Istina, zgodno nam je i nasmije nas kad u brojnim angažmanima revizije GDPR usklađenosti niza organizacija nalazimo da su dokumenti datirani na 24. ili 25. svibnja 2018.
Ali, vrlo iskreno, ta neiskrenost nikome ne ide u prilog.
Zašto ne bismo naveli stvarni datum donošenja određenog dokumenta, svako nadzorno tijelo će lako provjeriti istinitost tog datuma iz niza drugih informacija, ako ništa drugo iz informacija o samom dokumentu provjerom u File Properties: File – Info – Created ili Last Modified. Osim toga, danas, 5 i pol godina nakon početka pune primjene GDPR-a nije nimalo pohvalno pokazivati dokumente iz svibnja 2018. jer ih svakako treba redovito unaprjeđivati i ažurirati.
Gdje god smo došli u reviziju, dokumenti iz 2018. nam se dana čine smiješnima.
Jedna od najvažnijih vrsta dokumenata su i Ugovori o obradi podataka prema članku 28. GDPR-a i definitivno im ne valja „naštimavati“ datume sklapanja niti ih primjenjivati retroaktivno.
O tome nam govori primjer iz Belgije, gdje je pojedinac dobio kaznu za parking.
Nezadovoljan kaznom zatražio je dokaze o kršenju pravila parkinga i dobio je nekoliko fotografija svog vozila od stranme jedinice lokalne samouprave.
Zatražio je (vjerojatno temeljem prava na pristup informacijama) i uvid u ugovor o obradi podataka između JLS-a kao voditelja obrade i tvrtke kao izvršitelja obrade koja izdaje kazne i ubire uplaćene iznose u ime JLS.
Uočio je da u trenutku kršenja pravila parkiranja između JLS i te tvrtke nije postojao valjani ugovor o obradi podataka prema članku 28. GDPR-a, pa se požalio i JLS-u i toj tvrtki.
Uključeno je i nadzorno tijelo za zaštitu osobnih podataka, s obzirom da je takav ugovor iz članka 28. morao biti sklopljen.
Utvrdilo je da su kasnije sklopljenim ugovorom JLS i tvrtka ugovorili i retroaktivnu primjenu, i utvrdili da odredba o retroaktivnosti primjene ne može zamijeniti izostanak važećeg ugovora o obradi podataka u trenutku kad se već obrada odvija, jer bi takva „umjetna retroaktivnost“ zaobišla smisao sklapanja ugovora o obradi podataka iz članka 28. GDPR-a, odnosno, pravovremeno osiguranje traženih mjera zaštite osobnih podataka između voditelja i izvršitelja obrade i utvrđivanje zakonitosti takve obrade jedne strane u ime druge ugovorne strane.
Štoviše, voditelj obrade je obvezan ispitanike obavijestiti o izvoru osobnih podataka i primateljima osobnih podataka temeljem odredbe članka 14. GDPR-a, za što u danom trenutku nije bilo zakonitog temelja.
Više o slučaju iz Belgije:
https://gdprhub.eu/index.php?title=APD/GBA_(Belgium)_-_137/2023&mtc=today
Image from FreePik
#gdprcroatia