Kaj se zgodi, če ne upoštevamo pravil o varstvu podatkov?

Odgovor

Splošna uredba o varstvu podatkov zagotavlja različna orodja za organe za varstvo podatkov

v primeru neupoštevanja pravil o varstvu podatkov:

• verjetna kršitev – lahko se na primer izda opozorilo;
• kršitev – možnosti vključujejo opomin, začasno ali dokončno prepoved obdelave in globo v višini do 20 milijonov EUR ali 4 % skupnega svetovnega letnega prometa podjetja.

Treba je opozoriti, da lahko organ za varstvo podatkov v primeru kršitve namesto opomina in/ali prepovedi obdelave ali poleg tega naloži denarno kazen.

Organ mora zagotoviti, da so naložene globe v vsakem posameznem primeru učinkovite, sorazmerne in odvračilne. Pri tem upošteva številne dejavnike, kot so vrsta, teža in trajanje kršitve, preuči, ali je kršitev naklepna ali posledica malomarnosti, upošteva ukrepe, ki so bili sprejeti, da se omili škoda, ki so jo utrpeli posamezniki, stopnjo sodelovanja organizacije itd.

Primer

Podjetje se ukvarja s spletno prodajo blaga za gospodinjsko rabo. Kupci lahko prek njegovega spletnega mesta kupujejo gospodinjske naprave, mize, stole in druge izdelke, pri čemer vpišejo svoje bančne podatke. Spletno mesto je utrpelo kibernetski napad, kar je napadalcu omogočilo dostop do teh osebnih podatkov. V tem primeru se zdi, da je za izgubo podatkov krivo pomanjkanje ustreznih tehničnih ukrepov v podjetju.

Nadzorni organ bo upošteval različne dejavnike, preden se bo odločil, katero korektivno orodje bo uporabil. Dejavniki, kot so: kako resna je bila pomanjkljivost v sistemu IT? Koliko časa je bila infrastruktura IT izpostavljena takemu tveganju? Ali so se v preteklosti izvajali testi, ki bi omogočili preprečitev takega napada? Kolikšna količina podatkov o kupcih je bila ukradena/razkrita? Za kakšno vrsto osebnih podatkov gre: ali so vključevali občutljive podatke? Nadzorni organ bo upošteval vse to in preučil še druga vprašanja.

Reference

• Členi 58, 60, 83, 84; uvodne izjave 129, 148, 150, 151 Splošne uredbe o varstvu podatkov
• Smernice Evropskega odbora za varstvo podatkov o uporabi in določitvi upravnih glob za namene Uredbe (EU) 2016/679, 3. oktobra 2017

A company sells online household material. Through its website, consumers can buy kitchen appliances, tables, chairs and other domestic goods by entering their bank details. The website suffered a cyber-attack leading to personal details being rendered available to the attacker. In this case, the lack of appropriate technical measures by the company seems to have been the cause of the data loss.

In this instance, various factors will be considered by the supervisory authority before deciding what corrective tool to use. Factors such as: how serious was the deficiency in the IT system? How long had the IT infrastructure been exposed to such a risk? Were tests carried out in the past to prevent such an attack? How many customers had their data stolen/disclosed? What type of personal data was affected – did it include sensitive data? All these and other considerations will be taken into account by the supervisory authority.

• Articles 58, 60, 83 and 84 and Recitals (129), (148), (150) and (151) of the GDPR
• EDPB Guidelines on the application and setting of administrative fines for the purposes of Regulation (EU) 2016/679, 3 October 2017