05 nov, 2018

Prvi značajan slučaj primene GDPR-a na pomolu!

Ne tako davno, 25. maja 2018. godine, stupila je na snagu Opšta regulativa za zaštitu podataka o ličnosti (GDPR), o kojoj se dugo raspravljalo i pre početka primene, s obzirom na to da ovo zakonodavstvo ima primenu na subjekte širom sveta – kako unutar tako i izvan EU.

Iako je GDPR promenio pravni okvir u vezi sa pravilima o zaštiti podataka, i uveo čitav niz novih obaveza uz izricanje ogromnih novčanih kazni za nepoštovanje istih, za sada je nepoznato na koji način i u kojoj meri će u praktičnoj primeni pravila GDPR-a imati svoje efekte, naročito u pogledu subjekata izvan EU.

Međutim, nakon samo nekoliko meseci od početka primene GDPR-a, izgleda da je na pomolu prvi značajan slučaj primene, i to prema neevropskom subjektu, veoma popularnoj društvenoj mreži Facebook.

Pre svega, podsetićemo da subjekti izvan zemalja EU, kao što je to slučaj sa kompanijom Facebook, podležu pravilima GDPR-a u određenim slučajevima, o čemu je detaljnije pojašnjeno u okviru našeg članka (https://www.geciclaw.com/sr/gdpr-u-srbiji-perspektiva-stranih-investitora/).

Takođe, GDPR propisuje obavezu za sve subjekte koji obrađuju podatke o ličnosti, uključujući i one izvan zemalja EU na koje se GDPR primenjuje, da preduzmu sve adekvatne mere u cilju bezbednosti podataka o ličnosti koje prikupljaju i obrađuju, i sprečavanja narušavanja privatnosti. Takve mere ne podrazumevaju samo investiranje u tehničke mere bezbednosti prikupljenih podataka, već i umanjenje rizika za narušavanje privatnosti smanjivanjem količine podataka koji se prikupljaju i obrađuju. Dakle, što je količina podataka koja se prikuplja veća, veći je i rizik po bezbednost i potrebne su ozbiljnije investicije za očuvanje sigurnosti podataka.

S tim u vezi, kako prenose mediji, nedavno je otkriveno da je došlo do “hakerskog upada” u Facebook kod, koji se tiče pristupnih tokena, koji je doveo od izloženosti riziku preuzimanja naloga od više od 50 miliona korisnika Facebook-a. Za sada, postoje indicije da ovaj upad predstavlja najveći napad na podatke korisnika u istoriji Facebook-a. Upravo je zbog tog događaja Irska Komisija za zaštitu podataka o ličnosti, kao nadležni regulator za Facebook u Evropi, pokrenula postupak ispitivanja navedenog slučaja usled zabrinutosti da bi podaci o ličnosti miliona građana Evropske unije mogli biti otkriveni ili ukradeni.

U ovom slučaju će osnovno pitanje biti da li je Facebook propustio da zaštiti privatnost svojih korisnika na odgovarajući način. Naime, sama činjenica da je došlo do “hakerskog upada” koji ugrožava podatke o ličnosti korisnika nije dovoljna da bi Facebook bio kažnjen, već je pitanje da li je do upada došlo usled slabosti Facebook-ovih mera zaštite. Zvaničnici ove kompanije su već ranije isticali da su izvršena značajna ulaganja u mere zaštite u cilju smanjenja rizika po sigurnost podataka svojih korisnika. Međutim, da li su te mere bile dovoljne i koje su to adekvatne mere za konkretan slučaj ostaje da bude definisano od strane nadležnih organa. S tim u vezi, da verujemo da će, pored tehničkih sredstava zaštite, svakako biti cenjena i neophodnost prikupljanja svih korisničkih podataka od strane Facebook-a, kao sredstvo za umanjenje rizika od otkivanja podataka o ličnosti.

Za slučaj da bude utvrđeno da je Facebook prekršio obaveze GDPR-a u vezi sa zaštitom podataka o ličnosti koje prikuplja i obrađuje, Facebook bi mogao dobiti kaznu u iznosu od 1.63 milijardi USD, a najviša kazna može biti utvrđena u iznosu od 20 miliona EUR (okvirno 23 miliona USD), ili 4% svetskog prihoda subjekta za prethodnu godinu, u zavisnosti od toga koji iznos je veći.

Takođe, važno je napomenuti da pored preduzimanja mera za zaštitu podataka o ličnosti, GDPR propisuje pravilo „72 sata“, kao rok u kojem je subjekt dužan da obavesti nadležnog regulatora u slučaju povrede privatnosti podataka o ličnosti, pod pretnjom kazne od 2% svetskog prihoda subjekta za prethodnu godinu. Prema za sada neproverenim informacijama, Facebook je u konkretnom slučaju prekoračio predmetni rok, što će svakako biti dodatna tema za raspravu i utvrđivanje potencijalne kazne za ovu kompaniju.

U svakom slučaju, konačan ishod ovog veoma značajnog slučaja će se znati u narednim mesecima…