Kršenje obaveze brisanja osobnih podataka
Kršenja zaštite podataka ili Opće uredbe o zaštiti podataka (GDPR) mogu biti sankcionirana visokim kaznama. Tako je Savezni povjerenik za zaštitu podataka i slobodu informacija (HmbBfDI) izrekao kaznu od 900.000 eura protiv jedne tvrtke iz sektora upravljanja potraživanjima, jer nije pravovremeno izbrisala osobne podatke.
S uvođenjem Opće uredbe o zaštiti podataka (GDPR) značajno su povećani zahtjevi za zaštitu podataka za tvrtke. Tvrtke moraju poduzeti odgovarajuće mjere za zaštitu podataka pri obradi osobnih podataka. Osobe na koje se podaci odnose imaju pravo na pravovremeno brisanje svojih podataka. U slučaju kršenja zakona o zaštiti podataka ili GDPR-a, tvrtkama prijete visoke kazne, prema gospodarskom uredu MTR Legal Rechtsanwälte, koji savjetuje m.in. u IT pravu.
Provjera tvrtki u upravljanju potraživanjima
Pohrana osobnih podataka može predstavljati veliki teret, posebno za neuredne dužnike. Naime, njihovi podaci redovito se prosljeđuju kreditnim agencijama, što može znatno otežati sklapanje ugovora. Stoga je za dužnike važno da se njihovi podaci izbrišu nakon isteka relevantnih rokova.
Hamburg je važno središte u području upravljanja potraživanjima. Savezni povjerenik za zaštitu podataka i slobodu informacija (HmbBfDI) proveo je stoga sveobuhvatnu inspekciju osvježavanja tržišno jakih tvrtki iz tog sektora.
Pretežno pozitivan zaključak
Tom je prilikom provjereno kako se osobni podaci pohranjuju i obrađuju u tvrtkama. Povjerenik za zaštitu podataka posjetio je s timom nekoliko tvrtki u njihovim poslovnim prostorijama. Tom su prilikom stručnjaci za zaštitu podataka donijeli pretežno pozitivan zaključak. Posebno je poboljšana transparentnost tvrtki prema osobama na koje se podaci odnose, naveo je povjerenik za zaštitu podataka u priopćenju za javnost 12. studenog 2024. godine.
Podaci predugo čuvani
Postoje, međutim, i iznimke. Tako su inspektori utvrdili kod jedne tvrtke da i dalje čuva setove podataka iako su rokovi za brisanje već odavno istekli. Tvrtka je držala setove podataka s osobnim podacima u šesteroznamenkastom opsegu bez pravne osnove. To predstavlja kršenje članka 5 stavka 1 točke a te članka 6 stavka 1 GDPR-a. Podaci nisu proslijeđeni trećim stranama, no dijelom su još 5 godina nakon isteka zakonskih rokova čuvani i nisu izbrisani iz baze podataka, izvijestio je Savezni povjerenik za zaštitu podataka.
Za ovaj prekršaj, povjerenik za zaštitu podataka izrekao je kaznu od 900.000 eura protiv te tvrtke. Tvrtka je prihvatila kaznu. Suradnja prilikom rješavanja kršenja zaštite podataka s nadzornim tijelom uzeta je u obzir pri izricanju kazne. Slična kršenja utvrđena su i u drugoj tvrtki. No, istrage u tom slučaju još nisu zaključene.
Ako se okonča odnos s klijentom, pohranjeni podaci moraju se odmah ili nakon isteka rokova pohrane izbrisati. Kršenje tih obveza brisanja može biti skupo, kao što pokazuje primjer hamburške tvrtke. Kako bi se izbjegli takvi prekršaji, tvrtke bi trebale integrirati učinkovitu usklađenost sa zaštitom podataka.
Pravovremeno brisanje podataka
Kako bi se s osjetljivim osobnim podacima postupalo u skladu s pravom, trebalo bi razviti sustavni koncept brisanja kako se ne bi nezakonito pohranjivali i time predstavljali kršenje GDPR-a. Već pri prikupljanju podataka trebalo bi biti jasno hoće li i koliko dugo će se pohranjivati i dalje obrađivati. Na taj se način mogu izbjeći kazne zbog kršenja zaštite podataka te ojačati povjerenje klijenata.
Pritom treba imati na umu da zaštita podataka nije važna samo u vanjskim odnosima s klijentima, nego i interno prema zaposlenicima. Naime, i zaposlenici prema GDPR-u imaju pravo informacije od svog poslodavca o upotrebi njihovih osobnih podataka.
MTR Legal Rechtsanwälte savjetuje o zaštiti podataka i drugim pitanjima IT prava.
Slobodno se obratite nama!
