Nije tajna da u EU raste broj tvrtki koje su pronašle način za zaradu od GDPR-a pružanjem posredničkih usluga i sučelja putem kojih fizičke osobe mogu podnositi zahtjeve voditeljima obrade za pristupom svojim osobnim podacima. Vjerojatno su takve usluge posredovanja i pomogle brojnim pojedincima koji nisu znali za svoja GDPR prava ili kako podnijeti zahtjeve.
 
Donosimo slučaj iz Finske iz rubrike "za ne povjerovati"...
 
Fizičke osobe koje žele koristiti posredničke usluge online platforme za ostvarivanje svog prava na pristup vlastitim osobnim podacima u raznim tvrtkama i organizacijama moraju se prethodno registrirati na web portal.
 
Sama usluga se ne naplaćuje, ali se naplaćuje trošak identifikacije samog podnositelja zahtjeva.
 
S druge strane, tvrtke, udruge, organizacije, jednom riječju - voditelji obrade, plaćaju 300 EUR godišnje ukoliko žele zaprimati zahtjeve za pristupom osobnim podacima putem te platforme.
 
Priznat ćemo, ne uspijevamo razaznati benefite za voditelje obrade, s obzirom da su sami odgovorni zaprimiti zahtjeve, identificirati podnositelje zahtjeva i odgovoriti u zadanim rokovima, najkasnije u roku mjesec dana.
 
Problem za vlasnike posredničke online platforme počinje trenutkom prijave nadzornom tijelu od strane 7 tvrtki koje su, bez sklopljenog ugovora s online platformom, počele dobivati zahtjeve fizičkih osoba za pristupom svojim osobnim podacima.
 
Nadzorno tijelo utvrdilo je ozbiljna kršenja GDPR-a od strane tvrtke koja je namjeravala zarađivati na GDPR-u:
 
- nisu osigurali jasne i transparentne informacije o tome kome i temeljem čega prosljeđuju njihove osobne podatke uz neispravan pravni temelj za obrade osobnih podataka podnositelja zahtjeva
 
- gurnuli su korisnicima prilikom registracije da pristaju na izravni marketing, čime privole korisnika nisu bili predmetom slobodne volje pa samim time nisu bile ni zakonite s obzirom na GDPR
 
- pošto su obrađivali osobne podatke podnositelja zahtjeva u ime voditelja obrade koji su ih angažirali da putem platforme dobivaju zahtjeve za pristupom osobnim podacima, morali su sklapati ugovore o obradi podataka iz članka 28. GDPR-a i ugovore o samoj usluzi, i nisu smjeli zaprimati zahtjeve prema neugovorenim voditeljima obrade
 
Zanimljivo je da finsko nadzorno tijelo nije gledalo na naplatu troška identifikacije podnositelja zahtjeva kao nezakonit trošak, i tu se ne možemo složiti jer smatramo da pravo na pristup osobnim podacima mora biti uvijek potpuno besplatno, osim ako se radi o traženju dodatnih kopija osobnih podataka.
 
Po nama identifikacija podnositelja zahtjeva mora biti besplatna.
 
Više o slučaju na:
 
https://gdprhub.eu/index.php?title=Tietosuojavaltuutetun_toimisto_(Finland)_-_7099/183/2018&mtc=today
 
 
 
Photo by Mikhail Nilov from Pexels