Pregled tjedna: 16.-22. rujna 2019.

24. rujna 2019.

Poljska: Online trgovina kažnjena u iznosu od 645 tisuća eura

Poljsko nadzorno tijelo (UODO) izreklo je novčanu kaznu online trgovini Morele Net u iznosu od 645 tisuća eura. Neprimjerene tehničke i organizacijske mjere rezultirale su povredom osobnih podataka oko 2,2 milijuna kupaca. Povreda se većinom odnosi na podatke o imenu i prezimenu, kontakt telefonu, adresi elektroničke pošte te dostavnoj adresi, a u pojedinim slučajevima tu su i podaci o zahtjevu za obročno plaćanje kupljene robe (iznos prihoda i kreditno zaduženje, podaci o obrazovanju i bračnom statusu, podaci o troškovima kućanstva).

Visoka kazna primjerena je ozbiljnosti povrede, prije svega broju pogođenih ispitanika i činjenici da su mjere zaštite bile nedovoljne jer se, između ostalog, nije provodila učinkovita procjena rizika. Međutim kazna bi bila i viša, ali je nadzorno tijelo uzelo u obzir da je Morele Net požurilo poduzeti sve mjere da se povreda/incident zaustavi te je za vrijeme istrage surađivalo s nadzornim tijelom.

Smjernice za nadzor zaposlenika u svrhe obuke

Francuski CNIL je objavio smjernice za poslodavce koji u svrhe obuke svojih zaposlenika snimaju njihove telefonske razgovore i prate pokrete na zaslonu računala video nadzorom ili snimkama zaslona.

Smjernice su dostupne na francuskom jeziku stoga izdvajamo najvažnije zaključke.

Nadzor radnika opisanim metodama može biti iznimno invazivan te bi trebao biti strogo ograničen na posebne situacije i opravdane svrhe. Ovakva obrada bila bi dozvoljena samo u svrhe obuke zaposlenika i to pod uvjetima:

  • zaposlenici su informirani o svim aspektima obrade, sukladno članku 13. GDPR-a,
  • snimanje je ograničeno samo na poslovnu aplikaciju u kojoj se vrši obuka,
  • nadzor je ograničen samo na zaposlenike kod kojih postoji opravdana poslovna potreba za obukom,
  • količina snimljenog materijala proporcionalna je svrsi i cilju obuke,
  • zaposlenike se obučava isključivo na temelju njihovih snimki, osim u slučaju kada su snimke drugih zaposlenika anonimizirane,
  • pristup snimkama dopušten je samo ograničenom broju osoba.

Najnovija verzija ePrivacy uredbe

Vijeće Europske unije kojim predsjedava Finska objavilo je nacrt prijedloga ePrivacy Uredbe.

Prijedlog teksta sadrži i novi članak koji uređuje obradu podataka u elektroničkim komunikacijama u svrhe otkrivanja, brisanja i prijavljivanja materijala koji sadrži dječju pornografiju.

Tko je odgovoran za ugovor o obradi osobnih podataka?

Prema smjernicama nizozemskog nadzornog tijela odgovorni su voditelj i izvršitelj obrade.

Voditelj obrade je u prekršaju ako surađuje s izvršiteljem bez da je prethodno ugovorom uredio taj odnos te ako nije u mogućnosti dokazati da izvršitelj obrade jamči primjerene mjere zaštite podataka. S druge strane, izvršitelj obrade koji, po definiciji, obrađuje podatke u ime voditelja obrade, bez pisanog ugovora s jasnim uputama nezakonito obrađuje podatke.

Najvažnije – pri određivanju prava i obveza koje proizlaze iz poslovnog odnosa uzima se u obzir činjenično stanje i narav odnosa. Ovo u praksi znači da će se ugovorna strana koja je u ugovoru (pogrešno) definirana kao izvršitelj, a sama određuje svrhe i sredstva obrade, smatrati voditeljem obrade.

Napominjemo kako su u praksi vrlo česti slučajevi poslovnog odnosa dvaju voditelja obrade, a zbog pogrešnog razumijevanja GDPR-a ili prevelikog opreza „jača“ ugovorna strana „slabijoj“ nameće obvezu potpisivanja ugovora o obradi po članku 28.