c S

GDPR globe po Evropi - kmalu tudi pri nas!

06.04.2022 Na področju varstva osebnih podatkov so leto 2021 zaznamovale rekordne globe, izdane na podlagi Splošne uredbe o varstvu podatkov, in več z njimi povezanih pomembnih odločitev sodišč in nadzornih organov.

Prišlo je do izjemnega povečanja skupne vrednosti izrečenih glob v članicah Evropske unije, in sicer s 158,5 milijona evrov v letu 2020 na 1,087 milijarde evrov v letu 2021. Z novim zakonom o varstvu osebnih podatkov bo tudi slovenskemu informacijskemu pooblaščencu (končno) dano pooblastilo za izdajanje glob na podlagi Splošne uredbe, s tem pa tudi dolžnost, da se v skladu s trenutnimi trendi v Evropski uniji spopade z nalogo izbire načina izdajanja glob - bodisi pogostih in nizkih bodisi redkih, visokih, a odmevnih.


Postopek Evropske komisije proti Sloveniji

Če je bila Slovenija v sredini leta 2019 le ena od treh držav članic EU (poleg Grčije in Portugalske), ki po uveljavitvi Splošne uredbe o varstvu podatkov1 (v nadaljevanju: Splošna uredba) ni prenovila svoje zakonodaje s področja varstva podatkov, pa je danes edina. Kljub neprilagojenemu nacionalnemu okvirju glede varstva podatkov se Splošna uredba uporablja neposredno od 25. maja 2018, domači Zakon o varstvu osebnih podatkov (ZVOP-1)2 pa velja le v omejenem obsegu. Na nevzdržnost položaja opozarja tudi informacijski pooblaščenec, saj sočasna uporaba Splošne uredbe in domačega zakona povzroča zmedo, predvsem pa pravno negotovost.3 Evropska komisija je februarja 2022 Sloveniji (ponovno) poslala uradni opomin in sprožila postopek za ugotavljanje kršitev zaradi neizpolnjevanja obveznosti iz Splošne uredbe. Slovenija je dobila dva meseca časa, da odgovori na argumente Evropske komisije.4

Po večletni neuspešni prenovi zakonodaje na področju varstva osebnih podatkov je Slovenija danes vendarle korak bližje sprejetju novega zakona o varstvu osebnih podatkov (v nadaljevanju: ZVOP-2). Osnutek zakona je bil decembra 2021 predložen v obravnavo vladi, obravnavan pa bo v rednem zakonodajnem postopku.5

Na določenih področjih, kot na primer glede starostne meje za veljavno privolitev in obdelave osebnih podatkov pokojnikov, Splošna uredba predvideva, da jih bodo države članice uredile same, zato že s tega vidika Slovenija nujno potrebuje nov zakon. Nesprejetje novega ZVOP-2 pa še posebej negativno vpliva na pooblastila informacijskega pooblaščenca, saj ta ostaja nemočen glede vodenja prekrškovnih postopkov in izrekanja glob za ugotovljene kršitve. Po poročanju informacijskega pooblaščenca je zaradi odsotnosti novega zakona v primeru ugotovljenih kršitev določb Splošne uredbe ali določb ZVOP-1 mogoče zavezancem v postopku inšpekcijskega nadzora odrediti le odpravo ugotovljenih nepravilnosti, vzpostavitev zakonitega stanja ter prepovedati nezakonito obdelavo osebnih podatkov, postopek za prekrške pa je mogoče uvesti le v primeru, ko gre za kršitev tistih členov ZVOP-1, ki še veljajo.6 

Osnutek zakona glede višine glob trenutno sledi sistemu določanja glob po Splošni uredbi. Za hujše kršitve iz 83. člena Splošne uredbe se lahko izrečejo najvišje denarne kazni v višini dveh odstotkov letnega prometa (oziroma štirih odstotkov v primeru najhujših kršitev). Za nekatere posamezne kršitve predlog zakona predvideva nekoliko nižje zneske, a pripravljalci zakona trdijo, da so takšni zneski sorazmerni.7 Informacijski pooblaščenec že nekaj let zapored opozarja in poziva pristojno ministrstvo na nujnost sprejetja novega zakona ter ureditve in uskladitve prekrškovnih določb ZVOP-2 s Splošno uredbo.

Letno poročilo o izdaji glob na podlagi Splošne uredbe

Splošna in strokovna javnost z zanimanjem spremljata razvoj evropskih trendov na področju izdaje glob na podlagi Splošne uredbe, saj tako število izdanih glob kot njihova višina v zadnjih letih strmo naraščata. Zato so zanimiva poročila, ki analizirajo in primerjajo trende v različnih državah članicah.8

Skupaj so nadzorni organi po Evropi v letu 20219 izrekli skoraj 1,1 milijarde evrov glob, kar je sedemkrat več kot leto prej, ko je znesek skupno izrečenih glob znašal 158,8 milijona evrov.10 Precejšen del tega povečanja predstavljata dve rekordni globi, izrečeni družbama Amazon in WhatsApp. Očitno je, da nadzorni organi začenjajo izrekati sankcije, ki vzbujajo pozornost tudi s svojo višino, kar je bilo ob sprejetju Splošne uredbe tudi pričakovano. V preteklem letu se je nadaljeval tudi trend naraščajočega števila obvestil o kršitvah varstva podatkov. Regulatorjem je bilo sporočeno več kot 130.000 kršitev varstva osebnih podatkov, v povprečju 356 obvestil o kršitvah na dan, kar je osem odstotkov več kot v letu 2020, ko je dnevno povprečje znašalo 331 obvestil.11,12

Čeprav nadzorni organi (lahko) izrekajo globe za najrazličnejše kršitve Splošne uredbe, so najpogosteje izdane globe zaradi pomanjkanja zadostne pravne podlage za obdelavo podatkov. Na drugem mestu sledijo globe, izdane zaradi pomanjkanja zadostnih tehničnih in organizacijskih ukrepov za zagotavljanje informacijske varnosti, tretje mesto pa zasedajo globe, izdane zaradi neskladnosti s splošnimi načeli obdelave podatkov. Sledijo kršitve, kot so nezadostno izpolnjevanje pravic posameznikov, nezadostno izpolnjevanje obveznosti obveščanja in nezadostno sodelovanje z nadzornimi organi.13

Odmevni primeri v letu 2021

Julija 2021 je luksemburški nadzorni organ (CNPD) družbi Amazon Europe Core S.a.r.l. zaradi nespoštovanja splošnih načel obdelave podatkov izrekel do sedaj najvišjo globo, izdano na podlagi Splošne uredbe, in sicer v višini 746 milijonov evrov.14 Globa se je sicer znašla na mnogih naslovnicah, a je v resnici malo znanega o podrobnostih kršitev, zaradi katerih je bila družba Amazon kaznovana. Očita se ji neupravičeno sledenje in posredovanje podatkov zunanjim uporabnikom, takšna obdelava podatkov pa ni temeljila na zakoniti podlagi iz 6. člena Splošne uredbe. Ker odločitev CNPD ni javno dostopna, se lahko v tem primeru zanašamo le na javne izjave predstavnikov družbe in Amazonovo finančno poročilo za drugo četrtletje leta 2021, kjer družba pojasnjuje, da je odločba CNPD neutemeljena.15


Nadaljevanje članka za naročnike >> dr. Jasna Zwitter Tehovnik, Domen Brus in  Nika Najvirt: GDPR globe po Evropi - kmalu tudi pri nas!
>> ali na portalu Pravna praksa, št. 11-12, 2022


--------------------------------
Opombe:

1 Uredba (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter o razveljavitvi Direktive 95/46/ES (UL L 119/1).
2 Ur. l. RS, št. 94/07 - UPB in 177/20.
3 Vrabec, U. H., in Domnik, N.: Implementation of the GDPR: Slovenia, 22. oktober 2021, dostopno na: https://papers.ssrn.com/sol3/papers.cfm?abstract_id=3921473.
4 https://ec.europa.eu/commission/presscorner/detail/en/inf_22_601 (8. 3. 2022).
5 EVA: 2018-2030-0045,  https://e-uprava.gov.si/drzava-in-druzba/e-demokracija/predlogi-predpisov/predlog-predpisa.html?id=10208 (8. 3. 2022).
6 Letno poročilo informacijskega pooblaščenca za leto 2020, dostopno na: https://www.ip-rs.si/fileadmin/user_upload/Pdf/porocila/LetnoPorocilo2020_koncano.pdf (8. 3. 2022).
7 Vrabec, H. U., in Domnik, N., nav. delo.
8 Odvetniška pisarna DLA Piper je že četrto leto zapored izdala poročilo o izdajanju glob in ugotovljenih kršitvah varstva podatkov na podlagi Splošne uredbe, v kateri so sodelovale vse države članice Evropske unije, Norveška, Islandija, Združeno kraljestvo in Lihtenštajn. DLA Piper GDPR fines and data breach survey - January 2022, dostopno na: https://www.dlapiper.com/en/austria/insights/publications/2022/1/dla-piper-gdpr-fines-and-data-breach-survey-2022/ (8. 3. 2022).
9 Za leto, ki se začne 28. januarja 2021.
10 Prav tam, str. 3.
11 Prav tam, str. 4.
12 Kot zanimivost, v obdobju od 28. januarja 2020 do 27. januarja 2021 je bilo sporočenih v povprečju 278 obvestil na dan. Trend torej kaže v vedno višjem letnem znesku prijavljenih kršitev dnevno.
13 https://www.dporganizer.com/blog/gdpr-fines-trends/ (8. 3. 2022).
14 https://www.sec.gov/ix?doc=/Archives/edgar/data/0001018724/000101872421000020/amzn-20210630.htm#i5986f88ea1e04d5c91ff09fed8d716f0_103 (8. 3. 2022).
15 https://d18rn0p25nwr6d.cloudfront.net/CIK-0001018724/cbae1abf-eddb-4451-9186-6753b02cc4eb.pdf (8. 3. 2022).


Članki izražajo stališča avtorjev, in ne nujno organizacij, v katerih so zaposleni, ali uredništva portala IUS-INFO.