Europska komisija je kaznila Facebook iznosom od 110 milijuna eura radi pružanja zavaravajućih informacija prilikom preuzimanja WhatsAppa. Kazna nije propisana zbog kršenja uredbe o privatnosti GDPR koja se počinje primjenjivati tek od iduće godine, ali puno govori o tome što će njena primjena značiti. Facebook je u biti kažnjen temeljem kršenja Uredbe vijeća (EZ) o kontroli koncentracija između poduzetnika, no način na koji je to napravljeno i čin zbog kojega je Facebook kažnjen i te kako imaju veze sa GDPR-om za čije bi kršenje, po svemu sudeći uskoro stvarno mogle zaredati kazne iznad svih predviđanja.
Kazna za zavaravanje o upravljanju osobnim podacima
Kazna za Facebook nije propisana temeljem GDPR uredbe, ali suština prekršaja ima. Facebook je prilikom preuzimanja WhatsAppa Komisiji dostavio informaciju da ne postoji tehnička mogućnost povezivanja brojeva telefona pohranjenih u WhatsAppu sa elektroničkim osobnim identitetima u Facebooku. Dvije godine kasnije, učinio je upravo to. Komisija je prilikom ovog preuzimanja očito posebnu pažnju obraćala na zaštitu prava na privatnost svojih građana.
Jasno upozorenje
U objašnjenju odluke objavljenom na web stranicama Europske komisije, navodi se da se ova kazna ne odnosi na kršenje regulative EU i njenih članica iz područja zaštite privatnosti, potrošača, tržišta i dr. (nego na kršenje Uredbe temeljem koje je izrečena).Ono bi tek moglo nastupiti njenim stupanjem na snagu poslije spornog spajanja kompanija, a znamo da se GDPR počinje primjenjivati od 2018. Dakle, plaćanje GDPR kazne bit još moglo uslijediti.
Može li EU uopće naplatiti kaznu stranim kompanijama?
GDPR predviđa kaznu za prekršitelje u iznosu do 4% godišnjeg agregiranog prihoda ili 20 milijuna eura, što je od toga veće, dok uredba na temelju koje je ova kazna izrečena na identičan način predviđa kaznu do 1%.
Jedno od najčešćih pitanja vezanih uz primjenu GDPR-a bilo je pitanje mogućnosti naplate kazne stranoj kompaniji, te da li je takvo što uopće moguće. Moguće je. Kazna je upravo izrečena i dovoljno je visoka da postane odličan ogledni primjer.
Kako se određuje visina kazne?
Ukupni prošlogodišnji globalni prihod Facebooka bio je 27 milijardi dolara, a propisana je kazna otprilike u visini 0,45% tog iznosa. Dakle, oko pola maksimalne kazne. GDPR predviđa i do 4 puta veće kazne. Prilikom određivanja kazne uzela se u obzir činjenica da je Facebook priznao kako je dva puta iznio krive informacije, te da je u politikama privatnosti ažurirao sporne informacije kako bi obavijestio korisnike. S druge strane, Komisija smatra da su djelatnici Facebooka već u trenutku preuzimanja WhatsAppa morali znati da je spajanje korisničkih računa tehnički provedivo i imali su planove provesti ga. Ponašanje Facebooka je ocijenjeno u najmanju ruku neodgovornim, ali su radi naknadne suradnje priznate olakotne okolnosti.
Kolika bi kazna bila da je izrečena na temelju GDPR uredbe?
Obzirom da je maksimalna kazna za kršenje GDPR-a četverostruko veća, Facebook bi bio izložen mogućnosti kažnjavanja iznosom od oko milijardu eura. Kad bi se kao u ovom slučaju kazna propisala u visini pola iznosa maksimalne kazne, bilo bi to pola milijarde! Ali, neće to biti baš tako..
Sa stanovišta GDPR-a, procjena utjecaja narušavanja sigurnosti osobnih podataka je temelj donošenja odluka o načinu postupanja s osobnim podacima u nekoj organizaciji. Što je utjecaj veći, to su i zaštitne mjere rigoroznije. Obzirom na ogromnu količinu osobnih podataka kojom Facebook raspolaže, utjecaj narušavanja njihove sigurnosti je vrlo velik. Treba razlikovati i namjerno od slučajnog narušavanja sigurnosti. Primjena sigurnosnih kontrola može biti dosljedna, ali ipak neuspješna ili sigurnost može biti sustavno zanemarivana. Tvrtka može svjesno graditi poslovni model na kršenju prava na privatnost, ili slučajno obrađivati osobne podatke u najboljoj namjeri. To su samo neki od elemenata koje treba procijeniti prilikom određivanja kazne.
Facebook je namjerno prikrivao način na koji će obrađivati osobne podatke za što mu je upravo izrečena kazna, ali ne vezana uz GDPR. Facebook je pored toga bez privole i znanja vlasnika osobnih podataka proveo spajanje računa s WhatsAppom radi povećanja vlastite dobiti i na tome je sustavno radio dvije godine. GDPR kazna bila bi vjerojatno i nekoliko puta veća. Ne možemo točno znati kolika, ali možemo steći uvid u red veličine kazni i način njihova određivanja.
Tko je na meti?
Oni koji su sumnjali u ozbiljnu primjenu GDPR odredbi (i autor ovog teksta je među njima) ovom su odlukom izgubili gotovo sve argumente za takav stav.
GDPR kazne stići će prvo one koji svojim neprimjerenim postupanjem sa osobnim podacima mogu počiniti velike štete vlasnicima podataka. Prvenstveno su to organizacije koje imaju velike količine podataka i raspolažu osjetljivim vrstama podataka. Posebno će na meti biti tvrtke koje podatke neovlašteno koriste za povećanje vlastite dobiti. Osiguravajuća društva, a posebno zdravstvena osiguranja koja razmjenjuju podatke ili na drugi način bez privole dolaze do podataka klijenata koje koriste u ciljanoj prodaji, telekomunikacijske tvrtke koje rade profiliranje korisnika i ciljanu prodaju, hoteli i turističke zajednice koje bez privole čuvaju i obrađuju podatke o gostima iz EU, marketinške agencije koje obrađuju i bez odobrenja prikupljaju osobne podatke radi ciljanog marketinga, IT tvrtke koje pružaju usluge obrade osobnih podataka, banke koje bez adekvatne privole obrađuju osobne podatke radi ciljane prodaje... Sve takve tvrtke morat će redizajnirati modele prodaje i uskladiti se s GDPR zahtjevima.
Da li je kazna Facebooku od 110 milijuna eura prva izrečena GDPR kazna? Nije, ali puno govori o tome kakve će one biti i koga će pogoditi.
