Holandska agencija za zaštitu podataka o ličnosti (Autoriteit Persoonsgegevens – „AP“) nedavno je izrekla kaznu u visini od 4.750.000 evra rukovaocu podacima zbog neispunjavanja obaveze pružanja jasnih i transparentnih informacija korisnicima o obradi njihovih podataka o ličnosti.

Ova odluka osvetljava značaj poštovanja načela transparentnosti, koje je ustanovljeno Opštom uredbom o zaštiti podataka (General Data Protection Regulation – “GDPR”).

Politika privatnosti i njen značaj

Politika privatnosti predstavlja dokument kojim rukovalac informiše lica na koja se podaci odnose o načinima, svrsi i osnovama obrade njihovih podataka o ličnosti, kao i drugim relevantnim aspektima obrade podataka, u skladu sa GDPR-om. Njena primarna svrha je da korisnicima omogući jasan uvid u postupke rukovaoca u vezi sa obradom podataka, kao i da im pruži informacije o njihovim pravima u vezi sa obradom, čime se osigurava poštovanje načela transparentnosti.

Međutim, u praksi, politika privatnosti se često svodi na formalni dokument prepun generičkih i teško razumljivih fraza, što dovodi do nedostatka transparentnosti i narušavanja prava korisnika. Mnogi rukovaoci podacima ne shvataju dovoljno značaj ovog akta i neretko ga sačinjavaju isključivo radi ispunjavanja forme, bez adekvatnog razumevanja njegove uloge u zaštiti podataka o ličnosti. Takav pristup rezultira politikama privatnosti koje su često nepotpune, nejasne i teško razumljive za prosečne korisnike.

Slučaj holandske Agencije za zaštitu podataka o ličnosti: Utvrđene povrede i ključne okolnosti

U slučaju podnete prijave protiv striming servis giganta – kompanije Netflix, holandska Agencija za zaštitu podataka o ličnosti utvrdila je da je rukovalac postupao suprotno osnovnim načelima zaštite podataka koja propisuje GDPR.

Netflix, kao rukovalac podacima o ličnosti, zahteva od korisnika – lica čiji se podaci obrađuju – da kreiraju nalog kako bi mogli da koriste usluge koje pruža. Tokom postupka registracije, korisnici su u obavezi da dostave određene podatke o ličnosti, kao što su ime, datum rođenja, e-mail adresa, broj telefona i broj bankovnog računa. Osim toga, dok koriste platformu za gledanje filmova i serija, rukovalac prikuplja podatke o njihovim preferencijama gledanja kako bi im personalizovao sadržaj i predložio programe koji bi im mogli biti zanimljivi.

Austrijska organizacija „NOYB“ (None of Your Business), koja se bavi zaštitom digitalnih prava, podnela je u ime dva korisnika zahtev za pristup njihovim podacima. Nakon što je rukovalac odgovorio na zahtev, NOYB je u ime korisnika podneo žalbu austrijskom organu za zaštitu podataka, tvrdeći da rukovalac nije pružio dovoljno informacija o načinu obrade podataka. Austrijski organ je potom slučaj ustupio holandskom organu za zaštitu podataka – AP, s obzirom na to da se centralno sedište rukovaoca nalazi u Amsterdamu.

Ispitujući podnetu prijavu, AP je zauzela stanovište da je rukovalac postupao suprotno osnovnim načelima zaštite podataka koja propisuje GDPR, utvrđujući sledeće povrede:

• Nepotpune i netačne informacije o svrhama obrade

Rukovalac pre svega u svojoj politici privatnosti nije pružio tačne informacije o svrhama obrade podataka o ličnosti, što predstavlja jedan od osnovnih elemenata svakog vida obaveštenja o obradi podataka o ličnosti, a naročito politike privatnosti.

U svojim izjašnjenjima u postupku koji je vođen pred AP, rukovalac je naveo čak osam različitih svrha obrade podataka, koje su se znatno razlikovale od onih navedenih u politici privatnosti, kao i u odgovoru na zahtev za pristup podacima.

• Nedostatak informacija o primaocima podataka o ličnosti

AP je u postupku takođe utvrdila da rukovalac koristi usluge trećih strana koji takođe obrađuju podatke o ličnosti korisnika. Međutim, informacije o primaocima podataka o ličnosti nisu navedene u politici privatnosti, kao ni u odgovoru na zahtev za pristup podacima.

• Period čuvanja podataka

Politika privatnosti rukovaoca nije precizirala koliko dugo će podaci biti čuvani. Rukovalac se ograničio na generičke formulacije poput „u skladu sa zakonima,“ bez jasnog navođenja konkretnih rokova čuvanja podataka.

• Prenos podataka u druge države

Iako rukovalac prenosi podatke o ličnosti korisnika u druge države, politikom privatnosti nije precizirano koja prava korisnici imaju kada se njihovi lični podaci prenose van EEA (Evropskog ekonomskog prostora).

Odluka AP i izricanje kazne

Na osnovu utvrđenih povreda, AP je izrekla kaznu Netflix-u i visini od 4.750.000 evra. Kazna je izrečena zbog nepoštovanja ključnih načela GDPR-a, naročito u pogledu transparentnosti i prava na pristup podacima. AP je uzela u obzir težinu prekršaja, kao i činjenicu da rukovalac ostvaruje godišnji prihod od više od 30 milijardi evra, što je dodatno povećalo odgovornost rukovaoca.

Visina kazne, smatrana je proporcionalnom u odnosu na prekršaje i ima za cilj da podstakne sve rukovaoce da se striktno pridržavaju pravila zaštite podataka i unaprede svoje politike privatnosti.

Značaj odluke AP i njen uticaj na praksu drugih država članica EU

Odluka AP u slučaju Netflix-a je podsetnik svim rukovaocima podacima da moraju obezbediti jasne informacije o načinu obrade podataka, kako bi korisnicima omogućili da u potpunosti koriste svoja prava prema GDPR-u.

Transparentnost u politici privatnosti, kao i pružanje i jasnih i tačnih informacija na zahtev lica na koja se podaci odnose, nije samo zakonska obaveza, već i temelj poverenja između rukovaoca i lica na koja se podaci odnose.

Ova odluka bi mogla biti od uticaja i na buduću praksu drugih nadzornih organa širom EU. Iako je svaka zemlja članica EU odgovorna za sprovođenje GDPR-a na svom području, ovakve odluke često služe kao presedan i podstiču harmonizaciju pristupa zaštiti podataka u Uniji.

Kako će konkretno uticati na ponašanje rukovalaca i praksu drugih organa za zaštitu podataka širom EU, ostaje da se vidi. Međutim, jasno je da svaka odluka ovakvog tipa šalje snažnu poruku o važnosti transparentnosti i odgovornosti rukovalaca u skladu sa najvišim standardima zaštite podataka o ličnosti.

Ovaj članak je isključivo informativne prirode i ne predstavlja pravni savet. Ukoliko su Vam potrebne dodatne informacije, budite slobodni da nas kontaktirate.