Čitajući obrazloženje rješenja AZOP-a ne možemo izbjeći konstatirati da je kažnjena tvrtka pokušavala na razne i naivne načine odugovlačiti pri nadzoru AZOP-a, a pri tom im nije palo na pamet da su izuzetno stručni nadzornici AZOP-a prošli brojne slučajeve iz kojih su stekli iskustva kakva nitko od nas nema, da ne spominjemo razne inovativne pokušaje odugovlačenja ili zavaravanja stručnih ljudi AZOP-a.

Odmah ćemo reći – s AZOP-om se mora i treba surađivati, alternative tome nema.

Tko god misli drugačije, treba provjeriti članak 83. stavak 2. točku f. GDPR-a i prihvatiti da izbjegavanje suradnje s AZOP-om samo drastično pogoršava situaciju.

 

S druge strane, kažnjena poznata tvrtka imenovala je službenikom za zaštitu podataka vlastitog direktora, koji je samim time u sukobu interesa i u kršenju GDPR-a, da ne spominjemo ostala znanja i stručnost u području zaštite osobnih podataka, posebice kad uočimo da kažnjena tvrtka smatra da osobni podaci vlasnika obrta (OIB i njegova adresa prebivališta) nisu osobni podaci, kao i da imaju temelja za takvu obradu u zakonu o pravu na pristup informacijama.

Citiramo:

„…temeljni okvir na kojem prikupljaju informacije Zakon o pravu na pristup informacijama, Zakon o obrtu te ostali zakoni koji propisuju slobodan protok informacija koje su u interesu javnosti, odnosno da je prikupljanje tih informacija legitimni interes tvrtke, njihovih klijenata te javnosti Republike Hrvatske. Nadalje, u navedenom dokumentu se navodi da su podaci koje društvo prikuplja vezani isključivo na podatke koji su vezani na poslovanje i da su isti već kao takvi javno objavljeni svugdje odnosno, da bez tih podataka društvo _ d.o.o. ne bi moglo pružati svoje usluge svojim korisnicima, što znači da ne bi mogli poslovati i nuditi svoje usluge. Stoga, društvo _ d.o.o. smatra/zaključuje da je obrada tih podataka nužna, a pogotovo jer se ne radi o osobnim podacima fizičkih osoba.“

 

Jao. Sve jako krivo.

 

Tijekom nadzora priznali su da podatke o tvrtkama i obrtima, kao i o njihovim vlasnicima ili direktorima prikupljaju iz raznih izvora, što izravno od FINA-e temeljem ugovora s njima, što iz javno dostupnih izvora, raznih javnih registara, e-objava sudova i telefonskih imenika.

Imaju li pri tom valjani pravni temelj za prikupljanje i daljnju obradu osobnih podataka pojedinaca?

Imali bi ga da su zakonom obvezni do raditi. No, nisu.

Jedino im preostaje obrađivati tako prikupljene osobne podatke vlasnika ili članova uprava tvrtki ili obrta temeljem njihove privole, što nikad ne traže, ili temeljem legitimnog interesa kada navedene fizičke osobe to moraju razumno očekivati pod uvjetom da interesi ili temeljna prava i slobode ispitanika nemaju prednost i kada su pravovremeno informirani da su njihovi osobni podaci kupljeni ili skrejpani (eng. scrape) iz drugih izvora.

Kažnjena tvrtka je tijekom nadzora izjavila da u svrhu opravdavanja postojanja legitimnog interesa imaju izrađen dokument testa razmjernosti legitimnog interesa (LIA - Legitimate Interest Assessment), ali gle čuda, ne mogu sada pronaći taj dokument.

Tijekom nadzora je utvrđeno i da imaju dokument „pravila zaštite osobnih podataka“ ali taj tekst nije ni blizu onog koji je „omaškom“ ostao javno objavljen na web stranicama, tako da je i transparentnost i informiranost obrta i fizičkih osoba ostala „u mraku“.

 

Rješenje AZOP-a je ovdje:

https://azop.hr/wp-content/uploads/2025/04/nezakonita-obrada-osobnih-podataka-obrtnika.pdf

Image from Freepik

#gdprcroatia #biconsult #azop #gdpr