GDPR Cookie Consent by Free Privacy Policy

GDPR: Izrečena prva kazna zbog neimenovanja predstavnika voditelja obrade

GDPR: Izrečena prva kazna zbog neimenovanja predstavnika voditelja obrade
KAZNA
SEEbiz.eu - regionalni poslovni portal
Objavljeno: 01.06.2021 / 19:43
Autor: Ines i Marko Krečak, Centar Feralis
KOLUMNA - Nizozemsko nadzorno tijelo za zaštitu osobnih podataka (DPA) je izreklo kaznu od 525.000 eura web stranici Locatefamily.com. Iako je riječ o značajnom iznosu, u usporedbi s najvišim iznosima do sada izrečenih kazni ova kazna ne bi po iznosu trebala buditi posebni interes. (GDPRhub.eu).

Posebnost ovog slučaja je u tome što je po prvi put izrečena upravna novčana kazna tvrtki čije je sjedište van EU, a nema nastan ni podružnicu unutar EU. Kazna je izrečena zbog neimenovanja predstavnika voditelja obrade u EU (DP predstavnika). Locatefamily.com je usluge nudio u cijelom svijetu, a između ostalih i građanima EU, točnije u najmanje osam država članica, voditelj obrade se nije mogao pozvati na izuzeće u smislu povremene obrade, čija je definicija jasno propisana u Smjernicama Europskog odbora za zaštitu podataka 03/2018.

U idućem razdoblju bit će zanimljivo vidjeti hoće li kazna potaknuti provjere i ostalih subjekata izvan EU a koje nude robu i usluge na području Europske unije od ostalih Nadzornih tijela za zaštitu podataka, što do sada nije bio osobito čest slučaj. U tom smjeru je bio obeshrabrujući stav luksemburškog nadzornog tijela za zaštitu podataka u slučaju protiv Rocketreach, koje je unatoč obradi osobnih podataka tisuća građana Luksemburga i nekoliko stotina tisuća građana EU, odbilo pokrenuti istragu jer navedena tvrtka nema imenovanog Predstavnika u EU. Time se činilo da su Nadzorna tijela za zaštitu osobnih podataka u EU prilično nemoćna prema tvrtkama bez nastana u EU i bez imenovanog DP predstavnika.

Funkcija i odgovornosti Predstavnika voditelja i izvršitelja obrade su od primjene GDPR bile nekako nevidljive u svojoj punoj primjeni. Kao razlozi tome mogu se navesti kompleksnost takve funkcije koja bi trebala obuhvaćati poznavanje zakona i običaja najčešće više članica EU, ali i relativna pravna nemoć europskih nadzornih tijela u smislu pravnih istraga i uspjeha sankcija posebice protiv manjih tvrtki.
Također treba napomenuti da iako slične, funkcija Predstavnika voditelja i izvršitelja obrade i službenika za zaštitu podataka nisu istovjetne funkcije samo s razlikom poslovnog nastana subjekta.

O funkciji EU predstavnika i glavnim značajkama, ali i izuzećima kod obavljanja njegove funkcije pročitajte u nastavku teksta.

Kako su zaštićeni naši osobni podaci kod subjekata s poslovnim nastanom van EU i kako GDPR gleda na to?

Teritorijalno područje primjene GDPR se odnosi na organizacije koje imaju sjedište ili podružnicu na teritoriju EU, bez obzira obrađuju li osobne podatke unutar ili izvan EU. Time je Uredba jasno regulirala obradu osobnih podataka na svom teritoriju. Ali, kada organizacija nema sjedište ili fizički ured u EU, a ciljano nudi robu i usluge ili osobne podatke građana EU koristi za njihovo praćenje, mora imenovati svog predstavnika sa sjedištem unutar Unije bez obzira da li su voditelj ili izvršitelj obrade.

Tko je predstavnik voditelja ili izvršitelja obrade?

U osnovi, funkcija Predstavnika je uvedena kako bi se olakšala komunikacija u provedbi GDPR-a na organizacije koje ciljano obrađuju osobne podatke građana EU, a nemaju sjedište ili ured u EU, a samim time i da im Nadzorno tijelo može izreći korektivne mjere i novčane kazne.
GDPR dozvoljava da organizacija imenuje jednog predstavnika za poslovanje na cijelom teritoriju EU.

Ako organizacija provodi obradu u npr. Hrvatskoj, Mađarskoj i Sloveniji, treba imenovati predstavnika u jednoj od te tri zemlje. Bez obzira na teritorijalni opseg obrade u EU, preporuka je da predstavnik bude u zemlji u kojoj se obrađuje najveći broj osobnih podataka, ali da bude dostupan na jezicima razumljivim svim ispitanicima i Nadzornim tijelima.

Voditelj ili izvršitelj obrade pisanim ovlaštenjem imenuje svog predstavnika da djeluje u njegovo ime.

Predstavnik može biti fizička ili pravna osoba, a njegova odgovornost može biti propisana kao dio poslovnih ugovora ili kao jedinstvena usluga namijenjena samo za ispunjenje obveze prema Uredbi. S druge strane, predstavnik može djelovati za više različitih voditelja i izvršitelja obrade.

Predstavnik vodi računa da obrada osobnih podataka bude u skladu s GDPR-om. U prvom redu mora omogućiti učinkovitu komunikaciju s ispitanicima u pogledu ostvarivanja njihovih prava i na zahtjeve Nadzornog tijela za provjeru usklađenosti Voditelja/Izvršitelja obrade. Premda je Voditelj/Izvršitelj odgovoran za sadržaj Evidencija obrade aktivnosti, Predstavnik je dužan voditi računa da su Evidencije uvijek ažurirano dostupne Nadzornom tijelu.

Znači, predstavnik voditelja ili izvršitelja obrade (Predstavnik) za organizaciju van EU je isto što i službenik za zaštitu podataka (Službenik) za organizaciju unutar EU?

Pored niza sličnosti u djelovanju, u ovom dijelu ćemo se osvrnuti samo na različitosti u djelovanju ove dvije funkcije. Službenik se imenuje na temelju stručnih kvalifikacija i znanja o pravu i zaštiti osobnih podataka sa dovoljnom razinom autonomije da djeluje neovisno i bez uputa Voditelja ili izvršitelja obrade koji njegove kontakt podatke dostavlja Nadzornom tijelu. Predstavnik je imenovan da djeluje u ime Voditelja ili Izvršitelja i prema njegovim izravnim uputama.

Njegova stručnost nije uvjet, ali je preporuka i u interesu je Voditelja i Izvršitelja. Voditelj i Izvršitelj neće snositi sankcije ako kontakt podatke Predstavnika ne priopće Nadzornom tijelu, ali u pogledu informiranja građana njegovi kontakt podaci trebaju biti dostupni prije prikupljanja osobnih podataka (npr. u Izjavi o privatnosti).

Postoje li iznimke od imenovanja Predstavnika?

Imenovanje Predstavnika za organizacije sa poslovnim sjedištem i uredom izvan EU nije obvezujuće:

• za tijela javne vlasti ili javno tijelo. Tko su ta tijela, Opća uredba nije precizirala, ali se smatra da bi trebala biti propisana nacionalnim zakonodavstvom, a po prirodi djelovanje i ponašanje takvih tijela u ponudi roba i usluga bi trebalo biti ograničeno;
• ako je obrada podataka povremena, tj. nije redovita i van uobičajenih aktivnosti poslovanja, ne predstavlja visok rizik za prava i slobode pojedinaca i ne uključuje podatke koji se odnose na kaznene osude ili u velikoj mjeri podatke posebne kategorije.

Tagovi: GDPR, Locatefamily.com, Europski odbor za zaštitu podataka, zaštita osobnih podataka
PROČITAJ I OVO
Ima li koristi od međunarodnih sankcija?
SANKCIJE
Ima li koristi od međunarodnih sankcija?
KOMENTAR - Diktator terorizira svoj narod. Zemlja napada svog susjeda. Režim radi na razvijanju nuklearnog oružja. To su uobičajene krize koje prijete miru, stabilnosti i nacionalnim interesima. Kako se njima suprotstaviti?
Preuzimanje OMV-a u Sloveniji dobra vijest za MOL i Inu, ali i za Rafineriju Rijeka
ANALIZA
Preuzimanje OMV-a u Sloveniji dobra vijest za MOL i Inu, ali i za Rafineriju Rijeka

ANALIZA - Transakcija je dobra vijest i za Hrvatsku, točnije za Rafineriju Rijeka jer sad više nema nikakve sumnje da će se realizirati najavljena velika ulaganja. Slovenija je prirodno tržište za Rafineriju Rijeka.

Čedin sunovrat u političku nebitnost
JUNAK CRNE KRONIKE
Čedin sunovrat u političku nebitnost
KOLUMNA - Besmisao bavljenja politikom level pro ili kada imaš više koalicionih partnera na glasačkom listiću nego osvojenih glasova.
Nogometno ljeto protiv ružičaste apatije
NOGOMET I DRUŠTVO
Nogometno ljeto protiv ružičaste apatije
KOLUMNA - Naravno da su nade vladajućih uprte u Europsko prvenstvo. Što će duže Hrvatska broditi turnirom u kojem igra pola Europe, to će manje biti pozornosti na klapu Hedonist s Markova trga.
Sirovine značajno skuplje, a do njih je teško i doći
GLOBALNA TRŽIŠTA
Sirovine značajno skuplje, a do njih je teško i doći
KOLUMNA - Sirovinama na europskom tržištu odakle se njima opskrbljuje naše gospodarstvo, od početka godine raste cijena zbog nemogućnosti dobavljača, čije je poslovanje poremetila koronakriza, da zadovolje naraslu potražnju industrije.
@ 2020 SEEbiz. All Rights Reserved.
CLOSE