BVwG - W171 2298465-1 (Austrija)
Sud je presudio da je hitna služba (voditelj obrade) nezakonito obradila osobne podatke pacijenta kako bi mu poslala pismo u vezi s donacijama. Podaci su izvorno prikupljeni u svrhu pružanja hitne medicinske pomoći te su predstavljali osjetljive podatke u smislu članka 9. stavka 1. GDPR-a.
Voditelj obrade (hitna služba) je prevezao ispitanika tijekom medicinske hitne situacije. Pritom je prikupio osobne podatke putem e-kartice ispitanika što osim podataka koji se odnose na zdravlje uključuje i ime i adresu ispitanika. Navedena svrha prikupljanja podataka je pružanje hitne medicinske pomoći. Voditelj obrade je pozivajući se na prethodnu svrhu prikupljanja podataka poštom poslao zahtjev za donaciju, na što je ispitanik uložio prigovor nadzornom tijelu. Nadzorno tijelo je uvažilo pritužbu ispitanika te utvrdilo da je voditelj obrade uz članak 9. stavak 1. GDPR-a (obrada posebnih kategorija osobnih podataka) prekršilo i načela zakonitosti, poštenosti i transparentnosti te ograničenja svrhe (članak 5. stavak 1. točke (a) i (b) GDPR-a).
Nadzorno tijelo kaznilo je hitnu službu (voditelja obrade) nakon što je utvrdilo da je voditelj obrade prekršio ispitanikovo pravo na povjerljivost prema austrijskom Zakonu o zaštiti podataka i prema GDPR-u. Voditelj obrade se žalio Saveznom upravnom sudu koji je odbio žalbu i potvrdio odluku nadzornog tijela. Budući da nijedna iznimka iz članka 9. stavka 2. GDPR-a nije bila primjenjiva (ispitanik nije dao privolu, a ostale pravne osnove nisu bile primjenjive), obrada je bila nezakonita prema članku 9. stavku 1. GDPR-a.
Sud je ustvrdio da ime i prezime sami po sebi ne predstavljaju zdravstvene podatke u smislu članka 9. stavka 1. GDPR-a, no ti podaci uspostavljaju jasnu i izravnu poveznicu s korištenjem medicinske službe. Nije ispitivao druga tumačenja nadzornog tijela vezana uz obradu osobnih podataka prema članku 5. GDPR-a.
HDPA-31/2025 (Grčka)
Nadzorno tijelo je izreklo novčanu kaznu od 10.000 eura udruzi za osobe s autizmom (voditelj obrade) zbog nepoštivanja prava na pristup osobnim podacima i nezakonitog prijenosa osobnih podataka trećim stranama.
Zakonski zastupnici maloljetnog djeteta (ispitanici) podnijeli su zahtjev voditelju obrade – udruzi za osobe s poremećajima iz spektra autizma – tražeći pristup osobnim podacima svog maloljetnog djeteta koje je bilo uključeno u tretman kod te udruge. Konkretno, zatražili su snimke s nadzornih kamera u prostorijama udruge na određene datume, kako bi utvrdili kako su nastale ozljede na glavi i rukama njihova djeteta.
Voditelj obrade nije odgovorio na zahtjev ispitanika za pristup podacima.
Ispitanici su potom podnijeli pritužbu nadzornom tijelu za zaštitu podataka zbog neispunjavanja njihovog zahtjeva. Također su naveli da je voditelj obrade nezakonito proslijedio zdravstvene podatke njihova djeteta trećem društvu radi vanjske evaluacije postojećeg terapijskog programa – bez njihove prethodne obavijesti i privole.
Voditelj obrade tvrdio je da ne može ustupiti snimke nadzornih kamera jer se na njima nalaze zaposlenici, koji su odbili da snimke na kojima se nalaze budu otkrivene, pozivajući se na njihovo pravo na privatnost. Nadalje, voditelj je tvrdio da se snimke automatski brišu nakon 48 sati. Što se tiče prijenosa osobnih podataka, odgovorio je da bi se ispitanici trebali izravno obratiti trećem društvu kojem su podaci proslijeđeni.
Nadzorno tijelo je obavijestio voditelja obrade da, osim ako ne dokaže da bi u konkretnom slučaju prava ili slobode zaposlenika stvarno bila ugrožena, mora ispuniti pravo na pristup podacima i dostaviti zatražene dijelove snimki ispitanicima.
Unatoč tome, voditelj obrade odbio je postupiti prema uputama DPA-a.
Nadzorno tijelo je utvrdilo više kršenja GDPR-a i izreklo ukupnu novčanu kaznu od 10.000 eura:
- Nadzorno tijelo je utvrdilo da je voditelj obrade prekršio članke 5., 12. i 15. GDPR-a jer je odbio udovoljiti zahtjevu za pristup snimci videonadzora bez dokaza da bi se time negativno utjecalo na prava ili slobode zaposlenika. Također je utvrđeno da su se snimke čuvale znatno dulje od 48 sati. Za ovo kršenje izrečena je kazna od 3.000 eura.
- Utvrđeno je da je voditelj obrade prekršio članke 5., 13. i 24. GDPR-a time što je prenio osobne podatke maloljetnog djeteta trećoj strani bez prethodne obavijesti roditeljima. Za ovo je izrečena kazna od 3.000 eura.
- Voditelj obrade je neovlašteno podijelio rješenje o privremenim mjerama suda, koje je sadržavalo osobne podatke djeteta, velikom broju trećih osoba, čime je prekršio članke 5. i 13. GDPR-a. Za ovo kršenje izrečena je kazna od 3.000 eura.
- Na kraju, izrečena je dodatna kazna od 1.000 eura zbog ne suradnje s nadzornim tijelom, što je kršenje članka 31. GDPR-a.
Garante per la protezine dei dati personali – 10149917 (Italija)
Nadzorno tijelo je kaznilo s 21.000 eura istraživačko društvo (voditelja obrade) zbog predugog razdoblja čuvanja osobnih podataka prikupljenih za obuku algoritma. Nadzorno tijelo je utvrdilo da pohrana podataka nije potrebna za cijelo vrijeme trajanja algoritma jer su ti podaci korišteni samo za obuku tog algoritma.
Voditelj obrade je društvo za istraživanje u području bioloških znanosti i dio je farmaceutske grupe Menarini. Nadzorno tijelo je provelo nadzor po službenoj dužnosti, konkretno se usredotočilo na razvoj AI alata CellFind za otkrivanje raka analizom uzoraka krvi. Algoritam softvera temelji se na prepoznavanju slika, a svrha mu je razlikovati stanice raka od zdravih stanica. Algoritmi su razvijeni treniranjem AI sustava na skupovima podataka koji sadrže slike krvnih stanica, prikupljene od pacijenata s rakom i zdravih dobrovoljaca (kontrolna skupina). Podatke su dostavljali različiti izvršitelji obrade i podizvršitelji, uključujući američku podružnicu Menarini grupe.
Odluka o zadržavanju podataka
Istragom je utvrđeno da je voditelj obrade planirao čuvati osobne podatke na neodređeno vrijeme, do maksimalno 25 godina kako bi se koristilo podatke za podršku CellFinda. Nadzorno tijelo je zaključilo da zadržavanje osobnih podataka nije nužno za podršku životnog ciklusa alata te je voditelj obrade prekršio načelo ograničenja pohrane (članak 5.stavak 1. točka (e) GDPR-a). Također je zaključeno da su obavijesti o privatnosti bile manjkave u određenim aspektima. Naloženo je da ponovno procijeni svoju politiku zadržavanja podataka i obavijesti tijelo o novoj politici. Ipak, kao olakotnu okolnost, agencija je uzela u obzir da voditelj obrade nije još stvarno čuvao podatke predugo, već je samo planirao dugotrajnu pohranu.
Odluka o transparentnosti
Svi ispitanici su dobili obavijest o privatnosti i dali su privolu za obradu svojih podataka u svrhu razvoja alata. Točnije, ispitanicima su bile pružene dvije različite obavijesti o privatnosti, ovisno o tome jesu li bili pacijenti oboljeli od raka ili zdravi dobrovoljci iz kontrolne skupine. Obavijesti o privatnosti koje su dane ispitanicima navele su dvije različite obrade: razvoj novih proizvoda i razvoj novih algoritama. Tijekom istrage voditelj je izjavio da su te dvije svrhe nerazdvojive i predstavljaju jedinstvenu svrhu.
Nadzorno tijelo je zaključilo da obavijest o privatnosti može dovesti ispitanike u zabludu jer se čini da se obrađuju u dvije različite svrhe. Voditelj je prekršio načelo zakonitosti, poštenja i transparentnosti (članak 5. stavak 1. točka (a) GDPR-a). i članak 13 GDPR-a pružanjem nejasnih informacija ispitanicima.
AEPD – EXP202305732 (Španjolska)
Nadzorno tijelo kaznilo je nacionalni registar kreditnih podataka (voditelj obrade) sa 200.000 eura zbog nezakonitog uključivanja podataka o neplaćenom dugu ispitanika u sustav kreditnih informacija te neadekvatnog odgovara na zahtjeve ispitanika za brisanjem podataka.
Voditelj obrade je na zahtjev vjerovnika u sustav tri puta unio informacije o dugu ispitanika. Voditelj obrade je potom poštom obavijestio ispitanika o uključivanju njegovih podataka u sustav, no pisma su poslana na pogrešnu adresu, zbog čega ih ispitanik nije primio. Ispitanik je za unos podataka saznao prilikom provjere u Nacionalno udruzi financijskih kreditnih institucija (ASNEF), zbog čega je zatražio brisanje podataka, pozivajući se na članak 17. Voditelj obrade tvrdio je da su zahtjevi proslijeđeni vjerovniku, koji nije odgovorio. Voditelj je naknadno iz predostrožnosti obrisao podatke i obavijestio ispitanika. Voditelj je tvrdio da nema potpunu kontrolu nad informacijama o dugu jer je to odgovornost vjerovnika. Također je tvrdio da ne obrađuje podatke u svrhu kreditnog informiranja pa obrada nije bila nezakonita.
Ispitanik je podnio pritužbu nadzornom tijelu koje je pokrenulo postupak protiv voditelja obrade te je prvo utvrdio da su voditelj i vjerovnik zajednički voditelji obrade prema članku 26. GDPR-a i članka 20. stavka 2. španjolskog Zakona o zaštiti osobnih podataka i jamstvu digitalnih prava (LOPDGDD). U navedenom članku piše da su subjekti koji vode sustav kreditnih informacija i vjerovnici zajednički odgovorni za obradu. Zatim je utvrdilo kršenje prava na zaborav (članak 17. GDPR-a). Nadzorno tijelo je utvrdilo da voditelj obrade ne može samo proslijediti zahtjev za brisanjem vjerovniku i ne poduzeti daljnje korake ako ne dobije odgovor jer ima obvezu analizirati osnovanost zahtjeva i postupiti razumno. Neovisno o dogovoru između voditelja obrade i vjerovnika, ispitanik je imao pravo ostvariti svoje pravo na brisanje podataka prema voditelju obrade (članak 26. stavak 3. GDPR-a). Nadzorno tijelo navelo je da je voditelj obrade trebao ograničiti obradu odnosno spriječiti njihovu daljnju obradu, u skladu s člankom 32. LOPDGDD.
Nakon toga je utvrdilo da je povrijeđena i zakonitost obrade (članak 6. stavak 1. GDPR-a). Naime, španjolski zakoni nalažu voditelju obrade da provjeri adresu ispitanika kod vjerovnika, što voditelj nije učinio, iako je tri puta primio vraćena pisma od poštanske službe. Obrada je bila nezakonita jer obveze informiranja nisu ispunjene prema nacionalnom zakonodavstvu.
Nadzorno tijelo je ocijenilo da je došlo do ozbiljnog kršenja prava, radi čega je izreklo novčanu kaznu u iznosu od 200.000 eura:
- 100.000 eura zbog kršenja prava na zaborav (članak 17. GDPR-a), zbog toga što nije postupio razumno i nije proveo analizu osnovanosti zahtjeva.
- 100.000 eura zbog nezakonite obrade (članak 6. stavak 1. GDPR-a), jer je voditelj više puta propustio provjeriti adresu ispitanika, čime mu je uskraćena mogućnost ostvarivanja svojih prava prema GDPR-u.
OLG Nurnberg – 3 u 383/25
Sud je utvrdio da kreditna agencija (voditelj obrade) zakonito zadržava podatke o neplaćenom dugu ispitanika tri godine nakon što je dug podmiren. Voditelj obrade se pozvao na legitimni interes i opravdano odbio zahtjev za brisanjem podataka.
Voditelj obrade je unio dva unosa u registar o prethodnim neplaćenim dugovanjima, oba duga su naknadno podmirena. Ispitanik je podnio zahtjev za brisanje tih podataka, no voditelj je te zahtjeve odbio. Ispitanik je podnio tužbu Općinskom sudu u Regensburgu (LG Regensburg) s ciljem brisanja unosa, ispravka kreditnog rejtinga te zabrane budućeg pohranjivanja tih podataka. Sud prvog stupnja je odbio zahtjeve, smatrajući da interesi voditelja obrade prevladavaju nad interesima ispitanika te da obrada nije bila nezakonita. Isto tako je utvrdio da nije dokazana nužnost potpunog brisanja podataka pa se pravo na brisanje ne može primijeniti.
Ispitanik je uložio žalbu Visokom regionalnom sudu u Nurnbergu (OLG Nurnberg). U žalbi tvrdi da je općinski sud pogrešno primijenio teret dokazivanja jer voditelj obrade mora dokazati postojanje legitimnog interesa i nužnost trogodišnjeg zadržavanja podataka nakon što su potraživanja podmirena.
OLG Nurnberg je presudio da je, prema njemačkom građanskom pravu, na ispitaniku teret dokazivanja i da njegovi interesi nadilaze interese voditelja obrade. Obrada postaje nezakonita samo ako interesi i prava ispitanika prevladavaju, a dokazivanje toga je odgovornost ispitanika. Stoga, sud je zaključio da je obrada podataka bila u legitimnom interesu voditelja obrade i njegovih ugovornih partnera. Sud smatra da je trogodišnje čuvanje podataka razmjerno i primjereno u ovom slučaju te da je usklađeno s industrijskim standardima. Na temelju navedenog, sud je odbio žalbu i smatra da nema osnove za brisanje prema članku 17. GDPR-a.
AEPD- EXP202405048 (Španjolska)
Nadzorno tijelo je kaznilo logističku tvrtku (voditelj obrade) sa 100.000 eura jer je od potencijalnih kandidata za posao zahtijevala dostavu potvrde o nekažnjavanju i dokumentaciju o bračnom statusu i broju djece čime je prekršeno načelo smanjenja količine podataka.
Voditelj obrade je od kandidata (ispitanik) zatražio da prije razgovora za posao dostavi potvrdu o nekažnjavanju, podatke o bračnom statusu i broju djece. Ispitanik je podnio pritužbu nadzornom tijelu te je tijelo zatražilo očitovanje voditelja. Voditelj je tvrdio da je cilj bio unaprijed provjeriti ispunjava li ispitanik zakonske uvjete, kako bi se uštedjelo na vremenu i voditelju obrade i ispitaniku. Tvrtka je naknadno izmijenila proces zapošljavanja i odlučila tražiti dokumentaciju o nekažnjavanju i bračnom statusu nakon potpisivanja ugovora o radu.
Nadzorno tijelo je utvrdilo da zakon ne predviđa traženje tih podataka u fazi razgovora za posao, nego pri sklapanju ugovora o radu. Time se krši načelo smanjenja količine podataka (članak 5. stavak 1. točka (c) GDPR-a) jer su se obrađivali osobni podaci svih ispitanika koji dolaze na razgovor, iako nije bilo potrebe da se oni obrađuju u toj fazi. Voditelj obrade je naknadno promijenio proces što potvrđuje da postoji manje invazivan način provedbe selekcije.
Nadzorno tijelo je ocijenilo da je došlo do ozbiljnog kršenja prava, budući da je voditelj bio svjestan pravnog okvira za traženje tih dokumenata te je kao tvrtka koja redovito obrađuje osobne podatke, imala veću odgovornost za poštivanje načela zaštite podataka. Zato je nadzorno tijelo izreklo novčanu kaznu od 100.000 eura, i to:
- 75.000 eura zbog traženja podataka o kaznenim presudama bez postojanja ugovornog odnosa. Ovdje se ističe osjetljiva priroda podataka koji se odnose na kaznene presude. Članak 10. GDPR-a postavlja posebne uvjete te je nadzorno tijelo naglasilo da se kaznena evidencija smatra osobnim podatkom vezanim za kaznene presude – uključujući i potvrdu da presuda ne postoji.
- 25.000 eura zbog traženja podataka o bračnom statusu bez postojanja ugovornog odnosa. Nadzorno tijelo je zaključilo da nema potrebe da voditelj obrade zna bračni status ili broj djece kandidata.
