Zanimljiv slučaj dogodio se pre izvesnog vremena u Norveškoj, kada je protiv organa nadležnog za zaštitu podataka o ličnosti podneta pritužba usled kršenja odredaba Opšte uredbe o zaštiti podataka o ličnosti EU 2016/679 („GDPR“).

Više o sličnoj situaciji koja se dogodila u Danskoj 2020. godine možete pročitati ovde.

Pritužba

Prema navodima podnete pritužbe, a o kojoj je, shodno odluci nadležnog ministarstva, odlučivalo treće, tj. nepristrasno telo, povreda odredaba GDPR učinjena je u vezi sa načinom vođenja, odnosno funkcionisanja internet stranice pomenutog organa, te u pogledu sledećih članova GDPR:

• člana 6(1), budući da je nadležni organ obradu podataka o ličnosti u konkretnom slučaju, tj. u vezi sa posetama i pretragama navedene stranice, zasnovao na odredbi 6(1)(f) GDPR, shodno kojoj je obrada neophodna radi ostvarivanja legitimnih interesa rukovaoca ili trećeg lica, pri čemu odredba 6(1) u stavu drugom izričito predviđa da se osnov obrade utvrđen odredbom 6(1)(f) GDPR ne primenjuje na obradu koju vrše organi vlasti u obavljanju svojih zadataka;
• člana 13(1)(d), iz razloga što obaveštenje o privatnosti sadržano na predmetnoj stranici ne sadrži precizno određenje prethodno pomenutog legitimnog interesa;
• člana 5(1)(b), s obzirom da nije pruženo odgovarajuće obaveštenje ni u pogledu svrhe predmetne obrade;
• člana 57(2), budući da je nadležni organ onemogućio podnošenje pritužbe elektronskim putem, ali i otežao proces pronalaženja informacija o tome kako pritužba može biti podneta; i
• člana 77, iz razloga što je nadležni organ od ponosilaca pritužbi povodom povrede prava na zaštitu podataka o ličnosti zahtevao da se pre obraćanja njemu obrate rukovaocu.

Odluka

Shodno odluci donetoj u predmetnom postupku, utvrđeno je da je nadležni organ povredio prethodno pomenute odredbe članova 13(1)(d) i 77 GDPR, iz razloga što:

• nije precizirao legitimni interes u skladu sa kojim je obrada neophodna; i
• je od podnosilaca pritužbi zahtevao prethodno direktno obraćanje rukovaocu podacima o ličnosti u vezi sa pritužbom povodom povrede prava na zaštitu predmetnih podataka.

Što se tiče ostalih navoda pritužbe, tj. povrede drugih odredaba GDPR na koje se ista poziva, odgovornost nadležnog organa nije utvrđena.

Imajući u vidu da je preciziranje navedenog legitimnog interesa izvršeno u toku samog postupka, u kom pogledu je postupanje nadležnog organa usklađeno sa relevantnim odredbama GDPR, organ koji je postupao po pritužbi je u odluci naveo da očekuje da će i preostala nepravilnost biti otklonjena primenom odgovarajućih mera.

Za kraj, značajno je pomenuti i deo obrazloženja predmetne odluke kojim se navodi da je „(…) jedini podatak o ličnosti koji se koristi prilikom predmetne obrade IP adresa, koja se smatra podatkom anonimne prirode, dostupnim svega nekolicini lica, usled čega je rizik u tom pogledu minimalan u meri koja omogućava prevladavanje legitimnog interesa obrađivača nad pravima i slobodama lica na koja se takvi podaci odnose“.

Ovaj članak je isključivo informativne prirode i ne predstavlja pravni savet. Ukoliko su Vam potrebne dodatne informacije, budite slobodni da nas kontaktirate.