Uvod u opomenu za zaštitu podataka
Opomena za zaštitu podataka je ključno sredstvo u pravu zaštite podataka za provedbu usklađenosti s Općom uredbom o zaštiti podataka (GDPR). Od stupanja na snagu GDPR-a 2018. godine, tvrtke i organizacije su obvezne s najvećom pažnjom postupati pri obradi osobnih podataka. Ako dođe do kršenja ovih odredbi – primjerice zbog nedovoljne informiranosti korisnika ili nezakonite obrade podataka – može se izreći opomena. Ovu opomenu ne izdaju samo tijela za zaštitu podataka, već je mogu pokrenuti i konkurenti, udruge za zaštitu potrošača ili čak sami pogođeni pojedinci. Cilj opomene za zaštitu podataka je navesti tvrtku da prestane s kršenjem zaštite podataka i da poštuje prava na zaštitu podataka. Za tvrtke to znači da moraju redovito pregledavati i prilagođavati svoje procese i postupanje s osobnim podacima kako bi izbjegli opomene i moguće tužbe.
Pravne osnove
Pravne osnove za opomene u području zaštite podataka temelje se prvenstveno na GDPR-u i Zakonu protiv nepoštenog natjecanja (UWG). GDPR detaljno propisuje kako se osobni podaci smiju prikupljati, pohranjivati i obrađivati. Kršenja ovih odredbi – kao primjerice nezakonita obrada ili manjak transparentnosti – mogu biti predmet postupka ne samo tijela za zaštitu podataka, već i u okviru prava tržišnog natjecanja. UWG štiti tržišno natjecanje od nepoštenih poslovnih praksi i predviđa da se kršenje zaštite podataka može smatrati povredom UWG-a ako time neka tvrtka stekne nepoštenu prednost. Tako se opomene zbog kršenja zaštite podataka mogu izdavati na temelju i GDPR-a i UWG-a. Tvrtke bi stoga trebale osigurati strogo poštivanje zakonskih odredbi o obradi osobnih podataka kako bi izbjegli opomene i daljnje pravne posljedice.
Konkurenti smiju opominjati – Presude BGH I ZR 186/17 / I ZR 222/19 / I ZR 223/19
Konkurenti i udruge za zaštitu potrošača smiju opominjati tvrtke zbog kršenja zaštite podataka; sudovni sustav ima središnju ulogu u donošenju odluka o opomenama zbog tih povreda. To je odlučio Savezni vrhovni sud Njemačke u nekoliko presuda od 27. ožujka 2025. (Az. I ZR 186/17, I ZR 222/19, I ZR 223/19). Različiti sudovi su ranije donosili različite odluke o ovlastima za opomene u slučajevima kršenja zaštite podataka. Broj slučajeva kršenja zaštite podataka pokazuje praktičnu važnost ove teme. Trenutna presuda BGH-a jasno stavlja do znanja da i konkurenti i udruge potrošača mogu biti aktivni. Presude BGH-a iz ožujka 2025. su od velike važnosti za praksu opomena jer omogućuju progone kršenja zaštite podataka od strane udruga potrošača i konkurenata pred građanskim sudovima. Opomena na temelju GDPR-a je posebna vrsta opomene koja se odnosi na kršenja Opće uredbe o zaštiti podataka i razlikuje se od drugih opomena svojim fokusom na zaštitu podataka. Udruge za zaštitu potrošača igraju važnu ulogu u provedbi prava na zaštitu podataka. Udruge potrošača su značajno uključene u opomene za kršenja zaštite podataka. I konkurenti mogu provoditi kršenja zaštite podataka i tako štititi tržišno natjecanje. Presuda BGH-a ima značajan utjecaj na praksu i pravnu procjenu zaštite podataka.
Kršenja zaštite podataka ne mogu samo kazneno goniti nadzorna tijela. Ovlasti sudova kod ovih povreda su od središnje važnosti. Kako pokazuju odluke BGH, i konkurenti i udruge za zaštitu potrošača mogu protiv tih povreda poduzeti pravne mjere. U okviru takvih postupaka i tuženi igraju važnu ulogu. Za tvrtke to može imati značajne posljedice, posebno u online trgovini i pri obradi osjetljivih podataka, kaže odvjetnička tvrtka MTR Legal, koja savjetuje u područjima prava informacijskih tehnologija i zaštite podataka. Kršenja GDPR-a mogu imati značajne pravne posljedice, posebno kada se tvrdnje o ukidanju podnose. U slučaju ponovljenih kršenja GDPR-a prijete pojačane sankcije i daljnje mjere. Progoni kršenja zaštite podataka odvijaju se kako putem sudova, tako i putem udruga. Značenje prvog stava i točke 1 u relevantnim paragrafima je ključno za pravnu procjenu. Ovo pitanje ima veliki značaj za razvoj prava zaštite podataka i provedbu potrošačkih prava.
Aplikacija za igrice postavlja podatke
U slučaju pod broj I ZR 186/17, radilo se o tzv. „App-Centru“ na društvenoj mreži u kojem su treće strane nudile igre. Centar aplikacija služi kao središnja platforma za ponudu različitih aplikacija trećih strana. Virtualne igre igraju značajnu ulogu u App Centru, jer čine velik dio ponude. Kada aplikaciju koristiš, mogu se obrađivati i osobni podaci poput tvoje e-mail adrese. Prije nego što korisnik krene s igrom, prikazuje mu se da aplikacija dobiva određene dozvole, npr. za postavljanje statusa. Međutim, ovi hintovi bili su nejasni i nisu informirali o tome koji se točno podaci obrađuju, tko su primatelji i u koju svrhu. Protiv toga je s uspjehom podnijela tužbu krovna organizacija saveznih udruga za zaštitu potrošača.
BGH je jasno utvrdio da takva nejasna i općenita informacija ne zadovoljava zahtjeve Opće uredbe o zaštiti podataka (GDPR). Već prilikom prikupljanja podataka putem aplikacije, korisnici moraju biti sveobuhvatno informirani. Također, opseg prikupljenih i obrađenih podataka mora biti transparentno prikazan. Pravna formulacija svrha u Izjavi o zaštiti podataka od posebne je važnosti. Obveze informiranja prema čl. 12 i 13 GDPR-a zahtijevaju jasno, precizno i razumljivo informiranje pogođenih osoba. Kako ovi zahtjevi GDPR-a ujedno reguliraju tržišno ponašanje u smislu prava natjecanja (§ 3a UWG), njihovo nepoštivanje predstavlja povredu konkurentskog prava. Konkurenti ili kvalificirane udruge za zaštitu potrošača stoga smiju poduzeti pravne mjere protiv takvih kršenja zaštite podataka, kaže BGH. Ovo vrijedi bez obzira na to je li se korisnik žalio.
Ljekarnici prodaju lijekove putem Interneta
Slična pitanja obrađivana su u postupcima s brojem akata I ZR 222/19 i I ZR 223/19. Ovdje su dvije ljekarne prodavale lijekove putem platforme Amazon. pritom su obrađivani osobni podaci kupaca, uključujući zdravstvene podatke, npr. ime, adresa ili naručeni lijekovi s informacijama o njihovoj personalizaciji. Prikupljanje ovih zdravstvenih podataka od strane ljekarni bilo je središnja tema slučajeva. Bilo je brojnih slučajeva kršenja zaštite podataka u ljekarni koje su bile relevantne u ovom kontekstu. Protiv toga su se žalili drugi ljekarnici. I ove tužbe bile su uspješne: BGH je jasno dao do znanja da su podaci o narudžbama u smislu čl. 9. st. 1. GDPR-a zdravstveni podaci. Isto vrijedi čak i ako lijekovi nisu na recept. Podaci se smiju obrađivati samo uz izričitu suglasnost kupaca, koju ljekarnici nisu pribavili.
BGH je potvrdio procjenu Europskog suda da zdravstveni podaci već postoje kada se iz narudžbe može zaključiti zdravstveno stanje ili medikacija. U postupcima je optuženica igrala značajnu ulogu jer je bila odgovorna za obradu podataka. Posebno je istaknuta važnost zaštite pogođene osobe pri obradi zdravstvenih podataka. Ovdje je BGH također uočio povredu konkurentskog prava. Članak 9. St. 1 GDPR-a je određena pravila tržišnog ponašanja u smislu članka § 3a UWG, tako da povredu protiv ove odredbe konkurent može pravno goniti putem konkurentske tužbe pred građanskim sudovima, kažu suci iz Karlsruhea. Pritom je izričito istaknuto značenje prvog stava i točke 1 u relevantnim paragrafima.
GDPR također relevantan za konkurentsko pravo
Presude pokazuju da su odredbe GDPR-a – a posebno obveze pružanja informacija i norme o suglasnosti – također relevantne za konkurentsko pravo. Pod određenim okolnostima mogu se oduzeti dobitci ostvareni kroz kršenja zaštite podataka; to se povezuje s novčanim kaznama i drugim kaznenim mjerama koje se mogu nametnuti prema odredbama Opće uredbe o zaštiti podataka i Zakona. Tvrtke koje obrađuju osobne ili osjetljive podatke bez dovoljne informacije ili bez valjane suglasnosti postupaju protivno tržišnim pravilima. Ne samo tijela za zaštitu podataka, već i konkurenti ili kvalificirane interestne udruge mogu poduzeti pravne mjere protiv takvih kršenja. Time je BGH značajno proširio područje primjene konkurentskog prava. Tvrtke koje krše propise o zaštiti podataka mogu, osim novčanih kazni od strane tijela za zaštitu podataka, također biti suočene s naplatom troškova opomena i tužbama za zabranu od strane konkurenata i udruga za zaštitu potrošača.
Tvrtke su dobro savjetovane
Tvrtke su stoga dobro savjetovane da pažljivo provjere i ispune svoje obveze informiranja. To uključuje transparentno, razumljivo i sveobuhvatno informiranje korisnika o tome koji se podaci obrađuju u koju svrhu, na kojoj pravnoj osnovi, tko su primatelji i koja su prava pogođenih osoba. Također, prije obrade osjetljivih podataka – kao što su zdravstveni podaci – mora se pribaviti i dokumentirati izričita suglasnost. Općenite ili skrivene klauzule nisu dovoljne.
Online marketi i zaštita podataka
Online marketi poput Amazon Marketplacea neizostavan su dio modernog e-trgovine. No, ovdje je poštivanje zaštite podataka od posebne važnosti. Pružatelji koji deluju na takvim platformama moraju prilikom obrade podataka o kupcima – kao što su imena, adrese ili podaci o narudžbi – slijediti stroge zahtjeve GDPR-a. Odluke BGH-a u postupcima I ZR 186/17, I ZR 222/19 i I ZR 223/19 istaknule su da kršenja GDPR-a – kao što je obrada zdravstvenih podataka bez izričite suglasnosti kupaca – mogu imati ne samo regulatorne posljedice vezane za zaštitu podataka, već i konkurentske. U takvim slučajevima opomene od strane konkurenata ili udruga za zaštitu potrošača su moguće i mogu imati značajne posljedice za tvrtke. Presude Saveznog vrhovnog suda ističu da poštivanje zaštite podataka na online marketima nije samo pitanje usklađenosti već i konkurencije.
Posljedice opomene
Opomena za zaštitu podataka može imati dalekosežne posljedice za tvrtke. Osim obveze hitnog prestanka sporni obrade osobnih podataka, u slučaju nastavka kršenja prijete značajne novčane kazne ili novčane kazne. GDPR predviđa iznose do 20 milijuna eura ili 4 % svjetskog godišnjeg prometa – ovisno o tome koji je iznos veći. Osim toga, opomena može trajno oštetiti ugled tvrtke, jer se kršenje zaštite podataka smatra ozbiljnim gubitkom povjerenja od strane kupaca i javnosti. Tvrtke stoga trebaju ne samo iz pravnih, već i iz razloga reputacije pridavati najveću važnost poštivanju propisa o zaštiti podataka.
Obrana protiv opomena
Kako bi se učinkovito zaštitili od opomena u području zaštite podataka, tvrtke trebaju redovito provjeravati svoje prakse zaštite podataka i prilagoditi ih trenutnim zahtjevima GDPR-a. To posebno uključuje izradu transparentne i potpune izjave o zaštiti podataka, pribavljanje izričitih suglasnosti za obradu osjetljivih podataka te provedbu tehničkih i organizacijskih mjera za zaštitu podataka. U slučaju opomene, preporuča se brzo reagirati i potražiti pravni savjet kako bi se najbolje zaštitili vlastiti interesi. Proaktivnim djelovanjem i dosljednim poštivanjem propisa o zaštiti podataka, tvrtke mogu znatno smanjiti rizik od opomena i daljnjih pravnih koraka.
MTR Legal Rechtsanwälte savjetuje o zaštiti podataka, GDPR-u i drugim temama iz IT prava.
Slobodno kontaktirajte nas !
