Izrečena novčana kazna od 25.000€ za prosleđivanje e-pošte
O zaštiti podataka o lično se govori na našim prostorima intenzivno od donošenja Zakona o zašiti podataka o ličnosti („Sl. glasnik RS“, broj 87/18). Obrađivači i rukovaoci znaju da se odredbe moraju poštovani, kao i da su sankcije ozbiljno visoke novčane kazne, ali uprkos svemu veliki broj kompanija nije u celosti obradu podataka usaglasio sa važećim propisima. Ovaj put se bavimo situacijom u Evropskoj Uniji i odlukom koja nam stiže iz Norveške, a na osnovu Opšte uredbe o zaštiti podataka Evropske Unije (dalje: ”GDPR”).
Zašto je ovo bitno za kompanije iz Srbije? Osim Zakona o zašiti podataka o ličnosti i podzakonskih akata, u određenim situacijama i domaće kompanije podležu propisima i sankcijama koje predviđa GDPR.
Norveški organ za zaštitu podataka o ličnosti izrekao je kompaniji novčanu kaznu u iznosu od 25.000,00 evra na osnovu Opšte uredbe o zaštiti podataka Evropske Unije (GDPR). (Ime ove kompanije je uskraćeno za javno objavljivanje radi zaštite identiteta zaposlenih.)
Zašto? Kompanija je zatražila od svojih zaposlenih da uspostave automatsko prosleđivanje e-pošte sa svojih korporativnih naloga e-pošte na zajednički račun e-pošte kompanije.
O ovome je nadležni organ za zaštitu podataka o ličnosti obavestio jedan član nadzornog organa ove kompanije.
Nakon ispitivanja predmeta, norveški organ za zaštitu podataka došao je do zaključka da za prosleđivanje ne postoji pravni osnov predviđen članom 6 GDPR. Nadzorni organ se takođe žalio da kompanija nije kreirala nikakve interne procese i procedure za pristup e-porukama.
Kao ishod postupka, organ za zaštitu podataka naložio je kompaniji da poboljša svoje postupke interne kontrole i smernice za pristup e-pošti zaposlenih, ali je pored toga u istoj odluci izrekao novčanu kaznu u iznosu od 25.000,00 EUR za nadgledanje naloga e-pošte zaposlenog bez ikakvog pravnog osnova.
Moglo bi se pomisliti da je „Norveška daleko“. Međutim, organi za zaštitu podataka nastoje da obezbede jedinstvenu praksu prijavljivanja. Stoga je izricanje uporedivih kazni moguće i u drugim zemljama.
Mogući raspon novčanih kazni je do 20 miliona evra ili 4% ukupnog godišnjeg prometa kompanije u celom svetu! Fiksnih 25.000,00 € je, prema tome, moramo priznati čak i relativno blaga novčana kazna.
Pa, šta iz ovoga treba da naučimo?
Olako shvatanje zaštite podataka može brzo stvoriti veliki finansijski rizik. Ispravno i u skladu sa važećim propisima prikupljanje i obrada podataka postaje uslov za dalji uspešan rad obrađivača podataka. Iako je prošlo već dosta vremena od stupanja na snagu Zakona o zašiti podataka o ličnosti, prema statistikama Poverenika, kompanije u Republici Srbiji ne mogu da se pohvale uvedenim promenama, donetim relevantnim internima aktima, kao ni angažovanjem nadležnih lica unutar kompanije kada je ova tema u pitanju. Nedavno smo pisali o kontrolnim listama Poverenika, koje mogu kompanijama da služe možda kao poslednji alarm da prilagode svoje poslovanje imperativnim propisima pre neke visoke novčane kazne.
Imate li pitanja u vezi s tim i trebate li dodatni savet? Naši advokati Vam stoje rado na raspolaganju putem e-mail adrese: office@mlaw.rs