Kazna zbog obrade osobnih podataka iz javno dostupnih izvora

In Praksa, Sve vijesti, Zanimljivostiby stankocerin

Voditelji obrade često posežu za podacima koji su javno objavljeni u raznim registrima i koriste ih za različite (nepodudarne) svrhe, a o tome ne obavještavaju ispitanike i ne pružaju im mogućnost da se usprotive takvoj obradi i ostvare svoja prava. Na ovaj način grubo se krši načelo transparentnosti i obveza iz članka 14. Opće uredbe.

Upravo zbog ovakvog prekršaja, 26. ožujka 2019. poljsko nadzorno tijelo Generalny Inspector Ochrony Danych(GIOD) izreklo je svoju prvu novčanu kaznu za kršenje Opće uredbe, u iznosu od 220 tisuća eura.

Kažnjeno je društvo (voditelj obrade) koje prikuplja osobne podatke iz javno dostupnih registara (ekvivalent Obrtnom i Sudskom registru u RH), u svrhu pružanja usluga procjene boniteta poduzetnika. Prikupljene i obrađene informacije obuhvaćaju osobne podatke više od 7 milijuna obrtnika(poduzetnika), a obavijesti o obradi na e-mail dobilo je samo 900.000 ispitanika. Ostalih oko 6 milijuna ispitanika nije obaviješteno jer voditelj obrade nije imao podatke o njihovim e-mail adresama, te se u postupku branio pozivajući se na članak 14. točka 5. Uredbe, opravdanjem da bi obavještavanje putem pošte ili SMS-a predstavljalo prevelik administrativni i financijski teret i moglo ugroziti daljnje poslovanje. Konačno, voditelj je zauzeo stav da su sve potrebne informacije objavljene na službenoj internetskoj stranici voditelja. 

Prema GIOD, voditelj obrade nije ispunio svoje dužnosti iz članka 14. Opće uredbe, budući da ispitanicima nije pružio informacije potrebne u slučaju prikupljanja osobnih podataka iz drugih izvora, osim izravno od ispitanika. Posebno je naglašeno da je oko 12.000 ispitanika koji su bili obaviješteni iskoristilo svoje pravo i prigovorilo obradi, a ostalih 6 milijuna nisu imali tu mogućnost.

U obrazloženju odluke GOID ističe svjesno i namjerno ignoriranje obveze informiranja ispitanika te trajanje prekršaja u razdoblju od dvije godine. Kao odgovor na argument voditelja da će obavještavanje svakog ispitanika rezultirati financijskim gubitkom, GOID napominje da troškovi usklađenosti s Općom uredbom i drugim regulatornim zahtjevima moraju biti sastavni dio planiranih troškova poslovanja poduzeća.

Osim novčane kazne, voditelju obrade naloženo je da u roku od 3 mjeseca o obradi obavijesti sve ispitanike.

GOID je izrekao prilično strogu sankciju za kršenje načela transparentnosti, iako se radi o specifičnoj obradi – obradi podataka iz javno dostupnih izvora. U slučaju da se radilo o osobama koje nisu obrtnici, već npr. potrošači, kazna bi sigurno bila i veća. Ova odluka jasno ukazuje na to da se Opća uredba odnosi i na osobne podatke obrtnika, odnosno podatke iz javnih registara, što ne znači da su takve obrade zabranjene, već da ih se može provoditi poštujući načela obrade, prije svega načelo zakonitosti i transparentnosti.