GDPR Cookie Consent by Free Privacy Policy

GDPR: Evo zašto je kažnjen Booking.com

GDPR: Evo zašto je kažnjen Booking.com
POVREDA OSOBNIH PODATAKA
SEEbiz.eu - regionalni poslovni portal
Objavljeno: 31.03.2021 / 20:30
Autor: Ines i Marko Krečak, Centar Feralis
KOLUMNA - Premda su svjetski poznate tvrtke dobro upoznate s tumačenjima GDPR-a u svom poslovanju, povremene objave o značajnim iznosima kazni upravo u tom segmentu govore da snaga brenda nije uvijek u korelaciji s primjenom Opće uredbe.

Nizozemsko nadzorno tijelo za zaštitu podataka izreklo je kaznu u iznosu od 475.000 EUR tvrtki Booking.com radi nepoštivanja roka za prijavu povrede osobnih podataka od 72 sata nakon saznanja o toj povredi.

SLUČAJ BOOKING.COM
Booking.com je 13. siječnja 2019. imao saznanje da je žrtva „phishing“ napada putem kojeg su kompromitirani osobni podaci više od 4.000 korisnika, uključujući i pojedinosti o kreditnim karticama gotovo 300 korisnika. Međutim, o tome je nadzorno tijelo izvijestio tek 22 dana kasnije i time počinio povredu Opće uredbe (GDPR), objavilo je Nizozemsko nadzorno tijelo LINK.

POVREDA PODATAKA I GDPR
Općom uredbom o zaštiti podataka zahtijeva se da, u slučaju povrede, voditelj obrade (u konkretnom slučaju Booking.com) bez nepotrebne odgode obavijesti nadzorno tijelo najkasnije u roku od 72 sata nakon što je saznao za povredu, osim ako nije vjerojatno da će povreda prouzročiti rizik od nastanka negativnih učinaka za pojedince čiji su podaci kompromitirani. Tijekom tog razdoblja voditelj obrade trebao bi procijeniti vjerojatni rizik za pojedince te koje su mjere potrebne za rješavanje problema povrede.

Moguće je da voditelj obrade već ima početnu procjenu potencijalnog rizika koji bi povreda mogla prouzročiti, a ta procjena postoji u okviru procjene učinka na zaštitu podataka. Međutim, procjena učinka na zaštitu podataka može biti općenitija u usporedbi s konkretnim okolnostima stvarne povrede pa će stoga u svakom slučaju biti potrebno provesti dodatnu procjenu uzimajući u obzir te okolnosti te ako je vjerojatno da će nastati negativni učinci voditelj obrade treba što prije u razumnim granicama, obavijesti i pogođene pojedince o povredi.

Kada se točno može smatrati da je voditelj obrade „saznao” za određenu povredu ovisit će o okolnostima konkretne povrede. Međutim, naglasak bi trebalo staviti na hitno djelovanje kako bi se incident istražio i kako bi se poduzele mjere za popravljanje štete te prema potrebi obavijestilo o povredi osobe čiji osobni podaci su povrijeđeni.

PRAKTIČNE PREPORUKE ZA POVREDU PODATAKA
Iako su voditelji obrade i izvršitelji obrade odgovorni za uspostavljanje primjerenih mjera za sprečavanje povreda, reagiranje na njih i njihovo otklanjanje, postoje određene praktične mjere koje bi trebalo poduzeti u svim slučajevima.

• Informacije koje se odnose na sve događaje povezane sa sigurnošću trebale bi biti usmjerene prema odgovornoj osobi ili osobama čiji je zadatak odgovor na incidente, utvrđivanje postojanja povrede i procjenjivanje rizika.
• Potom bi trebalo procijeniti rizik za pojedince koji je prouzročen povredom (vjerojatnost da rizik ne postoji, postoji ili da postoji visoki rizik), pri čemu je potrebno obavijestiti relevantne odjele unutar organizacije.
• Ako se to zahtijeva, o povredi bi trebalo obavijestiti nadzorno tijelo, a možda i pogođene pojedince.
• Istodobno bi voditelj obrade trebao djelovati kako bi obuzdao povredu i otklonio njezine posljedice.
• Povredu bi trebalo kontinuirano dokumentirati tijekom njezina trajanja.

VAŽNOST PRAVOVREMENOG INFORMIRANJA NADZORNOG TIJELA
U skladu s tim, trebalo bi biti jasno da je voditelj obrade obvezan djelovati povodom svakog početnog upozorenja i utvrditi je li stvarno došlo do povrede. U tom kratkom razdoblju omogućuje se da voditelj obrade provede kratku istragu te prikupi dokaze i ostale relevantne pojedinosti. Međutim, nakon što voditelj obrade s razumnim stupnjem sigurnosti utvrdi da je došlo do povrede, i ako su ispunjeni potrebni uvjeti, on mora obavijestiti nadzorno tijelo bez nepotrebne odgode i, ako je izvedivo, najkasnije u roku od 72 sata. Ako voditelj obrade ne reagira pravodobno i ako postane očito da je došlo do povrede, to se može smatrati neobavješćivanjem

POVREDA PODATAKA SE MOŽE DOGODITI SVAKOME
Povrede osobnih podataka se događaju čak i kada su poduzete dobre mjere zaštite. No, bitno je pravodobno reagirati i u skladu s pravilima Opće uredbe postupati kada se takve povrede dogode kako bi se ublažile negativne posljedice i moguće kažnjavanje.

Tagovi: Booking.com, osobni podaci, GDPR
PROČITAJ I OVO
Zlato uzmiče pred bitcoinom
ZAŠTITA OD INFLACIJE
Zlato uzmiče pred bitcoinom
KOLUMNA - Tržište kriptovaluta i ovoga je tjedna donijelo poprilično uzbuđenja. Zanimljivo, najpopularnija kriptovaluta bitcoin ovoga puta nije bila u prvom planu.
Pandemijalci: Nezaposlenost i izgubljena COVID-19 generacija
IZGUBLJENA GENERACIJA
Pandemijalci: Nezaposlenost i izgubljena COVID-19 generacija
KOMENTAR - Mladi širom svijeta suočavaju se s ozbiljnim izazovima u obrazovanju, ekonomskom prosperitetu i mentalnom zdravlju.
Mogla si uzeti Mercedes
AFERE
Mogla si uzeti Mercedes
KOLUMNA - Slučaj Kovačević je rijedak, ako ne i jedini ovakve vrste i kalibra koji doživljava pravosudnu završnicu, od čijih sudionika svi peru ruke osim odanih odvjetnika.
Dug bolnica: Država voli kapitalizam kad prima i socijalizam kad daje
ZDRAVSTVO
Dug bolnica: Država voli kapitalizam kad prima i socijalizam kad daje
KOLUMNA - Rat veledrogerija i Vlade se nastavlja. Primirje bi trebalo uslijediti kroz desetak dana. U međuvremenu smo naučili da država voli kapitalizam kad prima i socijalizam kad daje.
Zaštita osobnih podataka i nove tehnologije na radnom mjestu
GDPR
Zaštita osobnih podataka i nove tehnologije na radnom mjestu
KOLUMNA - Brzo uvođenje novih informacijskih tehnologija na radnome mjestu u smislu infrastrukture, aplikacija i pametnih uređaja omogućuje nove vrste sustavne i potencijalno invazivne obrade osobnih podataka na radnome mjestu.
@ 2020 SEEbiz. All Rights Reserved.
CLOSE