GDPR: Izrečena prva kazna zbog neimenovanja predstavnika voditelja obrade

Posebnost ovog slučaja je u tome što je po prvi put izrečena upravna novčana kazna tvrtki čije je sjedište van EU, a nema nastan ni podružnicu unutar EU. Kazna je izrečena zbog neimenovanja predstavnika voditelja obrade u EU (DP predstavnika). Locatefamily.com je usluge nudio u cijelom svijetu, a između ostalih i građanima EU, točnije u najmanje osam država članica, voditelj obrade se nije mogao pozvati na izuzeće u smislu povremene obrade, čija je definicija jasno propisana u Smjernicama Europskog odbora za zaštitu podataka 03/2018.

U idućem razdoblju bit će zanimljivo vidjeti hoće li kazna potaknuti provjere i ostalih subjekata izvan EU a koje nude robu i usluge na području Europske unije od ostalih Nadzornih tijela za zaštitu podataka, što do sada nije bio osobito čest slučaj. U tom smjeru je bio obeshrabrujući stav luksemburškog nadzornog tijela za zaštitu podataka u slučaju protiv Rocketreach, koje je unatoč obradi osobnih podataka tisuća građana Luksemburga i nekoliko stotina tisuća građana EU, odbilo pokrenuti istragu jer navedena tvrtka nema imenovanog Predstavnika u EU. Time se činilo da su Nadzorna tijela za zaštitu osobnih podataka u EU prilično nemoćna prema tvrtkama bez nastana u EU i bez imenovanog DP predstavnika.

Funkcija i odgovornosti Predstavnika voditelja i izvršitelja obrade su od primjene GDPR bile nekako nevidljive u svojoj punoj primjeni. Kao razlozi tome mogu se navesti kompleksnost takve funkcije koja bi trebala obuhvaćati poznavanje zakona i običaja najčešće više članica EU, ali i relativna pravna nemoć europskih nadzornih tijela u smislu pravnih istraga i uspjeha sankcija posebice protiv manjih tvrtki.
Također treba napomenuti da iako slične, funkcija Predstavnika voditelja i izvršitelja obrade i službenika za zaštitu podataka nisu istovjetne funkcije samo s razlikom poslovnog nastana subjekta.

O funkciji EU predstavnika i glavnim značajkama, ali i izuzećima kod obavljanja njegove funkcije pročitajte u nastavku teksta.

Kako su zaštićeni naši osobni podaci kod subjekata s poslovnim nastanom van EU i kako GDPR gleda na to?

Teritorijalno područje primjene GDPR se odnosi na organizacije koje imaju sjedište ili podružnicu na teritoriju EU, bez obzira obrađuju li osobne podatke unutar ili izvan EU. Time je Uredba jasno regulirala obradu osobnih podataka na svom teritoriju. Ali, kada organizacija nema sjedište ili fizički ured u EU, a ciljano nudi robu i usluge ili osobne podatke građana EU koristi za njihovo praćenje, mora imenovati svog predstavnika sa sjedištem unutar Unije bez obzira da li su voditelj ili izvršitelj obrade.

Tko je predstavnik voditelja ili izvršitelja obrade?

U osnovi, funkcija Predstavnika je uvedena kako bi se olakšala komunikacija u provedbi GDPR-a na organizacije koje ciljano obrađuju osobne podatke građana EU, a nemaju sjedište ili ured u EU, a samim time i da im Nadzorno tijelo može izreći korektivne mjere i novčane kazne.
GDPR dozvoljava da organizacija imenuje jednog predstavnika za poslovanje na cijelom teritoriju EU.

Ako organizacija provodi obradu u npr. Hrvatskoj, Mađarskoj i Sloveniji, treba imenovati predstavnika u jednoj od te tri zemlje. Bez obzira na teritorijalni opseg obrade u EU, preporuka je da predstavnik bude u zemlji u kojoj se obrađuje najveći broj osobnih podataka, ali da bude dostupan na jezicima razumljivim svim ispitanicima i Nadzornim tijelima.

Voditelj ili izvršitelj obrade pisanim ovlaštenjem imenuje svog predstavnika da djeluje u njegovo ime.

Predstavnik može biti fizička ili pravna osoba, a njegova odgovornost može biti propisana kao dio poslovnih ugovora ili kao jedinstvena usluga namijenjena samo za ispunjenje obveze prema Uredbi. S druge strane, predstavnik može djelovati za više različitih voditelja i izvršitelja obrade.

Predstavnik vodi računa da obrada osobnih podataka bude u skladu s GDPR-om. U prvom redu mora omogućiti učinkovitu komunikaciju s ispitanicima u pogledu ostvarivanja njihovih prava i na zahtjeve Nadzornog tijela za provjeru usklađenosti Voditelja/Izvršitelja obrade. Premda je Voditelj/Izvršitelj odgovoran za sadržaj Evidencija obrade aktivnosti, Predstavnik je dužan voditi računa da su Evidencije uvijek ažurirano dostupne Nadzornom tijelu.

Znači, predstavnik voditelja ili izvršitelja obrade (Predstavnik) za organizaciju van EU je isto što i službenik za zaštitu podataka (Službenik) za organizaciju unutar EU?

Pored niza sličnosti u djelovanju, u ovom dijelu ćemo se osvrnuti samo na različitosti u djelovanju ove dvije funkcije. Službenik se imenuje na temelju stručnih kvalifikacija i znanja o pravu i zaštiti osobnih podataka sa dovoljnom razinom autonomije da djeluje neovisno i bez uputa Voditelja ili izvršitelja obrade koji njegove kontakt podatke dostavlja Nadzornom tijelu. Predstavnik je imenovan da djeluje u ime Voditelja ili Izvršitelja i prema njegovim izravnim uputama.

Njegova stručnost nije uvjet, ali je preporuka i u interesu je Voditelja i Izvršitelja. Voditelj i Izvršitelj neće snositi sankcije ako kontakt podatke Predstavnika ne priopće Nadzornom tijelu, ali u pogledu informiranja građana njegovi kontakt podaci trebaju biti dostupni prije prikupljanja osobnih podataka (npr. u Izjavi o privatnosti).

Postoje li iznimke od imenovanja Predstavnika?

Imenovanje Predstavnika za organizacije sa poslovnim sjedištem i uredom izvan EU nije obvezujuće:

• za tijela javne vlasti ili javno tijelo. Tko su ta tijela, Opća uredba nije precizirala, ali se smatra da bi trebala biti propisana nacionalnim zakonodavstvom, a po prirodi djelovanje i ponašanje takvih tijela u ponudi roba i usluga bi trebalo biti ograničeno;
• ako je obrada podataka povremena, tj. nije redovita i van uobičajenih aktivnosti poslovanja, ne predstavlja visok rizik za prava i slobode pojedinaca i ne uključuje podatke koji se odnose na kaznene osude ili u velikoj mjeri podatke posebne kategorije.