva glavna pitanja, koja se tiču Facebooka i Microsofta. Tijela također usmjeravaju svoje rasprave na razvoj usluga s nemonetarnom naknadom. Drugim riječima, u kojoj mjeri možemo prihvatiti da pojedinci plaćaju svojim podacima u zamjenu za digitalnu uslugu?

Konkretne smjernice o ovom pitanju očekuju se na jesen, nakon sljedećeg sastanka nadzornih tijela. To bi mogao biti značajan razvoj događaja s obzirom na izazove digitalnog gospodarstva.

I također:

• U Francuskoj: CNIL objavljuje novu verziju svog alata usmjerenog na pomoć kontroloru podataka u analizama učinka (AIPD).

• u Europi Prema strožem tumačenju pravila elektroničkog istraživanja? Nekoliko nadzornih tijela najavilo je da preispituju svoje tumačenje u vezi s dobivanjem privole ispitanika i kolačićima. To uključuje Belgiju, Francusku, Ujedinjeno Kraljevstvo i Nizozemsku. Treba napomenuti da je Europski odbor za zaštitu podataka već u priopćenju za javnost iz svibnja 2018. izričito presudio protiv korištenja „zidova kolačića“, koji uvjetuju pristup web stranici privolom posjetitelja.

• u svijetu: Kako bi procijenio potrebu za zakonom koji regulira algoritme, Odbor za trgovinu američkog Senata ispitao je tijekom saslušanja 25. lipnja kako tvrtke poput Googlea, YouTubea i Facebooka koriste umjetnu inteligenciju za utjecaj