Španjolsko nadzorno tijelo je kaznilo izvršitelja obrade s 12.000 eura zbog ugovaranja podizvršitelja bez odobrenja voditelja obrade, što je kršenje članka 28(2) GDPR-a. Kako vi kontrolirate izvršitelje obrade?
Dana 8. kolovoza 2023. ispitanik je podnio pritužbu u vezi s telefonskim pozivom svog dobavljača energije. Prema navodima ispitanika, primio je poziv od tvrtke koja se predstavljala kao njegov dobavljač energije, navodeći da postoji pogreška u njegovim računima i da je potrebno ažurirati njihov ugovor. Druga tvrtka poslala je nekoliko e-mailova ispitaniku tražeći od njega da potpiše novi ugovor. Nakon što je nazvao dobavljača energije, potvrđeno je da je tvrtka koja se predstavlja kao oni ipak zasebna tvrtka. Ispitanik je odlučio ne potpisati ugovor.
Španjolsko nadzorno tijelo je započeo istragu 8. studenog 2023. i zatražio informacije od ALBOR ENERGÍA S.L. (energetski konzultant, izvršitelj) u vezi s tvrtkama uključenim u slučaj. Utvrđeno je sljedeće sljedeće:
- Tvrtka koja se predstavlja kao dobavljač energije ispitanika ima ugovor s tvrtkom o prodaji električne energije pod njezinim brendom. Potonji je u ovom slučaju voditelj obrade.
- Voditelj obrade ima ugovor s izvršiteljem obrade kojim traži od potencijalnih klijenata da ih kontaktiraju i ponude im usluge.
- Izvršitelj obrade ima ugovor s marketinškom tvrtkom (podizvršiteljem). Prema izvršitelju obrade, to je tvrtka koja je kontaktirala ispitanika.
- Ovaj podizvršitelj ima ugovor s pozivnim centrom za korištenje svoje baze podataka. Prema istragama Agencije za zaštitu podataka, to je tvrtka koja je kontaktirala ispitanika.
Važno je napomenuti da ugovor između voditelja obrade i izvršitelja obrade izričito zabranjuje izvršitelju obrade podugovaranje bez prethodnog odobrenja.
Izvršitelj obrade tvrdio je da nije odgovoran za obradu osobnih podataka ispitanika jer ni u jednom trenutku nije imao pravni odnos s ispitanikom. Nadalje, izvršitelj obrade izjavio je da je prestao surađivati s podizvršiteljem (a time i s pozivnim centrom). To je bilo zbog zabrinutosti oko njihove obrade osobnih podataka i jesu li provjerili je li ispitanik uključen u sustav isključenja oglašavanja.
Odluka
Utvrđeno je kako izvršitelj nije ispunio svoje obveze prema članku 28. GDPR-a. Iako je nadzorno tijelo analiziralo kršenje članka 28. u cjelini, treba napomenuti da članak 28(2) GDPR-a zabranjuje izvršitelju suradnju s drugim podizvršiteljem bez prethodnog odobrenja voditelja obrade. Nadalje, članak 28(4) stavlja odgovornost na izvršitelja ako drugi podizvršitelj ne ispuni svoje obveze zaštite podataka, što znači da bi izvršitelj bio odgovoran unatoč tome što nema pravni odnos s ispitanikom.
Nadzorno tijelo je utvrdilo kršenje članka 28. GDPR-a na temelju nedostatka odobrenja voditelja obrade. Nadzorno tijelo je veliku količinu obrađenih osobnih podataka smatralo otegotnom okolnosti. Također je uzelo u obzir tešku prirodu kršenja, nemar izvršitelja i velike prihode kao čimbenike.
Sve navedeno dovodi do jednostavnog zaključka da voditelj obrade mora imati adekvatne Ugovore o obradi i dijeljenju podataka s izvršiteljima obrade i to ugovore koji će ih štiti na ispravan način. Pazite što potpisujete.
