Ovde je reč o postupku koji je pokrenula irska Komisija za zaštitu privatnih podataka koja je zadužena da nadzire sprovođenje Opšte uredbe o zaštiti podataka o ličnosti (GDPR).

Komisija je u prethodnim godinama otkrila da je američka kompanija kršila propise o zaštiti korisničkih podataka i transferisala ih na neadekvatan način u svoju matičnu zemlju. Nadležni organi u EU su kaznili kompaniju Meta i zahtevali od nje da prestane da krši pravo na privatnost evropskih korisnika Facebook-a, društvene mreže koja je u vlasništvu ove kompanije. Za prilagođavanje na novi način funkcionisanja ostavili su joj pet meseci, mada pojedini stručnjaci kažu da to neće biti nimalo lak posao i da bi čak moglo doći i do brisanja podataka.

Osim što će morati da menja način na koji radi sa podacima, kompanija će platiti i kaznu od 1,2 milijarde dolara koja je najveća novčana kazna izrečena za povredu privatnosti od strane tehnoloških giganata.

Šta se zapravo desilo?

Kompanija Meta nije dovoljno dobro zaštitila korisničke podatke koji su transferovani u SAD, te su do njih mogla doći i treća lica. Tokovi podataka oslanjali su na ugovorne klauzule koje “nisu štitile fundamentalna prava i slobode” korisnika.

Drugim rečima, podaci korisnika poput fotografija, kruga prijatelja, poruka, komentara i svih drugih informacija o njima koje se mogu iskoristiti za ciljano oglašavanje, nisu bili adekvatno zaštićeni pa su im mogle pristupiti i američke bezbednosne službe.

Ovo međutim nije prvi takav slučaj u koji je umešana Meta. Pre četiri godine velika prašina je podignuta u javnosti kada se ispostavilo da je Facebook prodavao podatke svojih korisnika u svrhe političke manipulacije. Taj skandal ostao je upamćen pod imenom Cambridge Analytica.

Foto: Dima Solomin, Unsplash

Чланак Kompanija Meta kažnjena sa 1,2 milijarde evra zbog kršenja privatnosti korisničkih podataka се појављује прво на Biznis i Finansije.

Da podsetimo, GDPR je zakon kojim se štite privatni podaci korisnika usluga. Na snazi je već tri godine, i za to vreme na osnovu njega propisano je nekoliko visokih kazni za kompanije koje su zloupotrebljavale korisničke podatke. Međutim, najviša kazna do sada iznosila je 57 miliona dolara i izrečena je 2019. protiv popularnog pretraživača Gugl.

Međutim, sada je Luksemburška nacionalna komisija za zaštitu podataka izrekla kaznu Amazonu u visini od 890 miliona dolara, odnosno 4,2 odsto njegovih prihoda u 2020. godini. Razlog zašto je baš ovo telo kaznilo američku kompaniju leži u činjenici da se njeno evropsko sedište nalazi upravo u Luksemburgu.

U kratkom pojašnjenju zašto je Amazon ovako drastično kažnjen stoji da je “svojom reklamnom praksom prekršio Opštu uredbu EU o zaštiti podataka”.

Izvor: Variety

Foto: Pixabay

Чланак EU kaznila Amazon sa rekordnih 750 miliona evra се појављује прво на Biznis i Finansije.

Time je ova američka kompanija postala prva koja će u Evropi platiti visoku kaznu zbog nepoštovanja korisničke privatnosti, od čak 450.000 evra.

Tviter je kažnjen za propust iz 2018. godine kada se ispostavilo da su tvitovi korisnika koji su imali zaključan nalog zapravo bili izloženi javnosti. Zaključavanjem naloga se inače ograničava broj ljudi koji mogu da čitaju nečije tvitove isključivo na pratioce.

Međutim, bezbednosni propust ove društvene mreže doveo je do toga da kada korisnici Android uređaja promene mejl adresu, njihovi nalozi se otključavaju, bez njihovog znanja.

Kako u obrazloženju navodi Komisija, Tviter je trebalo na vreme da obavesti svoje korisnike o ovom propustu.

Izvor: Euronews

Foto: creozavr, Pixabay

Чланак Tviter će morati da plati kaznu od 450.000 evra zbog kršenja GDPR-a се појављује прво на Biznis i Finansije.

Zakon o zaštiti podataka o ličnosti predviđa da su rukovalac i obrađivač dužni da odrede lice za zaštitu podataka o ličnosti u slučajevima:

– Ako se obrada vrši od strane organa vlasti, osim ako se radi o obradi koju vrši sud u svrhu obavljanja njegovih sudskih ovlašćenja;

– Ukoliko se osnovne aktivnosti rukovaoca i obrađivača sastoje u radnjama obrade koje po svojoj prirodi, obimu, odnosno svrhama zahtevaju redovan i sistematski nadzor velikog broja lica na koje se podaci odnose;

– U slučaju da se osnovne aktivnosti rukovaoca ili obrađivača sastoje u obradi posebnih vrsta podataka o ličnosti ili podataka o ličnosti u vezi sa krivičnim presudama i kažnjivim delima, u velikom obimu.

U svim drugim slučajevima, određivanje lica nije obavezno, ali je izrazito preporučljivo, zbog kompleksnosti poslovanja, visokog rizika da podaci budu kompromitovani, zbog obaveza koje kompanije imaju vezano za obradu podataka o ličnosti, ali i zbog toga što imenovanje DPO-a predstavlja odraz nivoa poslovne kulture jedne organizacije.

Zakonska regulativa: Visoke kazne za nepoštovanje obaveza

Za nepoštovanje obaveza koje se tiču određivanja lica za zaštitu podataka o ličnosti predviđena je kazna u visini od pedeset hiljada do dva miliona dinara. Iako novčane kazne koje ZZPL predviđa možda nisu u visini kazini koje predviđa GDPR, te se o njima ne priča sa toliko straha kao o kaznama u EU regulativi, gubitak reputacije i poverenja na tržištu mogu da dovedu do posledica fatalnih za poslovanje, kako u EU tako i u Srbiji.

Zakon (možda nažalost) pred rukovaoce i obrađivače stavlja samo načelni zahtev da se lice za zaštitu podataka o ličnosti određuje na osnovu stručnih kvalifikacija i stručnog znanja i iskustva u oblasti zaštite podataka o ličnosti, kao i sposobnosti za izvršavanje obaveza koje ZZPL za tu dužnost predviđa, bez preciziranja koje bi to kvalifikacije i sposobnosti bile.

Položaj lica u poslovnoj hijerarhiji treba da bude takav da osigura nezavisnost u vršenju dužnosti, da obezbedi da DPO za rad odgovara direktno rukovodstvu kompanije, a lice zbog obavljanja posla ne može da bude kažnjeno niti mu može biti otkazan ugovor o radu. Bitno je istaći i da se imenovanjem DPO-a odgovorno lice u pravnom licu ne oslobađa odgovornosti za zakonitost radnji obrade.

Nezavisan položaj lica za zaštitu podataka znači da, primera radi, tu dužnost ne bi mogao da obavlja rukovodilac marketinga, službe za ljudske resurse, rukovodilac službe za IT (što je učestalo u praksi), tj., niko čija pozicija podrazumeva da određuje svrhe i načine obrade podataka, da lice ne bi bilo u sukobu interesa, a uvek imajući u vidu specifičnosti organizacije.

Koje su obaveze DPO-a?

– Što se tiče opisa dužnosti, zakon predviđa da lice za zaštitu podataka o ličnosti najmanje ima obavezu da:

– Daje mišljenja i savete vezane za zakonske obaveze;

– Prati primenu propisa kod rukovaoca i obrađivača, uključujući i pitanja podele odgovornosti i kontrole;

– Daje mišljenje o proceni uticaja na zaštitu podataka o ličnosti, tj. o DPIA analizi;

Sarađuje sa Poverenikom za informacije od javnog značaja i zaštitu podataka o ličnosti i predstavlja kontakt tačku za saradnju sa tom institucijom.

Lice bi trebalo da bude dovoljno stručno da adekvatno razume nacionalni i evropski zakonodavni okvir koji se tiče zaštite podataka o ličnosti, da bude upućeno u savremene informacione tehnologije, da bude dovoljno stručno da razume šta znači sigurnost obrade podataka, kao i da razume poslovanje kompanije i poslovne procese u njoj.

Kako je lice dužno da sagledava i rizik koji se odnosi na radnje obrade, kao i da daje mišljenje o proceni uticaja, bilo bi dobro da poznaje i problematiku i mehanizme upravljanja rizicima. DPO je u praksi i prva tačka komunikacije sa licima čiji se podaci obrađuju, kao i ključna osoba u upravljanju incidentima koji se tiču podataka o ličnosti, te bi i ovi zadaci trebalo da budu uzeti u obzir prilikom izbora lica.

Zakon predviđa da lice za zaštitu podataka o ličnosti može obavljati ove poslove i na osnovu ugovora, te ove zahtevne aktivnosti možete poveriti saradniku van kompanije. U poveravanju ovih aktivnosti treba takođe poći od zahtevanih kompetencija lica, te od činjenice da, što je kompleksnija obrada, lice za zaštitu podataka treba da bude potkovanije znanjem i iskustvom da bi moglo da se pouzdano brine o usaglašenosti.

Iako zakon ne precizira, tumačenjem odredbi, gde se govori o “licu” i posmatrajući obavezu nezavisnosti u vršenju dužnosti i vezanosti odgovornosti za najviši nivo rukovodstva zaključuje se da je lice za zaštitu podataka o ličnosti uvek isključivo jedna osoba, tj. jedno fizičko lice, čiji podaci se nakon imenovanja dostavljaju Povereniku za informacije od javnog značaja i zaštitu podataka o ličnosti. Naravno, nije problem da na ovim poslovima bude angažovan tim stručnjaka, od kojih je jedno lice određeno kao lice za zaštitu podataka o ličnosti.

Tim stručnjaka je uvek prednost

Kako DPO treba da poseduje raznovrsna stručna znanja i veštine, angažovanje tima saradnika može da bude i velika prednost.

Tim Coming-a ima iskustvo u oblasti zaštite podataka o ličnosti u finansijkom, proizvodnom, sektoru transporta i drugim sektorima, te može pružiti pouzdanu DPO uslugu. DPO Coming tim se sastoji od pravnika sa iskustvom u oblasti zaštite podataka o ličnosti, stručnjaka za poslovne procese i ISO standardizaciju, te jakog inženjerskog tima, sastavljenog od security, sistem i mrežnih inženjera.

Dinamičnost i kompleksnost oblasti zaštite podatakao ličnosti zahtevaju znanje, iskustvo i dodatno angažovanje već opterećenih kapaciteta, a Coming DPO as a Service koncept preduzećima omogućava da se u poslovanju fokusiraju na svoje osnovne aktivnosti, a da brigu o poslovima zaštite podataka o ličnosti prepustite stučnjacima. – poručio je Roberto Poletto ispred kompanije Coming.

Saradnja se zasniva na fleksibilnom modelu gde se sa klijentom procene potrebe i zahtevi organizacije, te se kroz spoj pravnog i IT znanja i iskustva i najsavremenijih praksi napravi plan rada koji bi obezbedio najbolje rezultate i usaglašenost poslovanja. Fleksibilan model podrazumeva da neko iz Coming tima može da bude određen za lice za zaštitu podatka o ličnosti ili da se pruža stručna podrška licu koje je već određeno iz redova zaposlenih.

Više o svemu možete saznati na ovom link-u.

Deo informacija za ovaj tekst korišćen je sa Web portala Poverenika

Чланак Da li ste imenovali lice za zaštitu podataka o ličnosti? Ako niste, vreme je! се појављује прво на Biznis i Finansije.