Увод у упозорење о заштити података
Упозорење о заштити података је централни инструмент у закону о заштити података за спровођење поштовања Опште уредбе о заштити података (GDPR). Од ступања на снагу GDPR-а 2018. године, предузећа и организације су обавезне да при обради личних података посвећују највећу пажњу. Ако дође до повреде ових прописа – на пример, због недовољног информисања корисника или недозвољене обраде података – може бити издато упозорење. Ово може иницирати не само надлежна тела за заштиту података, већ и конкуренти, удружења за заштиту потрошача или чак саме погођене особе. Циљ упозорења о заштити података је да се предузеће приморава да престане са кршењем заштите података и да се придржава права на заштиту података. За предузећа то значи да морају редовно проверавати и прилагођавати своје процесе и руковање личним подацима како би избегли упозорења и могуће тужбе.
Rechtliche Grundlagen
Правне основе за упозорења у области заштите података налазе се посебно у GDPR-у и Закону против неискрене конкуренције (UWG). GDPR детаљно регулише како се лични подаци смеју прикупљати, чувати и обрађивати. Кршења ових прописа – као што је недозвољена обрада или недостатак транспарентности – могу се пратити не само од стране надлежних тела за заштиту података, већ и у оквиру права конкуренције. UWG штити конкуренцију од неискрених пословних пракси и предвиђа да се кршење заштите података може сматрати кршењем UWG ако једно предузеће стекне неискрену предност. Тако се упозорења због кршења заштите података могу изрећи и на основу GDPR-а и UWG. Предузећа стога треба да осигурају да строго поштују законске прописе за обраду личних података како би избегли упозорења и даље правне последице.
Конкуренти могу упозорити – Пресуде Врховног суда I ZR 186/17 / I ZR 222/19 / I ZR 223/19
Конкуренти и удружења за заштиту потрошача могу упозорити на кршења заштите података од стране предузећа; суду припада централна улога у одлучивању о упозорењима због кршења заштите података. То је Врховни суд пресуде 27. марта 2025. (бр. I ZR 186/17, I ZR 222/19, I ZR 223/19) одлучио. Разни судови су у прошлости различито одлучивали о овлашћењу за упозорења у случају кршења заштите података. Број случајева кршења заштите података показује практичну релевантност ове теме. Пресуда Врховног суда од марта 2025. године јасно указује да такмичари и удружења потрошача могу бити активни. Пресуде Врховног суда од марта 2025. од великог су значаја за праксу упозорења, јер омогућавају гоњење кршења заштите података од стране удружења потрошача и конкурената пред цивилним судовима. GDPR упозорење је посебан облик упозорења који се односи на кршења Опште уредбе о заштити података и разликује се од других упозорења по свом односу на закон о заштити података. Центар за заштиту потрошача игра важну улогу у спровођењу права на заштиту података. Удружења потрошача значајно учествују у упозорењу на кршења заштите података. Такође, конкуренти могу да прате кршења заштите података и на тај начин штите конкуренцију. Пресуда Врховног суда значајно утиче на праксу и правну процену кршења заштите података.
Кршења заштите података не могу санкционисати само надзорна тела. Одлучивачка компетенција судова при кршењима заштите података је од централног значаја. Као што показују одлуке Врховног суда, такмичари и удружења потрошача могу такође поступати против кршења. У оквиру таквих поступака, окривљено лице има важну улогу. За предузећа, то може имати значајне последице у онлајн трговини и при обради осетљивих података, према правној фирми MTR Legal Rechtsanwälte, која саветује, између осталог, у IT праву и закону о заштити података. GDPR кршења могу довести до значајних правних последица, посебно ако се потражују забране. У случају поновљеног кршења GDPR-а прете појачане санкције и даље мере. Гоњење кршења заштите података се спроводи како од стране судова, тако и од стране удружења. Значај реченице 1 и реченице 1 бр. у релевантним параграфима је пресудан за правну квалификацију. Питање има велики значај за развој закона о заштити података и спровођење права потрошача.
Апликација за игре објављује податке
У случају под бројем I ZR 186/17 је реч о такозваном „Центру апликација“ у друштвеној мрежи, где су треће стране нудиле игре. Центар апликација служи као централна платформа на којој се нуде разне апликације трећих страна. У Центру апликација онлајн игре играју значајну улогу јер чине већину понуде. Приликом коришћења апликације могу се обрађивати и лични подаци као што је твоја имејл адреса. Пре него што корисник започне игру, приказује му се обавештење да апликација добија одређене дозволе, нпр. да сме да објављује статусна обавештења. Међутим, ове информације су биле нејасне и нису обавештавале о томе који конкретни подаци су обрађени, ко су били примаоци и у коју сврху се то дешавало. Против тога је успешно поднело тужбу кровно удружење потрошачких центара савезних држава.
Врховни суд је јасно навео да таква нејасна и укупна информација не задовољава захтеве Опште уредбе о заштити података (GDPR). Већ при прикупљању података преко апликације корисници морају бити свеобухватно информисани. Такође, обим прикупљених и обрађених података мора бити транспарентно приказан. Правно сигурно формулисање сврха употребе у изјави о заштити података је при томе од посебне важности. Информациони захтеви према члановима 12 и 13 GDPR-а захтевају јасно, прецизно и разумљиво информисање погођених особа. Будући да та правила GDPR-а истовремено регулишу и понашање на тржишту у смислу права конкуренције (§ 3а UWG), непоштовање представља конкурентски прекршај. Такмичари или квалификована удружења за заштиту потрошача стога могу грађански поступати против таквих кршења заштите података, наводи Врховни суд. То се односи независно од тога да ли је неки корисник поднео жалбу.
Апотекари продају лекове преко интернета
Слична питања су обрађена у поступцима под бројевима I ZR 222/19 и I ZR 223/19. Овде су две апотеке продавале лекове преко платформе Amazon. При том су обрађивани лични подаци купаца, укључујући и здравствене податке, на пример, име, адреса или наручени лекови са информацијама о њиховој индивидуализацији. Прикупљање ових здравствених података од стране апотека било је централни предмет поступака. Постојало је много случајева кршења заштите података у области апотека који су у том контексту постали релевантни. Против тога су тужење поднели други апотекари. И ове тужбе су имале успех: Врховни суд је истакнуо да се наруџбени подаци у смислу члана 9 став 1 GDPR-а сматрају здравственим подацима. Ово важи чак и ако лекови нису на рецепт. Подаци се смеју обрађивати само ако је дата изричита сагласност купаца, коју апотекари нису добили.
Врховни суд је потврдио процену Европског суда правде, да здравствени подаци постоје већ када се из наруџбине могу извући закључци о здравственом стању или терапији. У поступцима је оптужена страна играла централну улогу, пошто је она била одговорна за обраду података. Посебно је наглашено значење заштите погођене особе при обради здравствених података. И овде је Врховни суд видео конкурентски прекршај. Члан 9 став 1 GDPR-а представља правило понашања на тржишту у смислу § 3a UWG-а, тако да се прекршај ове одредбе може гонити од стране конкурента путем конкурентске тужбе пред цивилним судовима, наводе судије у Карлсруеу. Значај реченице 1 и реченице 1 број у релевантним параграфима био је изричито наглашен.
GDPR је такође релевантан за право конкуренције
Пресуде показују да су правила GDPR-а – а овде посебно информациони захтеви и одредбе о сагласности – такође релевантни за право конкуренције. Под одређеним околностима, добити остварене кроз кршења заштите података могу бити одузете; то је у вези с новчаним казнама и другим казненим мерама које могу бити изречене према Општој уредби о заштити података и закону. Предузећа која обрађују личне или осетљиве податке без довољно информација или без важеће сагласности поступају противправно. Не само надзорна тела за заштиту података већ и конкуренти или квалификована удружења интереса могу поступати против таквих прекршаја. Овим је Врховни суд значајно проширио област примене права конкуренције. Предузећа која крше прописе о заштити података могу, поред новчаних казни од стране надлежних тела за заштиту података, такође да буду изложена скупим упозорењима и тужбама за забрану од стране конкурената и удружења за заштиту потрошача.
Предузећа би требало да буду пажљива
Предузећа би зато требало да пажљиво провере и испуне своје информационе обавезе. У то спада и то да корисници буду транспарентно, разумљиво и свеобухватно информисани које податке обрађују у коју сврху, на којој правној основи се то дешава, ко су примаоци и која права стоје на располагању погођенима. Пре обраде осетљивих података – попут здравствених података – мора бити прикупљена и документована изричита сагласност. Опште или скривене клаузуле нису довољне.
Онлајн тржишта и заштита података
Онлајн тржишта као што је Amazon Marketplace незаобилазни су део савременог електронског трговинског пословања. Међутим, управо овде је поштовање заштите података од посебног значаја. Пружаоци услуга који су активни на таквим платформама морају приликом обраде података о клијентима – као што су имена, адресе или подаци о наруџбини – да поштују строге захтеве GDPR-а. Одлуке Врховног суда у поступцима I ZR 186/17, I ZR 222/19 и I ZR 223/19 су показале да кршења GDPR-а – као што је обрада здравствених података без изричите сагласности клијената – могу имати не само импликације на податке, већ и на право конкуренције. Упозорења од стране конкурената или удружења за заштиту потрошача су у таквим случајевима могућа и могу имати значајне последице за предузећа. Пресуде Врховног суда подвлаче да поштовање заштите података на онлајн тржиштима није само питање поштовања правних норми, већ и конкуренције.
Последице упозорења
Упозорење о заштити података може имати далекосежне последице за предузећа. Поред обавезе да се одмах обустави спорна обрада личних података, у случају наставка прекршаја прете значајне казне или новчани износи. У GDPR-у су предвиђени износи до 20 милиона евра или 4 % годишњег прихода на светском нивоу – у зависности од тога који је износ већи. Осим тога, упозорење може трајно нанети штету угледу предузећа, јер се повреда заштите података од стране купаца и јавности доживљава као озбиљан губитак поверења. Предузећа би зато требало да не само из правних, већ и из разлога репутације посвете највећу пажњу поштовању прописа за заштиту података.
Одбрана од упозорења
Да би се ефикасно заштитила од упозорења у области заштите података, предузећа би требало редовно да прегледају своје праксе заштите података и прилагођавају их тренутним захтевима GDPR-а. То укључује посебно израду транспарентне и потпуне изјаве о заштити података, прибављање изричитих сагласности за обраду осетљивих података, као и примену техничких и организационих мера за заштиту података. У случају упозорења, препоручљиво је брзо реаговати и добити правни савет како би се што боље заштитили сопствени интереси. Проактивним деловањем и доследним придржавањем прописа о заштити података, предузећа могу значајно смањити ризик од упозорења и даљих правних корака.
MTR Legal Rechtsanwälte саветује о заштити података, GDPR-у и другим темама из IT права.
Узмите у обзир контакт са нама!
