Locatefamily.com je tvrtka sa sjedištem u Kanadi. Radi se o online platformi koja omogućuje korisnicima pretraživanje podataka o osobama s kojima su ranije izgubili kontakt. Iako je tvrtka iz Kanade i nema sjedište u EU, s obzirom da nudi usluge osobama u Nizozemskoj i još osam drugih zemalja članica EU dužna je primjenjivati GDPR.
Nizozemsko nadzorno tijelo za zaštitu podataka – Autoriteit Persoonsgegevens (AP), u razdoblju od početka primjene GDPR-a do 25. srpnja 2019. zaprimilo je 19 pritužbi ispitanika vezanih uz Locatefamily.com. Naime, te osobe se nikad nisu registrirale na platformu, ali njihove privatne informacije, uključujući adrese i telefonske brojeve, bile su javno objavljene na platformi bez njihova znanja.
Istragom je utvrđeno da Locatefamily.com nije uvažio zahtjeve ispitanika za brisanjem podataka te da nema imenovanog predstavnika u EU sukladno obvezi iz članka 27. GDPR-a.
AP je kaznio Locatefamily.com s 525 tisuća eura zbog neispunjavanja obveze za imenovanjem predstavnika u EU, te dodatnih 20 tisuća eura tjedno (do maksimalnih 120 tisuća eura) sve dok ne imenuje predstavnika.
Ovo nije prvi slučaj u kojem je nadzorno tijelo vodilo postupak protiv voditelja obrade izvan EU. Početkom godine pisali smo o slučaju u Luksemburgu: dvije tvrtke iz SAD-a odbile su ispuniti zahtjev ispitanika za pristup i brisanje osobnih podataka. Međutim, u tom slučaju luksemburški CNPD zaključio je da provedba GDPR-a nije moguća i obustavio postupak, obzirom da tvrtke nemaju sjedište niti imenovanog predstavnika u EU.
Tad smo se pitali na koji način bi bilo moguće postupati protiv tvrtki izvan EU. Danas se pitamo drugo pitanje: Zašto je nizozemski AP uspješno postupao protiv kanadske tvrtke, a luksemburški CNPD u vrlo sličnoj situaciji nije mogao postupati protiv tvrtki u SAD-u?
Izvor: GDPRhub