Koliko je teško stvarno poznavati regulativu o zaštiti osobnih podataka i privatnosti bez da ste dobro upoznati s praksom? Donosimo sažetak jedne od presuda s curia.europa.eu i to u predmetu C-768/21 | Land Hessen. Procijenite nakon što pročitate članak sami koliko je važno poznavati praksu nadležnih tijela, sve s ciljem kako biste izbjegli kriva tumačenja i/ ili mitigirali određene rizike poslovanja.
U predmetu C-768/21 | Land Hessen Sud je jasno dao do znanja, a što potvrđuje i praksa mnogih nadzornih tijela da se regulator (nadzorno tijelo) može suzdržati od kažnjavanja u slučaju incidenta ako je voditelj obrade već poduzeo potrebne mjere na (vlastitu) inicijativu.
U Njemačkoj je jedna štedionica otkrila da je zaposlenica nekoliko puta pregledao osobne podatke klijenta, a da za to nije bio ovlašten. Štedionica o tome nije obavijestila klijenta jer je njezin službenik za zaštitu podataka smatrao da za njega nema visokog rizika. Zaposlenica je pisanim putem potvrdila da podatke nije kopirala niti zadržala, da ih nije prosljeđivala trećim osobama te da to ni ubuduće neće činiti. Osim toga, štedionica je protiv nje poduzela disciplinske mjere. Štedionica je unatoč tome o ovoj povredi obavijestila nadzorno tijelo za zaštitu podataka pokrajine Hessen.
Nakon što je slučajno saznao za ovu povredu, kupac je podnio pritužbu nadzornom tijelu za zaštitu podataka. Nakon što se štedionica očitovala, nadzorno tijelo za zaštitu podataka obavijestilo je ispitanika da ne smatra potrebnim korektivne ovlasti u odnosu na štedionicu.
Ispitanik je potom podnio tužbu njemačkom sudu tražeći od njega da naloži nadzornom tijelu za zaštitu podataka poduzimanje mjera protiv štedionice, a posebno da joj se izrekne novčana kazna.
Njemački sud zatražio je od EU Suda tumačenje Opće uredbe o zaštiti podataka (GDPR) u tom pogledu.
Sud je zaključio da kada se utvrdi povreda osobnih podataka, nadzorno tijelo nije dužno primijeniti korektivne ovlasti, posebice ovlast izricanja upravne novčane kazne, ako to nije potrebno za otklanjanje utvrđenog nedostatka i osigurati da se GDPR u potpunosti provodi. To bi mogao biti slučaj, između ostalog, kada je voditelj obrade, čim je postao svjestan kršenja, poduzeo potrebne mjere kako bi osigurao da se kršenje okonča i da se više ne ponavlja.
GDPR ostavlja nadzornom tijelu diskrecijsko pravo o načinu na koji mora otkloniti utvrđeni nedostatak. Ta je diskrecija ograničena potrebom da se osigura dosljedna i visoka razina zaštite osobnih podataka kroz strogu provedbu GDPR-a.
Na njemačkom je sudu da utvrdi je li nadzorno tijelo za zaštitu podataka poštovalo ta ograničenja.
NAPOMENA: Zahtjev za prethodnu odluku dopušta sudovima država članica da u sporovima koji su izneseni pred njih, upute pitanja Sudu pravde o tumačenju prava Europske unije ili valjanosti akta Europske unije . Sud pravde ne odlučuje sam o sporu. Na nacionalnom je sudu ili tribunalu da riješi slučaj u skladu s odlukom Suda, koja je na sličan način obvezujuća za druge nacionalne sudove ili tribunale pred kojima se pokrene slično pitanje.
Na kraju, svakako radi procjene svojih rizika trebate biti upoznati ne samo s praksom nadzornih tijela već i s smjernicama kojima se jasnije opisuje od strane EDPB-a kako treba postupati u slučaju nadzora, ali i kako se odmjeravaju kazne. Više o tome možete pročitati i u našem blogu.