Kmalu bodo za nami že tri leta, odkar je GDPR stopila v naše življenje. 28. 5., če smo povsem natančni. V Sloveniji smo po drugi strani še vedno brez zakona, sodna praksa je Informacijskemu pooblaščencu pošteno obrusila zobe, a drugod v Ervopski uniji se zadeve pospešeno odvijajo. Zbrali smo 5 ključnih poudarkov GDPR iz zadnjih let.
1. Doslej izrečene upravne globe v EU: 284,5 milijona evrov, nove globe so že na obzorju
Do januarja 2021 je bilo po Evropi naloženih za 284,5 milijona evrov upravnih glob, zabeleženih pa je bilo skupno 160.921 kršitev osebnih podatkov. Na prvi pogled se zdi, da izdane globe niso tako visoke, kot jih dovoljuje GDPR (do 20 EUR ali 4% svetovnega prometa.) Pomembno pa je vedeti, da obstajata dva nivoja upravnih glob, ki se jih uporabi glede na vrsto in resnost kršitve ter da je bilo po vsej Evropi jasno, da bodo najvišje globe podvržene le najhujšim kršitvam podatkov. Pet največjih izrečenih upravnih glob v skladu z GDPR znaša 155,45 milijona evrov, zato je več kot polovica izrečenih glob prav teh pet kršitev GDPR ( Google , H&M ,TIM Telecom , British Airways in Marriott Group ).
2. Ne gre samo za kršitve varnosti obdelave
Od prvih petih najvišjih glob v skladu z GDPR sta bili le dve izrečeni zaradi kršitev varnosti podatkov. Preostali trije so iz drugih razlogov. Skupni imenovalec pa je, da je bila upravna globa izrečena zaradi slabih praks kršiteljev. To poudarja pomen, ki ga regulatorji pripisujejo kulturi in postopkom varstva podatkov na splošno in se ne osredotočajo le na ublažitev kršitve podatkov.
V zadnjem času na splošno opažamo, da regulatorji vse bolj pregledujejo informacije za posameznika, predvsem z vidika preglednosti in uporabe ustreznega jezika. V letošnjem letu tako pričakujemo kar nekaj kršitev členov 12, 13 in 14 GDPR.
3. Regulatorji vedno niso uspeli z visokimi globami
Tisti, ki ste spremljali razvoj kršitve varnosti British Airways, se spomnite, da je ICO izdal obvestilo o upravni globi 183 milijonov funtov. Po pritožbi in ob upoštevanju vpliva pandemije se je ta znižala na 20 milijonov funtov. Podoben vzorec smo opazili pri kršitvi varnosti skupine Marriott, pri čemer je ICO najprej nameraval naložiti upravno globo v višini 100 milijonov funtov, vendar je bil iz istega razloga kot British Airways ta znižana na ”samo” 18,4 milijona funtov. Ko gre za večje globe, se zdi, da regulatorji še vedno preizkušajo meje svojih pooblastil za izrekanje sankcij. Tako British Airways kot Marriott Group sta se zaradi pandemije soočili s finančnimi težavami, vendar to ne velja za vse organizacije.
4. Tudi kršiteljem ni šlo vse po načrtih
Če v Google vnesete »British Airways Data Breach« boste opazili kar lepo število odvetnikov in skupinske tožbe zoper British Airways. Pri samo eni odvetniški pisarni se je prijavilo tako več kot 16.000 oškodovancev. Na podlagi podobnih tožb se ocenjuje, da bi samo te lahko BA stale dodatnih 800 milijonov funtov odškodnine. Za Marriott so prav tako predvidene skupinske tožbe, enako se pričakuje v primeru Googla. GDPR omogoča tožbo zaradi kršitve GDPR, tako zaradi materialne kot nematerialne škode. Poleg tega, da lahko regulatorji zdaj izrekajo višje globe, lahko zdaj potrošniki zahtevajo odškodnino.
5. GDPR torej ima zobe in grize.
To je najbolj razvidno iz številk in višine izrečenih upravnih glob, izrečenim organizacijam. Ob tem se zdi, da se regulatorji držijo nepisanega pravila, da bodo največje globe deležne le res najhujše kršitve. Regulatorji upoštevajo zunanje dejavnike in se temu ustrezno prilagodijo (npr. pandemijo), vendar le tam, kjer je to primerno. Tisto, na kar se upravljavci ne morejo zanesti, pa so oškodovani posaemzniki, ki bi kršitve odpuščali. Ker skupinski ukrepi in GDPR omogočajo posameznikom, da vložijo zahtevke za kršitev njihovih podatkov, obstaja zelo resnična možnost, da bodo te organizacije prizadele bistveno bolj kot pa GDPR globe.