Početak ljeta obilježen rekordnim sankcijama i novim mjerama potpore.

Pravni pregled – srpanj-kolovoz 2019.

Početak ljeta donosi porast temperatura, ali i iznos kazni za kršenje pravila o privatnosti.

Posebno je ICO, britansko nadzorno tijelo, objavilo svoju namjeru uvođenja dviju sankcija („obavijest o namjeri izricanja kazne“) u ukupnom iznosu od preko 280 milijuna funti, protiv hotelske grupe Marriot International u ekvivalentu od 111 milijuna eura i British Airwaysa u iznosu od preko 200 milijuna eura.

U oba slučaja, kršenja GDPR-a uključivala su hakerske napade omogućene propustima u sigurnosti podataka koji su otkrili podatke stotina tisuća korisnika.

ICO je 19. srpnja također kaznio londonskog agenta za nekretnine s 80 milijuna funti jer dvije godine nije uspio prikupiti više od 18.000 podataka o klijentima.

Treba napomenuti da se većina nedavnih sankcija usredotočuje na sigurnosne propuste i ilegalni pristup unutar i izvan tvrtki.

S druge strane Atlantika, Savezna trgovinska komisija Sjedinjenih Država ispregovarala je nagodbu s Facebookom od pet milijardi dolara zbog kršenja privatnosti korisnika interneta.

Ova kazna je bez presedana u povijesti FTC-a i ostaje jedna od najviših koje je ikada izrekla američka država.

Međutim, to ostaje relativno u usporedbi s godišnjim prihodom Facebooka od 55,8 milijardi dolara. U svom priopćenju za javnost od 24. srpnja, FTC detaljnije objašnjava razloge svoje akcije, koji se odnose na nepoštivanje njegovih zabrana zaštite podataka iz 2012. godine.

Uz ovu kaznu, tvrtka je prisiljena restrukturirati svoj model zaštite podataka, uključujući neovisniji nadzorni odbor od izvršnog direktora i stroža pravila za upravljanje aplikacijama trećih strana i korisničkim podacima, posebno u pogledu prepoznavanja lica, upravljanja lozinkama i šifriranja podataka.

Iako nadzorna tijela sve više koriste svoje kontrolne ovlasti, ona također osiguravaju da se prakse tvrtki vode pravnim okvirom.

CNIL je stoga 18. srpnja priopćio pravila koja se primjenjuju na kolačiće, te tragače instalirane na korisničkim terminalima i koji omogućuju posebno ciljano oglašavanje.

CNIL ažurira uvjete potrebne za dobivanje privole korisnika interneta: ta privola više ne može biti implicitna i mora proizaći iz jasne radnje pojedinca.

Zidovi kolačića, koji sprječavaju pristup web-mjestu ako ne prihvaćate kolačiće, su zabranjeni.

Ovo tumačenje valjanosti privole već je pojasnio Europski odbor za zaštitu podataka u priopćenju za javnost iz svibnja 2018.

To potvrđuje i formulacija GDPR-a, a trebalo bi biti dodatno objašnjeno u budućoj uredbi o „privatnosti i elektroničkim komunikacijama“, koja će zamijeniti Direktivu 2002/58/EZ „e-privatnost“.

Nova preporuka CNIL-a razjasnit će praktične postupke za dobivanje suglasnosti, a tvrtkama će se dati šestomjesečno razdoblje prilagodbe kako bi se mogle uskladiti sa zakonom.

I također:

U Europi:

Europska komisija je 24. srpnja objavila izvješće u kojem se godinu dana kasnije analizirala provedba GDPR-a.

U njemu se utvrđuju mjere koje provode nadzorna tijela, jačanje njihove suradnje, kao i napori privatnog sektora u pogledu usklađenosti.

Komisija najavljuje svoju namjeru da podrži te napore raznim alatima kao što su standardne ugovorne klauzule, kodeksi ponašanja i mehanizmi certificiranja, s posebnom pažnjom na mala i srednja poduzeća.

S međunarodne perspektive, Južna Koreja mogla bi biti sljedeća zemlja koja će imati koristi od odgovarajuće razine zaštite koja olakšava prijenos podataka. Komisija razmatra druge vrste multilateralnih sporazuma za olakšavanje međunarodne razmjene podataka.

U svijetu:

• SJEDINJENE AMERIČKE DRŽAVE:

U američkom Senatu poziva se na donošenje saveznog zakona o zaštiti podataka.

Zakon u tom smislu predstavio je senator Ron Wyden u studenom 2018.

Na državnoj razini, Kalifornija je pionir: CCPA, Kalifornijski zakon o privatnosti potrošača, stupit će na snagu 1. siječnja 2020., ali je trenutno podložan izmjenama i dopunama američkog Senata. Često uspoređen s GDPR-om, posebno u pogledu prava ispitanika na informacije i prigovor, razlikuje se posebno po svom opsegu, koji je usmjeren na zaštitu potrošača.

Azija:

Tijekom prve polovice srpnja u Singapuru se održao niz događaja vezanih uz zaštitu osobnih podataka, okupljajući stručnjake iz sektora na različitim mjestima.

 Rasprave na Azijsko-pacifičkom forumu sažeo je IAPP.

Naglašavaju korporativnu odgovornost i nadzor od strane regulatornih tijela.