O tome štedionica nije obavijestila klijenta jer je službenik za zaštitu podataka zauzeo stav da ne postoji visok rizik za prava i slobode klijenta.

Zaposlenik štedionice je priznao krivnju,naglasio je da nije osobne podatke nikome prosljeđivao i potvrdio da to neće više raditi. Suočio se i s disciplinskim mjerama poslodavca.

Štedionica je o ovom incidentu obavijestila nadležno nadzorno tijelo i, usput, moramo priznati da ne vjerujemo da bi kod nas takve slučajeve financijske ustanove prijavljivale. 

Čini nam se da je štedionica prijavila to nadzornom tijelu jer nisu mogli potpuno zataškati incident.

Nakon nekog vremena je dotični klijent štedionice saznao što se dogodilo i požalio se nadzornom tijelu koje mu je odgovorilo da nije razmatralo izricanje kazne.

Razočarani klijent je pokrenuo sudsku tužbu i njemački je sud podnio zahtjev Europskom sudu za prethodnim mišljenjem kakvo smo na najsažetiji način naveli u naslovu ovog posta.

Stajalište Europskog suda ide u smjeru da se nadzorno tijelo može suzdržati od izricanja korektivnih mjera i upravnih novčanih kazni ako je voditelj obrade već sam poduzeo potrebne mjere na vlastitu inicijativu nakon što je uočio nedostatke u svojim organizacijskim i tehničkim mjerama.

Pri tom je važno uočiti da je voditelj obrade, čim je postao svjestan povrede podataka, odmah poduzeo potrebne mjere kako bi se osiguralo da se ta povreda okonča i da se više ne ponavlja.

Ipak, Europski je sud dao do znanja da GDPR ostavlja nadzornom tijelu diskreciju u pogledu načina na koji će reagirati od slučaja do slučaja

Ta je diskrecija ograničena potrebom da se osigura dosljedna i visoka razina zaštite osobnih podataka kroz snažnu provedbu GDPR-a.

#gdprcroatia