Naslov ovog posta je zaista nevjerojatan, na granici senzacionalizma, sve dok nas informacija iz Danske ne uvjeri da je istinit.
Pročitajte i sami:
https://edpb.europa.eu/news/national-news/2020/belgian-dpa-imposes-eu20000-fine-proximus-several-data-protection_en
Fizička osoba kao korisnik telekomunikacijskih usluga tražila je od svog telekom operatora da onemogući javnu objavu njegovih osobnih podataka, konkretno, imena i prezimena, adrese i telefonskog broja.
Kako je telekom operator prikupio te podatke i inicijalno ih javno objavio, tako je imao obvezu prema nacionalnoj regulativi te podatke dati i pružatelju javnih telefonskih imenika u toj zemlji, vrlo slično kako je uređeno i kod nas.
Temeljem zahtjeva svog korisnika, telekom operator je potvrdio da će učiniti osobne podatke svog korisnika - fizičke osobe nejavnima, odnosno, da će ih ukloniti iz vlastitog javno objavljenog telefonskog imenika i ostalih javnih telefonskih imenika kojima je te podatke dao.
Nažalost, iako su rokovi za takvu reakciju vrlo kratki, i nakon nekoliko mjeseci osobni podaci fizičke osobe su ostali javno dostupni.
Svojim je zahtjevom korisnik telekom usluga zatražio povlačenje privole na takvu obradu njegovih podataka i stvar je morala biti izvršena bez pogovora.
Radi se o zahtjevu prema ePrivacy Direktivi koja je u nacionalno domaće zakonodavstvo transponirana kroz Zakon o elektroničkim komunikacijama kojeg možete pročitati ovdje:
https://mmpi.gov.hr/UserDocsImages/arhiva/ZEK2008-2017-procisceni.pdf
Članak 47. stavak 4. tog Zakona u RH definira slijedeće:
"Operator javno dostupnih telefonskih usluga mora unaprijed, bez naknade, izvijestiti krajnje korisnike usluga o namjeri unošenja njihovih osobnih podataka u javni imenik pretplatnika, u elektroničkom ili tiskanom obliku, o pravu na besplatno unošenje osobnih podataka u javni imenik pretplatnika prema vlastitom izboru, vodeći računa o nužnom broju podataka, koje je davatelj usluge imenika odredio radi ostvarivanja svrhe imenika, kao i o pravu na besplatne provjere, izmjene, dopune ili brisanje osobnih podataka iz javnog imenika pretplatnika.
Krajnji korisnici usluga mogu zatražiti, bez naknade, da njihovi osobni podaci ne budu uneseni u javni imenik pretplatnika."
Zapravo se ovdje radi o privoli, a kako parametre valjane privole utvrđuje GDPR kao lex-generalis ili opći propis po pitanju zaštite osobnih podataka, čiji odnos s ePrivacy Direktivom utvrđuje članak 95. GDPR-a, na obveze iz ePrivacy Direktive se primjenjuju obveze o privoli iz GDPR-a.
Prema GDPR-u, nepostupanjem po zahtjevu korisnika za brisanjem osobnih podataka iz telefonskog imenika, odnosno, povlačenjem privole, telekom operator je ostao bez ijednog zakonitog temelja iz članka 6. GDPR-a za javnom objavom tih podataka i ogriješio se i o članak 7. GDPR-a, te načelno o članke 24. i 5 (2).
Dodatno, telekom operator nije jasno komunicirao s korisnikom s obzirom na njegova prava u svojstvu ispitanika, te je ukupna kazna zaista postala iznimno velika.
Da bude stvar po telekom operatora još gora, nadrzorno je tijelo javno objavilo taj slučaj iz razloga općeg javnog interesa.
Vjerujemo da je ovo dobar primjer upozorenja domaćim telekom operatorima.