Zbog neznanja je jedna talijanska tvrtka platila kaznu od 30.000 EUR.
 
Zaposlenik tvrtke je pronašao u službenom vozilu uređaj za praćenje kretanja vozila GPS sustavom, a ni na koji način ga poslodavac nije upoznao o tome, niti da se prati njegovo kretanje praćenjem kretanja službenog vozila, o svrhi praćenja, pravnom temelju, rokovima pohrane i opsegu prikupljenih osobnih podataka, kao i o njegovim GDPR pravima.
 
Međutim, zaposlenik je vidio na uređaju oznaku tvrtke Verizon koja održava taj GPS sustav praćenja vozila i obratio se njima sa zahtjevom za pristupom osobnim podacima.
 
Stvar je eskalirala prijavom nadzornom tijelu za zaštitu podataka kojem je Verizon tvrdio da se oni nalaze u ulozi izvršitelja obrade u ime poslodavca koji prati svoja vozila i
da iz tog razloga ne odgovara na GDPR zahtjeve praćenih zaposlenika poslodavca. Također su naveli da je ugovorni odnos s poslodavcem završio 2020. godine i da od tada ne rade obrade osobnih podataka u ime poslodavca.
 
Između Verizona kao izvršitelja obrade i poslodavca dotičnog zaposlenika kao voditelja obade nije bio sklopljen ugovor o obradi podataka prema članku 28. GDPR-a.
 
Tu se Verizon vrlo čudno ponio tvrdeći da takva obveza u GDPR-u nije jasno navedena, ali da su ispunjavali sve obveze izvršitelja obrade.
 
Naravno, nadzorno tijelo je "sasjeklo" tvrdnje Verizona u korijenu, napomenuvši da se između voditelj i izvršitelja obrade moraju sklopiti Ugovori o obradi podataka prema članku 28. GDPR-a.
 
Pri tom je nadzorno tijelo navelo da, s obzirom da takav ugovor između voditelja obrade i izvršitelja obrade nije postojao, Verizon je podlijegao istim obvezama koje se primjenjuju na voditelja obrade.
 
Moramo priznati da se prečesto u svakodnevnoj praksi susrećemo sa slučajevima nepostojanja sklopljenih ugovora o obradi podataka između voditelja i izvršitelja obrade prema članku 28. GDPR-a, kao za GPS nadzor vozila, tako i za održavanje sustava videonadzora ili za održavanje programskih rješenja ili IT sustava.
 
Dodatno je za sustav GPS nadzora kretanja obvezno provesti i Procjenu učinka na zaštitu podataka (DPIA, Data Protection Impact Assessment).
 
 
Više o slučaju:
 
https://gdprhub.eu/index.php?title=Garante_per_la_protezione_dei_dati_personali_(Italy)_-_no._9856694&mtc=today
 
Image from FreePik
 
#gdprcroatia