Poljski organ za zaštitu podataka o ličnosti (UODO) kaznio je tri kompanije zbog kršenja odredbi GDPR-a usled nedostatka tehničkih i organizacionih mera, neadekvatne reakcije na propuste u bezbednosnom sistemu i neobaveštavanja o povredi bezbednosti ličnih podataka.
Kaznu u iznosu od 460.000 evra dobila je kompanija Virgine Mobile, koja nije implementirala adekvatne tehničke i organizacione mere i nije izvršila adekvatno testiranje istih u kontekstu prenosa ličnih podataka između aplikacija neophodnih za pružanje usluga pripejd korisnicima, pa je takav neobezbeđen sistem prenosa omogućio neovlašćen pristup podacima korisnika.
Druga kazna u iznosu od 250.000 evra stigla je kompaniji ID Finance koja nije brzo i adekvatno odgovorila na signale koji su upućivali na dostupnost ličnih podataka klijenata na serveru, što je omogućilo neovlašćen pristup i zahtevanje otkupa za vraćanje podataka.
Treću kaznu je dobila kompanija koja se bavi osiguranjem, WARTA S.A. Insurance i Reinsurance, zato što nije obavestila UODO o povredi bezbednosti ličnih podataka. Naime, ova institucija je dobila informaciju od trećih lica o povredi ličnih podataka. Naime, agenti su slali i-mejlove sa polisama osiguranja na adrese neovlašćenih primalaca.
U Srbiji je takođe u primeni Zakon o zaštiti ličnih podataka koji je u mnogome oslonjen na pomenutu GDPR direktivu. Do sada nije bilo kazni, a nameće se pitanje i koliko su kompanije uopšte upoznate sa svim obavezama po ovom zakonu.
Advokat Petar Mijatović kaže za portal Beriskprotected da je za sada mali procenat kompanija u Srbiji uzeo u ozbiljno razmatranje značaj Zakona o zaštiti podataka o ličnosti i obavezu usklađivanja sa istim.
„Iz mog advokatskog iskustva, kompanije koje zasnivaju svoje poslovanje na korišćenju, odnosno obradi ličnih podataka, zaista su shvatile značaj zakonskih obaveza i iste su, ili već usklađene, ili planiraju što skorije usklađivanje. Tu bih, pored kompanija koje sarađuju sa kompanijama iz EU i koje, usled primene GDPR-a, zahtevaju takvu vrstu usklađivanja, posebno istakao i domaće kompanije koje su radile na usklađivanju isključivo zbog obaveza propisanih domaćim Zakonom o zaštiti podataka o ličnosti“, kaže Mijatović.
Najčešći propusti kompanija se, prema njegovim rečima, odnose na nerazumevanje glavnih obaveza propisanih zakonom, odnosno na činjenici da veliki broj organizacija fokus svog usklađivanja usmerava na „spoljašnji aspekt“ – poput izrade obaveštenja o obradi ličnih podataka, ugovora o obradi. Pritom zanemaruju „unutrašnji aspekt“ bez koga nema adekvatnog i pravilnog usklađivanja. „Tu pre svega mislim na mapiranje podataka, upravljanje podacima, dokumentovanje, uvođenje adekvatnih tehničkih, kadrovskih i organizacionih mera i sprovođenje procene uticaja na zaštitu podataka o ličnosti“, kaže Mijatović.
Iako je uvreženo mišljenje da do ozbiljnije primene ovog zakona i kažnjavanja kompanija koje nisu usklađene sa istim, neće doći sve dok državni organi ne krenu sa ozbiljnijim pristupom prilikom primene zakona, Petar Mijatović misli da do prave i pune primene zakona neće doći sve dok sami građani ne počnu mnogo više da cene svoje lične podatke i koriste svoja prava, odnosno dok većina ljudi ne shvati koliko negativnih posledica po njihovu privatnost može doneti nezakonito postupanje kompanija. „Za tako nešto je potrebno vreme i edukacija ljudi na ovu temu“, kaže on.