I svatko od nas fizičkih osoba može biti kažnjen za nepoštivanje GDPR obveza.
Pogledajmo definicije iz članka 4. GDPR-a:
7. „voditelj obrade” znači FIZIČKA ili pravna osoba, tijelo javne vlasti, agencija ili drugo tijelo koje samo ili zajedno s drugima određuje svrhe i sredstva obrade osobnih podataka; kada su svrhe i sredstva takve obrade utvrđeni pravom Unije ili pravom države članice, voditelj obrade ili posebni kriteriji za njegovo imenovanje mogu se predvidjeti pravom Unije ili pravom države članice;
8. „izvršitelj obrade” znači FIZIČKA ili pravna osoba, tijelo javne vlasti, agencija ili drugo tijelo koje obrađuje osobne podatke u ime voditelja obrade;
Svaka fizička osoba, ako postupa s osobnim podacima drugih osoba na način da to nije u skladu s privatnim ili kućnim svrhama bez ikakve profesionalne ili komercijalne svrhe, obveznik je GDPR-a.
Prilikom privatne ili kućne svrhe važno je da je komunikacija ograničena na vrlo ograničen i poznat broj ljudi koji razmjenjuju osobne podatke unutar zatvorene grupe bez ikakve profesionalne ili komercijalne svrhe.
Imamo vrlo zanimljiv slučaj iz Austrije u kojem je fizička osoba kažnjena iznosom od 600 EUR jer je podijelila osobne podatke (zdravstvenu dokumentaciju) s trećom stranom bez razmišljanja ima li valjani pravni temelj za isto.
Osoba A je bila zaposlena u jedinici lokalne uprave i bila je prije nekoliko godina na bolovanju kojem je uzrok bila osoba B, prema stajalištu jedinice lokalne uprave. Osoba A je tužila osobu B radi potraživanja naknade za učinjeno.
U dodatnom naknadnom sudskom postupku osoba B je došla u posjed zdravstvene dokumentacije osobe A i uvidom u nju zaključila da nije bila kriva za nanesenu štetu i uzrokovanje bolovanja osobe A, odnosno, sama je zaključila da je jedinica lokalne uprave krivo procijenila njenu krivicu.
Stoga je prikupljenu zdravstvenu dokumentaciju osobe A poslala jedinici lokalne uprave, iako nikakav sudski ili žalbeni postupak nije bio pokrenut. Time je osoba B postala obveznik GDPR-a i voditelj obrade za osobne podatke osobe A.
Međutim, kako se ovdje radi o zdravstvenim podacima, tada se primjenjuje članak 9. GDPR-a i obveza ispunjenja barem jednog izuzeća iz članka 9. stavka 2. GDPR-a od opće zabrane obrađivanja zdravstvenih podataka.
Osobi B preostala je jedina mogućnost postupanja uz prethodno dobivenu izričitu privolu osobe A, što je osoba B propustila zatražiti. Na njenu žalost nije poznavala članak 9. stavak 2. GDPR-a, što je dovelo do nemale kazne.
Ovaj slučaj nam govori i koliko je važno da svatko od nas poznaje osnove GDPR-a kako isto ne bismo naučili putem neželjenih kazni.
Više o slučaju na:
https://gdprhub.eu/index.php?title=DSB_(Austria)_-_2021-0.518.795
Photo by Pexel