Krenule GDPR iznude

Krenule GDPR iznude
DepositPhotos

Savjetodavna tvrtka specijalizirana za područje zaštite osobnih podataka, Ostendo Consulting upozorava na pojavu trenda zlonamjernih zahtjeva za ispunjavanjem prava na zaštitu osobnih podataka u  Hrvatskoj i zemljama regije.

Opća uredba o zaštiti podataka (GDPR) za cilj ima povećati razinu zaštitite osobnih podataka i privatnosti pojedinca, no uočavamo i drugačije trendove. GDPR se od strane zlonamjernih osoba sve češće koristi kao sredstvo zastrašivanja i iznude.

Sve su brojnije tvrtke koje zaprimaju zahtjeve za ispunjavanje prava na zaštitu osobnih podataka koji sadrže elemente iznude.

Tipično, pošiljatelj se poziva na Opću uredbu o zaštiti podataka (GDPR) i pravo na pristup svojim osobnim podacima, te se već u samom zahtjevu precizno ukazuje na elemente kršenja Uredbe i navodi iznos ili usluga kojom bi organizacija trebala platiti "šutnju", odnosno ne prijavljivanje slučaja AZOP-u.

Prema neformalnim informacijama kojima raspolažemo, neke su organizacije u neosnovanom strahu od visoke kazne, tražene iznose i isplatile.

Većinu ovakvih zahtjeva šalju nezadovoljni bivši djelatnici ili klijenti, dok medije uglavnom ucjenjuju osobe čiji su podaci javno objavljeni.

Organizacije savjetujemo da svaki zahtjev koji sadrži elemente iznude iz čl. 243 Kaznenog zakona, bez odlaganja predaju nadležnim tijelima, a na zahtjev za ispunjavanjem prava ispitanika odgovore korektno i na način na koji bi odgovorili i u svakom normalnom slučaju. Radi li se o očito neosnovanom ili pretjeranom zahtjevu, organizacija ga ima uz obrazloženje pravo otkloniti ili naplatiti realni administrativni trošak ispunjavanja zahtjeva.

U slučaju povrede osobnih podataka, organizacija o tome bez odlaganja mora obavijestiti nadzorno tijelo (rok je 72 sata od saznanja), bez obzira je li kršenje otkriveno dojavom ili ga je organizacija sama uočila. Ispravnim postupanjem steći će olakotne okolnosti u slučaju određivanja kazne, a vrlo vjerojatno proći samo sa naputkom o aktivnostima koje mora poduzeti.

Visina predviđenih kazni mora biti proporcionalna potencijalnom utjecaju kršenja prava na fizičku osobu, pomnoženo sa brojem osoba čija su prava prekršena. Olakotne okolnosti uključuju otvorenu i brzu komunikaciju sa nadležnim tijelom, mjere koje su poduzete kako bi se kršenje spriječilo i dr.

Nije vjerojatno da će neka hrvatska organizacija u doglednom roku plaćati desetke ili stotine milijuna kazni radi kršenja prava na zaštitu osobnih podataka, ali jest vjerojatno da će kazni biti i da će njihova visina biti proporcionalna počinjenom prekršaju.

Kako bi to spriječile, organizacije se kod obrade osobnih podataka moraju rukovoditi etičkim načelima i uspostaviti odgovarajuće mjere za zaštitu podataka. Pravo na privatnost i zaštitu podataka mora se poštivati ali se ne smije zloupotrebljavati.