GDPR in posledična lokalna zakonodaja je z nami od 2018. No, objavljen je bil 2016, potem pa je bilo 2 leti časa za implementacijo zahtev, ki jih določa in prinaša. Veliko prahu glede GDPR je nastalo predvsem zaradi velikih kazni, ki so grozile. V osnovi sta obstajali dve skupini kazni – prva 10 in druga 20 milijonov EUR. Tako za tiste, ki so brali površno. Tisti, ki so brali nekoliko bolj natančno, so pred ciframi prepoznali že besedo »do«, še bolj natančni pa so prepoznali tudi, da se višina lahko določa glede na višino prodaje, ki jo je organizacija dosegla in sicer do 2% pri 10 milijonskih prekrških oz. do 4% pri 20 milijonskih prekrških – valja znesek, ki je najprej dosežen.
Tale finančni model je bil zanimiv. Seveda nas je vse zanimalo kaj bo prinesla praksa. Zakonodaja s področja upravljanja z osebnimi podatki je spremenila svet. Dobesedno. Tudi okvirje za izrečene globe.
5 let od sprejetja GDPR je zanimivo pogledati kakšno je stanje glede glob, ki so bile izrečene v evropskem gospodarskem področju. Ja – dejansko obstajajo tudi organizacije in portali, ki spremljajo in deloma tudi objavljajo podatke o tem. Sem pogledal in vam povem, kaj vse tam piše. No – Slovenija seveda ni vključena v ta poročila, ker je z ZVOP-2 zelo kasnila in posledično ni izrekala glob, vseeno pa je zanimivo pogledati kaj se je dogajalo po drugih državah. Zanimiva sta podatka, ki govorita o številu izrečenih glob in pa o njihovi višini. Pa da ne bluzim preveč – meni se je zdelo vedno da je GDPR izjemno dobra poslovna podlaga na kateri se lahko gradijo poslovne zgodbe o uspehu. Pa če pogledamo samo finančni vpliv, ki ga lahko imajo tele zadeve na državni proračun je to poslovno zanimiva zadeva. Če pogledamo kaj vse se da prodati v duhu »s tem so vaše obdelave osebnih podatkov bolj varne in skladne« pa je to drugi vidik. Danes o globah.
Najbolj pridni
Največ glob so izdali v Španiji. Teh je bilo kar 754. Najvišje globe pa izdajajo na Irskem – najvišja kazen je znašala kar 1,2 milijardi EUR, skupno pa je Irska izrekla za 2,5 milijarde EUR kazni s področja obdelav osebnih podatkov, s čemer so absolutni zmagovalci, saj so izrekli dobrih 60% vseh glob s področja. Saj sem rekel, da je GDPR huda poslovna priložnost.
Zakaj Irska?
Ker se znajo it. Tam imajo sedeže nekatera največja podjetja s sveta IT in tam so se posledično izvajali tudi največji in najodmevnejši procesi s področja obdelav osebnih podatkov. In najvišje globe. In proračun je dobil največ denarja.
Pregled po državah
Se mi zdi, da je najbolj primerno, če vse skupaj enostavno zapišemo v tabelo, pa si vsak najde tisto kar njegovi radovednosti najbolj odgovarja. V tabeli imamo torej navedeno državo, višino najvišje globe, ki so jo izrekli, skupno število izdanih glob, skupno višino izdanih glob in delež skupne višine izdanih glob v primerjavi z vsemi globami, ki so bile izdane (*).
(*) podatki se nanašajo na obseg podatkov, ki so bili dostopni. Nekatere obravnave ne navajajo višine izdane globe. Vseeno pa razpoložljivi podatki ponazarjajo določeno sliko glede varstva na področju upravljanja z osebnimi podatki
| Globe po državah | Najvišja globa | Število izdanih glob | Višina glob | Delež |
| Avstrija | 9.500.000,00 | 20 | 24.775.150,00 | 0,61% |
| Belgija | 600.000,00 | 40 | 1.802.000,00 | 0,04% |
| Bolgarija | 2.600.000,00 | 24 | 3.972.770,00 | 0,10% |
| Hrvaška | 5.470.000,00 | 26 | 8.607.935,00 | 0,21% |
| Ciper | 925.000,00 | 39 | 1.442.000,00 | 0,04% |
| Češka | 118.500,00 | 26 | 169.303,00 | 0,00% |
| Danska | 1.300.000,00 | 25 | 2.411.400,00 | 0,06% |
| Estonija | 100.000,00 | 6 | 300.604,00 | 0,01% |
| Finska | 608.000,00 | 20 | 1.972.400,00 | 0,05% |
| Francija | 90.000.000,00 | 38 | 340.219.300,00 | 8,37% |
| Nemčija | 35.258.708,00 | 163 | 55.372.533,00 | 1,36% |
| Grčija | 20.000.000,00 | 59 | 30.961.000,00 | 0,76% |
| Madžarska | 634.000,00 | 68 | 2.518.861,00 | 0,06% |
| Islandija | 257.000,00 | 15 | 655.200,00 | 0,02% |
| Irska | 1.200.000.000,00 | 27 | 2.510.708.400,00 | 61,74% |
| Otok Man | 202.000,00 | 3 | 218.750,00 | 0,01% |
| Italija | 27.800.000,00 | 303 | 134.312.227,00 | 3,30% |
| Latvija | 150.000,00 | 8 | 243.250,00 | 0,01% |
| Lihtenstein | 1 | – | 0,00% | |
| Litva | 110.000,00 | 10 | 270.500,00 | 0,01% |
| Luxenburg | 746.000.000,00 | 31 | 746.372.700,00 | 18,35% |
| Malta | 250.000,00 | 14 | 433.500,00 | 0,01% |
| Norveška | 6.300.000,00 | 50 | 10.379.350,00 | 0,26% |
| Polska | 1.000.000,00 | 58 | 3.480.969,00 | 0,09% |
| Portugalska | 4.300.000,00 | 7 | 6.154.000,00 | 0,15% |
| Romunija | 130.000,00 | 155 | 896.350,00 | 0,02% |
| Slovaška | 50.000,00 | 9 | 130.600,00 | 0,00% |
| Španija | 10.000.000,00 | 754 | 61.831.390,00 | 1,52% |
| Švedska | 5.000.000,00 | 35 | 26.345.900,00 | 0,65% |
| Nizozemska | 3.700.000,00 | 21 | 14.744.500,00 | 0,36% |
| Velika Britanija | 22.046.000,00 | 13 | 75.132.800,00 | 1,85% |
Največji kršitelj
Seveda. To nas zanima. Kdo je prejemnik največje globe in kaj je naredili narobe. Največji kršitelj je Metka. Ne od Jankota, ampak od Marka Z. Nekoč je bila znana kot Facebook. Težava pri Meti se je pojavila na področju zagotavljanja infrastrukture in prenašanja osebnih podatkov iz EU v tretjo državo.
Podrobnosti primera kršitve GDPR s strani Meta Ireland
Komisija za varstvo podatkov (»DPC«) je danes objavila zaključek svoje preiskave družbe Meta Platforms Ireland Limited (»Meta Ireland«), v kateri preučuje osnovo, na kateri Meta Ireland prenaša osebne podatke iz EU/EGP v ZDA v povezavi z z dostavo svoje storitve Facebook.
Komisija za varstvo podatkov Irske (DPC) je svojo končno odločitev v tej preiskavi sprejela 12. maja 2023. V odločitvi je navedeno, da je Meta Ireland kršila člen 46(1) GDPR, ko je nadaljevala s prenosom osebnih podatkov iz EU/EGP v ZDA po razglasitvi sodbe Sodišča EU (primer Pooblaščenec za varstvo podatkov proti Facebook Ireland Limited in Maximillian Schrems). Medtem ko je Meta Ireland izvedla te prenose na podlagi posodobljenih standardnih pogodbenih klavzul (“SCC”), ki jih je Evropska komisija sprejela leta 2021 v povezavi z dodatnimi dopolnilnimi ukrepi, ki jih je izvajala Meta Ireland, je DPC ugotovil, da ti dogovori niso obravnavajo tveganja za temeljne pravice in svoboščine posameznikov, na katere se nanašajo osebni podatki, ki jih je Sodišče EU opredelilo v svoji sodbi.
Preiskava se je prvotno začela avgusta 2020, nato pa je bila z odredbo višjega sodišča Irske prekinjena do rešitve niza pravnih postopkov do 20. maja 2021. Po obsežni preiskavi je DPC pripravil osnutek odločitve z dne 6. julij 2022. Predvsem je ugotovil, da:
- so bili zadevni prenosi podatkov izvedeni v nasprotju s členom 46(1) GDPR; in
- v teh okoliščinah je treba prenos podatkov začasno prekiniti.
V skladu s postopkom sodelovanja, ki ga določa GDPR (člen 60), je bil osnutek odločitve, ki ga je pripravil DPC, predložen svojim enakovrednim regulatorjem v EU/EGP, znanim tudi kot zadevni nadzorni organi (»CSA«). Narava obdelave, ki je bila predmet preiskave, je bila taka, da so bili vsi drugi nadzorni organi EU/EGP vključeni kot CSA za namene postopka sodelovanja.
V zvezi z vprašanjem neskladnosti družbe Meta Ireland z GDPR in predlogom DPC, da se odredi začasna ustavitev prenosov podatkov, so se CSA strinjali z odločitvijo DPC.
Majhno število 4 od 47 CSA je izrazilo ugovor v zvezi s popravljalnimi pooblastili, ki jih je DPC predlagal v okviru osnutka sklepa. Znotraj te podskupine CSA so vsi štirje CSA zavzeli stališče, da bi bilo treba družbi Meta Ireland naložiti upravno globo za ugotovljeno kršitev. Dva od teh CSA sta tudi zavzela stališče, da bi bilo treba družbi Meta Ireland naložiti ukrepanje za obravnavanje osebnih podatkov, ki so že bili nezakonito preneseni v ZDA, tj. podatkov, prenesenih od julija 2020 do aktualnega datuma obravnave.
DPC se s tem ni strinjal, kar odraža njegovo stališče, da bi izvajanje dodatnih korektivnih pooblastil poleg predlagane odredbe o začasni prekinitvi preseglo obseg pooblastil, ki bi jih lahko opisali kot “primerne, sorazmerne in potrebne” za obravnavanje kršitve člena 46(1). GDPR.
Po neformalnem posvetovalnem procesu je postalo jasno, da soglasja ni mogoče doseči. V skladu s svojimi obveznostmi v skladu z GDPR je DPC posredoval ugovore Evropskemu odboru za varstvo podatkov (»EDPB«) v presojo v skladu z mehanizmom za reševanje sporov iz člena 65.
Evropski odbor za varstvo podatkov je svojo odločitev sprejel 13. aprila 2023. V skladu s svojimi obveznostmi sprejetja svoje končne odločitve „na podlagi“ sklepa Evropskega odbora za varstvo podatkov je v sklepu Odbora za varstvo podatkov z dne 12. maja 2023 evidentirano izvajanje naslednjih korektivnih pooblastil Odbora za varstvo podatkov:
- odredbo, izdano v skladu s členom 58(2)(j) GDPR, ki od Meta Ireland zahteva, da prekine kakršen koli prihodnji prenos osebnih podatkov v ZDA v obdobju petih mesecev od datuma obvestila o odločitvi DPC Meta Ireland;
- upravno globo v višini 1,2 milijarde EUR (kar odraža odločitev EDPB, da je treba naložiti upravno globo za sankcioniranje ugotovljene kršitve. DPC je določil znesek globe, ki naj se naloži glede na ocene in ugotovitve, ki so bile vključene v odločitev EDPB); in
- odredbo, izdano v skladu s členom 58(2)(d) GDPR, ki od družbe Meta Ireland zahteva, da uskladi svoje postopke obdelave s poglavjem V GDPR, tako da preneha z nezakonito obdelavo, vključno s shranjevanjem, osebnih podatkov EU v ZDA. /EEA uporabniki, preneseni v nasprotju z GDPR, v 6 mesecih po datumu obvestila o odločitvi DPC podjetju Meta Ireland.
