Kada se subjekti ne ponašaju s najvećom pažnjom s podacima svojih kupaca, mogu očekivati strogu kaznu kada dođe do povrede osobnih podataka. Upravo je iz tog razloga Britansko Nadzorno tijelo (ICO) zbog povrede osobnih podataka izreklo novčanu kaznu avio kompaniji British Airways (BA) u iznosu od 20 mil. Funti
Do povrede osobnih podataka je došlo kibernetičkim napadom u periodu od 22 lipnja do 5 rujna 2018, kada su korisnici BA dijelom preusmjeravani na lažnu stranicu gdje su ostavljali svoje osobne podatke. Zbog nedovoljnih tehničkih i organizacijskih mjera za osiguranje informacijske sigurnosti, razotkriveni su imena, email adrese, podaci sa kreditnih kartica i sl. više od 400.000 korisnika.
U obrazloženju odluke, ICO je, između ostalog utvrdio, da je BA trebala prepoznati nedostatke u svojoj sigurnosti i riješiti ih tada dostupnim mjerama koje bi spriječile kršenje podataka.
Prvotna namjera regulatora je bila novčana kazna u iznosu 183,39mil funti, ali je konačni iznos novčane kazne 20 mil funti. U određivanju kazne ICO je istaknuo da je u određivanju iznosa uzeo u obzir negativni utjecaj COVID-19 pandemije na zrakoplovnu industriju.
Naime, GDPR zahtjeva da voditelj i izvršitelj obrade provode odgovarajuće tehničke i organizacijske mjere kako bi osigurali odgovarajuću razinu sigurnosti s obzirom na rizik obrade koji se provodi i to uzimajući u obzir najnovija dostignuća ali i troškove istog te prirodu, opseg, kontekst i svrhe obrade osobnih podataka. Za svaku organizaciju to znači da će poduzeti potrebne mjere u skladu sa svojim mogućnostima. Stoga da li će te mjere biti od većeg ili manjeg angažmana ovisiti će prije svega o samoj obradi i njezinim rizicima.
Kada govorimo o takvim mjerama Opća uredba određuje da će neke od njih svaka organizacija ipak moći poduzeti, neovisno o njezinim tehničkim, organizacijskim, financijskim i drugim mogućnostima.
Takve mjere podrazumijevaju da se:
- sve osobe koje obrađuju osobne podatke obvežu da će poštovati GDPR i drugu primjenjivu regulativu i djelovati samo prema uputama voditelja obrade;
- osiguraju rizici od slučajnog ili nezakonitog uništenja, gubitka, izmjene, neovlaštenog otkrivanja osobnih podataka ili neovlaštenog pristupa osobnim podacima koji su preneseni, pohranjeni ili na drugi način obrađivani;
- utvrdi proces za redovno testiranje, ocjenjivanje i procjenjivanje učinkovitosti tehničkih i organizacijskih mjera za osiguravanje sigurnosti obrade;
- osigura sposobnost pravodobne ponovne uspostave dostupnosti osobnih podataka i pristupa njima u slučaju fizičkog ili tehničkog incidenta;
- prema potrebi provodi pseudonimizacija i enkripcija osobnih podataka;
- osigura, kada je to moguće, sposobnost osiguravanja trajne povjerljivosti, cjelovitosti, dostupnosti i otpornosti sustava i usluga obrade.
Preporuka je svakoj organizaciji provjeriti svoje mjere zaštite i utvrđene procese jer uvijek se neka od mjera može više ili manje implementirati na pojedinu obradu i izbjeći moguća kazna.
Ines & Marko, DPO Feralis
Više: Glas Istre
