Novice o panogi

SUVP se v Evropi sooča s težavami

Splošna uredba o varstvu podatkov (SUVP) velja od 25. maja 2018. Poročila o množičnih kršitvah varstva podatkov in napačnem ravnanju z osebnimi podatki s strani večjih spletnih platform nas opominjajo, kaj je treba: od varovanja našega zasebnega življenja do zaščite delovanja naše demokracije in zagotavljanja trajnosti našega gospodarstva, ki vse bolj temelji na podatkih.

Eno leto po njenem uvajanju, se le-ta uredba sooča z velikimi težavami v Evropi. Uvedba očitno ni bila enotna, razlike pa so bile zelo velike in specifične. Eden izmed razlogov je nepripravljenost EU za različne prihajajoče tehnologije, zlasti iz Kitajske oz. države, katere kultura varstva podatkov je precej drugačna od kulture v EU.

Zanimivo je, da je do 25. maja 2019 oz. prve obletnice uvedbe SUVP, izrečeno denarnih kazni v višini 56 milijonov EUR. Od tega je ena denarna kazen v Franciji znašala 50 milijonov, izrečena pa je družbi Google.

Vendar je pred to denarno kaznijo bilo veliko podobnih denarnih kazni, povezanih s SUVP. Ena največjih je zagotovo bila denarna kazen v višini 500.000 £, izrečena Facebooku zaradi znamenitega škandala Cambridge Analytica. Denarna kazen je bila največja dovoljena po starih prepisih o varstvu podatkov pred začetkom veljavnosti SUVP.

Evropska raznolikost

Evropske države niso samo pokazale različne strategije kaznovanja, temveč so vzpostavile tudi različne strukture za izvajanje uredbe. Na primer, v Nemčiji so zakoni o varstvu podatkov organizirani na nemški državni ravni, na zvezni ravni pa obstaja poseben Zakon o varstvu podatkov, ki je pristojen za telekomunikacijska in poštna podjetja. Posledično ima Nemčija 17 organov za varstvo podatkov namesto le enega.

Druge težave so:

  • podrobnosti iz SUVP se v vsaki državi EU različno razlagajo,
  • obstajajo različna mnenja o izračunu denarnih kazni,
  • določanje, kdo določa denarne kazni in kdo je prejmnik.

Določanje, kdo določa denarne kazni in kdo je prejemnik

Eden najboljših primerov te težave je bil, ko je francoska Commission nacionale de l’informatique et des libertés (CNIL) Googlu izrekla denarno kazen v višini 50 milijonov EUR. Podjetje je zaobšlo pravilo SUVP „one-stop-shop”, ki določa, da bo podjetje kaznovano z denarno kaznijo v državi, kjer ima glavni sedež – v Google-vem primeru je to Irska. CNIL je trdil, da Google ni imel sedeža v EU v zvezi z zadevno denarno kaznijo, ker so bile vse odločitve v zvezi z obdelavo podatkov, povezanih z računi Android in Google, sprejete na sedežu podjetja v ZDA.

Kot poroča Computer Weekly, so druge države EU imele ločeno strategijo in so večino truda vlagale v izobraževanje in opozarjanje, namesto da bi podjetja takoj kaznovale. Zato je bilo zaznavanje nevarnosti pri upravljavcih podatkov v vsaki državi drugačno.

In te različne percepcije so privedle do razlik v številu kršitev varstva podatkov. Po navedbah DLA Piper so prve tri države po številu kršitev varstva podatkov Nizozemska, Nemčija in Združeno kraljestvo.

Zakon o obveščanju

Uredba je predvidevala tudi nove predpise o obveščanju v primeru kršitve varstva podatkov. Natančneje, po poročanju DLA Piper: “Kršitve osebnih podatkov, ki bodo verjetno povzročile tveganja  v zvezi z nastankom škode prizadetim posameznikom, se morajo prijaviti regulatorjem za varstvo podatkov. Če je verjetno, da bo kršitev povzročila veliko tveganje nastanka škode, je treba o tem obvestiti tudi prizadetega posameznika.

Sankcije za neupoštevanje predpisov o obveščanju so denarne kazni v višini do 10 milijonov EUR oz. do 2% skupnega letnega svetovnega prometa v preteklem proračunskem letu, odvisno od tega, kar je večje.

V osmih mesecih izvajanja SUVP v Evropi je bilo več kot 59.000 kršitev varstva podatkov, ki so jih prijavili regulatorjem (DLA Piper).

Od ugotovitve kršitve varstva podatkov morajo organizacije v roku 72 ur obvestiti regulatorje za varstvo podatkov. Rok se morda zdi kratek, vendar je “ugotoviti” nekaj, kar si lahko razlagamo na več načinov.

Všeč vam bo tudi

Več o tej temi

Pridružite se razpravi

To polje je obvezno
To polje je obvezno

Mercury Processing Services International uporablja spletne piškotke za izboljšanje uporabniških izkušenj na naših spletnih straneh. Več informacij o vrstah piškotkov, ki jih uporabljamo, in čemu so namenjeni lahko najdete v naših PRAVILIH O UPORABI PIŠKOTKOV. Prosim, označite, katere piškotke lahko Mercury Processing Services International uporablja: