Takva situacija se može dogoditi, stečajevi pa zatim i likvidacije su normalni postupci u poslovnom svijetu.

Tvrtke se likvidiraju kad su iscrpljene sve mogućnosti za nastavak poslovanja.

Tvrtka, odnosno, poslodavac, je voditelj obrade za npr. vođenje zakonski obveznih evidencija zaposlenika ili njihovog radnog vremena ili GPS praćenja kretanja službenih vozila ili pak podataka o svojim kupcima u ERP/CRM sustavima i sl.

Pri tom tvrtka, odnosno, poslodavac, vrlo često koristi programska rješenja trećih strana, tzv. izvršitelja obrade, kao tvrtki koje su isporučile programska rješenja ili cloud platforme i održavale su ih tijekom valjanosti ugovornog odnosa s poslodavcem i pružanja mu takvih usluga.

Pri tom se najčešće osobni podaci zaposlenika ili klijenata ili kupaca nalaze upravo na sustavima trećih strana i sve je to u redu dok god postoji važeći ugovor o poslovnoj suradnji i s njim povezan ugovor o obradi podataka iz članka 28. GDPR-a.

No, kad voditelj obrade, poslodavac, odluči ili bude prisiljen „ugasiti sva svijetla“ i zaključiti svoje poslovanje likvidacijom zauvijek, njegova je dužnost je pobrinuti se da se i osobni podaci pohranjeni i obrađivani na platformama izvršitelja obrade trajno i na siguran način izbrišu, unište ili anonimiziraju, uključujući i arhive i sigurnosne kopije.

Skroz otvoreno, pitanje je jel tvrtki koja se u cijelosti gasi uopće u fokusu briga o osobnim podacima. Likvidacijom od nje više ništa ne postoji, nema odgovornih osoba, ali su osobni podaci zaposlenika i klijenata zbog nebrige bivšeg poslodavca i voditelja obrade ostali u sustavima trećih strana.

Likvidacijom tvrtke prestaje valjanost ugovora o poslovnoj suradnji i povezanog ugovora o obradi podataka.

Samim time tvrtke koje su održavale sve te sustave s bazama podataka zaposlenika i klijenata poslodavca više nisu izvršitelji obrade niti nemaju valjani pravni temelj za njihovo daljnje čuvanje ili obrađivanje.

Pitanje je koliko su izvršitelji obrade svjesni da u tom trenutku oni zapravo postaju voditeljima obrade, jer sami odlučuju o svrhi daljnje obrade tih osobnih podataka, zašto ih obrađuju ili čuvaju, na koji rok ih zadržavaju, što s njima rade, s kime ih dijele i sl.

U pravilu nemaju nijedan ispravan odgovor na ova pitanja, ali imaju svu odgovornost prema GDPR-u.

 

Takav slučaj dogodio se u Norveškoj, kada je po likvidaciji voditelja obrade izvršitelj obrade koji je održavao sustav vođenja evidencija radnog vremena zaposlenika voditelja obrade odbio evidencije radnog vremena bivšim zaposlenicima ugašenog voditelja obrade, njima izuzetno bitne kako bi dokazali kolike im plaće nisu isplaćene.

Nije bio svjestan svoje nove GDPR uloge i da kao novonastali voditelj obrade, s obzirom da je zadržao osobne podatke zaposlenika, mora dati GDPR prava bivšim zaposlenicima bivšeg poslodavca. Prijavili su ga nadzornom tijelu za zaštitu podataka s epilogom iznosa 250.000 EUR kazne.

Slučaj je ovdje:

https://gdprhub.eu/index.php?title=Datatilsynet_(Norway)_-_20/02911-20&mtc=today

Image from Freepik

#gdprcroatia