Kao što smo pisali, u petak 13.03.2020. AZOP je objavio detalje o Rješenju kojim se izriče upravno novčana kazna jednoj banci u RH zbog odbijanja dostave osobnih podataka ispitanicima.
Primjetili smo, kako na GDPR Croatia portalu tako i u kontaktima s brojnim pratiteljima, da je od najvišeg ili gotovo isključivog interesa - iznos izrečene kazne.
Naša topla preporuka je da uopće ne trebamo razmišljati o iznosu kazne, to nam nikako ne smije biti prioritet.
Ali, kad je već toliki interes, moramo skrenuti pozornost na članak 48. Zakona o provedbi Opće uredbe o zaštiti podataka (NN 42/18) kojim je određeno slijedeće:
"Pravomoćno rješenje objavljuje se na mrežnim stranicama Agencije bez anonimiziranja podataka o počinitelju, ako je tim rješenjem utvrđena povreda ovoga Zakona ili Opće uredbe o zaštiti podataka u vezi s obradom osobnih podataka maloljetnika, posebnih kategorija osobnih podataka, automatiziranog pojedinačnog donošenja odluke, profiliranja, ako je povredu počinio voditelj obrade ili izvršitelj obrade koji je već bio prekršio odredbe ovoga Zakona ili Opće uredbe o zaštiti podataka ili ako je u vezi s rješenjem donesena odluka o upravnoj novčanoj kazni u iznosu od najmanje 100.000,00 kuna koja je postala pravomoćna."
No, da se vratimo na puno važnije aspekte predmetnog Rješenja AZOP-a:
# Ovo je prvo objavljeno Rješenje AZOP-a o izrečenoj kazni, što je jasan znak da je AZOP, nakon niza upozorenja i izrečenih korektivnih mjera kojima daje određen rok za ispravljanje nedostataka, odlučan u izricanju kazni
# AZOP je izrekao još rješenja o kaznama ali nisu pravomoćna uslijed pokrenutih upravnih sporova pred nadležnim upravnim sudovima sukladno članku 45. stavak 4. već spomenutog Zakona
# AZOP je pokazao nevjerojatnu strpljivost prema Banci izrekavši joj prethodnih 34 (slovima: trideset četiri !!) rješenja u kojima je Banci naložena dostava dokumentacije/ kopija osobnih podataka svim ispitanicima koji su to zatražili, tako da je zaista postojao prostor da se iskrivljeno postupanje poslovnog subjekta ispravi
# Fokus poslovnih subjekata mora se skrenuti s iznosa kazni na USKLAĐENOST postupanja prema odredbama GDPR-a
# Jedan od ključnih segmenata usklađenog postupanja je upravo poštivanje članka 15. GDPR-a, odnosno, prava na pristup podacima svakom pojedincu koji to zatraži.
Jesmo li spremni za ispunjenje takvih zahtjeva pojedinaca?
Imamo li to dokumentirano?
Svaki pojedinac ima pravo dobiti od voditelja obrade potvrdu obrađuju li se osobni podaci koji se odnose na njega te ako se takvi osobni podaci obrađuju, pristup osobnim podacima i sljedećim informacijama:
(a) svrsi obrade;
(b) kategorijama osobnih podataka o kojima je riječ;
(c) primateljima ili kategorijama primatelja kojima su osobni podaci otkriveni ili će im biti otkriveni, osobito primateljima u trećim zemljama ili međunarodnim organizacijama;
(d) ako je to moguće, predviđenom razdoblju u kojem će osobni podaci biti pohranjeni ili, ako to nije moguće, kriterijima korištenima za utvrđivanje tog razdoblja;
(e) postojanju prava da se od voditelja obrade zatraži ispravak ili brisanje osobnih podataka ili ograničavanje obrade osobnih podataka koji se odnose na ispitanika ili prava na prigovor na takvu obradu
(f) pravu na podnošenje pritužbe nadzornom tijelu;
(g) ako se osobni podaci ne prikupljaju od ispitanika, svakoj dostupnoj informaciji o njihovu izvoru;
(h) postojanju automatiziranog donošenja odluka, što uključuje izradu profila, smislenim informacijama o tome o kojoj je logici riječ,
Pri tom se mora i osigurati kopija osobnih podataka koji se obrađuju.