Ako još niste pročitali članke iz GDPR-a koji se bave kaznama (članci 58. i 83.), i ako se smatrate dovoljno smirenim za to, možete ih pronaći ovdje. Osjećaj blaženog neznanja zamijenit će nevjerica, a potom (vjerujemo) šok. Koliko ono piše? 20 milijuna eura? Jesu oni normalni? I tako dalje…
Da, kazne zaista jesu tolike i ne, to nije šala. Razumijemo strah koji mnoge tvrtke osjećaju i želimo vam pomoći da iste izbjegnete. Zato vam donosimo vodič kroz službene smjernice Radne skupine za zaštitu podataka iz čl. 29 koje će nadzornim tijelima služiti kao jedan od glavnih dokumenata kojeg će se morati držati.
Dosljednost u kažnjavanju
Nasreću, Radna skupina za zaštitu podataka iz čl. 29. (WP29) u zadnje se vrijeme primila posla. Njihove smjernice o kaznama zapravo se tiču nadzornih tijela. Ipak, mišljenja smo da je korisno i za poduzeća jer se u smjernicama jasno navode kriteriji kažnjavanja po kojima će nadzorna tijela trebati djelovati.
Cilj Radne skupine jest osigurati konzistentnu primjenu sankcija iz GDPR-a u cijeloj Europskoj uniji, pa je dokument na neki način propis kojeg se trebaju držati sva nadzorna tijela. Na tome će se sigurno inzistirati jer je jedan od glavnih ciljeva GDPR-a upravo osiguravanje konzistentnosti.
Ni u ovim smjernicama ne može se pronaći pregršt praktičnih primjera, no objašnjavaju podosta toga.
Koji su kriteriji?
Kako smo i pretpostavili, nadzorna tijela prilikom odlučivanja o kaznama u obzir će uzeti sve okolnosti prekršaja kako bi odredili odgovarajuću visinu kazne. Nijedan slučaj nije isti, pa postoji nekoliko čimbenika koje trebaju razmotriti.
Na prvi vam pogled utjehu može predstavljati činjenica da kazne trebaju imati odvraćajuću funkciju i ne bi smjele biti veće od iznosa za koji se smatra da će ispuniti tu svrhu, ali s druge strane trebaju biti i proporcionalne težini prekršaja.
Priroda i težina prekršaja
Što je prekršaj teži, to su u pravilu i kazne veće. Popis prekršaja razmjerno je iscrpan, no ne bi vam trebao predstavljati iznenađenje. Za manje prekršaje postoji mogućnost opomene umjesto novčanih kazni, no prosudite sami hoće li ipak prevagnuti želja za punjenjem državnog proračuna.
Što utječe na težinu prekršaja? Jedan od glavnih čimbenika jest broj osoba pogođenih prekršajem. Ako se uspostavi da ste prekršili nekoliko odredbi odjednom, očekujte veću kaznu. Svrha obrade također će se uzeti u obzir kako bi se utvrdilo primjenjujete li odgovarajuće mjere zaštite podataka.
Razina štete koju su pretrpjeli ispitanici također se utvrđuje – i ne zaboravite da naknadu štete sami ti ispitanici potražiti mogu sudskim putem!
Trajanje i namjera
Što je duže povreda trajala, to je veća šansa i da je bila namjerna. Tako će barem smatrati nadzorna tijela, opravdano ili ne. Za povredu koja traje nekoliko tjedana još se i dâ razumjeti da nije namjerna, no ako traje mjesecima ili godinama, teško je povjerovati da je nitko nije uočio.
To je pokazatelj da sve tehničke i organizacijske mjere jednostavno nisu na mjestu (inače biste uočili prekršaj). Nadzorna tijela neće popuštati ni u slučaju da inače imate dobro ustrojenu sigurnosnu praksu – to je obaveza i od svakog se očekuje da zadovolji taj minimum.
S druge strane, zaista može doći do nenamjernih prekršaja. Ljudska pogreška nešto je s čime treba računati, a na nadzornim tijelima je da prosude u kolikoj je mjeri ista doprinijela prekršaju.
Upamtite da se nepostupanje prema savjetima DPO-a smatra namjernim kršenjem GDPR-a. Takvi će se prekršaji strogo sankcionirati!
„Iskupljenje?“
Ako vaša tvrtka učini sve što je u njezinoj moći da smanji štetu nastalu povredom podataka, to će se uzeti u obzir. Zato se isplati nadzornom tijelu dojaviti nepravilnosti čim uvidite da je došlo do mogućeg prekršaja. To će biti golema olakotna okolnost. Ako prekršaj ne prijavite, to će se smatrati otegotnom okolnosti.
Čak i ako se utvrdi da ste krivi za prekršaj, pravovremenom reakcijom možete si značajno umanjiti kaznu. Djelovanje s ciljem upozoravanja oštećenih osoba i poduzimanje mjera njihove zaštite vrlo je dobar način za proaktivan pristup problemu. Opet, s druge strane, na recidiviste će se ići s većim kaznama i sankcijama.
Nadzorna tijela također će utvrđivati razinu organizacijskih i sigurnosnih mjera te vaše politike zaštite podataka kako bi utvrdili vaš stupanj odgovornosti za propuste do kojih dođe. Drugim riječima, ako vaša tvrtka izvrši razumne postupke za sprečavanje povreda, a do njih svejedno dođe, kazna će biti manja. U tu je svrhu također potrebno surađivati s nadzornim tijelima.
Podružnice
Većim tvrtkama ovo će zasigurno biti bitno. Naime, tvrtka matica odgovorna je za prekršaje koje počine njihove podružnice. Zato u zakonu i postoji propis o izricanju kazni prema godišnjem prometu koji se primjenjuje i na promet tvrtke matice. Zbog toga je nemoguće „sakriti“ svoje poslovanje, tj. obradu podataka u manju tvrtku sa slabijim prometom i „izvući“ se s kaznama od samo 20 milijuna eura. Znamo da riječ „samo“ u ovom kontekstu zvuči smiješno, ali jedan Facebook bi teoretski za najteže prekršaje mogao platiti i nekoliko stotina milijuna eura.
Zaključak
Valja naglasiti da u smjernicama nema ničeg neočekivanog. Navedene otegotne odnosno olakotne okolnosti logične su i smislene. Svejedno, mogu vam poslužiti kao podsjetnik na dobru praksu koje se treba pridržavati.
Od svih savjeta izdvojili bismo sljedeće kao najvažnije:
- isplati se otvoreno komunicirati s nadzornim tijelima;
- pokušajte smanjiti moguću štetu po ispitanike nastalu zbog vaše povrede;
- podignite razinu zaštite podataka na viši nivo kako do povreda ne bi ni došlo;
- uvijek uvažite savjete svojeg službenika za zaštitu podataka (DPO-a)
Ako postupite u skladu s ovim smjernicama, kazne koje ćete morati platiti bit će neupitno manje od golemih iznosa koje čekaju osobito nepažljive tvrtke. Isplati se uložiti u usklađivanje!
