Upravo smo ovih dana naišli na slučaj u kojem voditelj obrade želi angažirati izvršitelja obrade bez obzira što ga njegov službenik za zaštitu podataka upozorava da postoje informacije da izvršitelj obrade ne jamči ono što članak 28. stavak 1. izrijekom zahtjeva.
Možda će voditelj obrade pročitati ovaj slučaj iz Italije, u kojem se kompanija – opskrbljivač električnom energijom zaprimila prigovore korisnika da primaju neželjene marketinške pozive, štoviše, prije toga su se upisali u talijanski registar „Ne zovi“ kako bi zabranili pozivanje u svrhe marketinga i prodaje.
Stvar je eskalirala kad se kompanija obratila svojim korisnicima obrazloženjem da ih nije ona kontaktirala već ih poziva podangažirana tvrtka za daljinsku prodaju, koja je dobila zadata prikupiti pristanak korisnika da ih se može kontaktirati.
Pri tom se voditelj obrade „vadio“ da lijepo ima u ugovoru s podangažiranom tvrtkom za telesales, kao izvršiteljem obrade, unesenu odredbu da voditelj obrade u čije ime se obavljaju pozivi nema nikakvu odgovornost za činjenje od strane izvršitelja obrade.
Bojimo se da je voditelja obrade savjetovao netko tko ne poznaje suštinu GDPR odredbi.
Uključilo se nadzorno tijelo za zaštitu osobnih podataka koje je jasno istaknulo:
֍ Članak 28. stavak 1. GDPR-a lijepo kaže:
„Ako se obrada provodi u ime voditelja obrade, voditelj obrade koristi se jedino izvršiteljima obrade koji u dovoljnoj mjeri jamče provedbu odgovarajućih tehničkih i organizacijskih mjera na način da je obrada u skladu sa zahtjevima iz ove Uredbe i da se njome osigurava zaštita prava ispitanika.“
֍ Nikakva odredba u ugovoru između voditelja i izvršitelja obrade ne može isključiti odgovornost voditelja obrade za nepoštivanje GDPR odredbi izvršitelja obrade
֍ Obrada od strane izvršitelja obrade obavlja se isključivo u ime voditelja obrade i voditelj obrade zbog postupanja izvršitelja obrade nema valjani pravni temelj za obradu osobnih podataka korisnika niti je time ispoštovao temeljna načela iz članka 5. GDPR-a
֍ Posljedica konkretnog slučaja je da je oko 5.000 ugovora s korisnicima sklopljeno nezakonitom obradom osobnih podataka.
Izrečena kazna bila je ozbiljnog iznosa. To im nije trebalo.
Više o slučaju:
Image by master1305 on Freepik
#gdprcroatia
