Kazna za naplaćivanje postavljanja zahtjeva – 830 tisuća eura!

Nizozemsko nadzorno tijelo Autoriteit Persoonsgegevens (AP) nedavno je izreklo najnoviju kaznu u do sada najvećem iznosu – 830 tisuća eura. Kažnjen je nizozemski Ured za registraciju kreditnih bodova (BKR – Stichting Bureau Krediet Registration) i to za neusklađenost s odredbama članka 12. GDPR-a.

Nakon zaprimljenog većeg broja pritužbi ispitanika, nizozemski AP istražio je kako BKR upravlja zahtjevima ispitanika. Istragom su utvrdili da je BKR omogućio dva načina na koje ispitanici mogu postaviti svoje zahtjeve i ispunjavati prava:

  1. mogu zatražiti pristup svojim podacima u digitalnom obliku ukoliko su BKR pretplatnici s ugovornom obvezom od jedne godine, ili
  2. mogu zatražiti besplatan pristup svojim osobnim podacima, jednom godišnje, putem pošte.

AP je ustanovio da je BKR prekršio GDPR u pogledu osiguravanja postavljanja besplatnih zahtjeva za pristup osobnim podacima sukladno članku 12. stavak 5. GDPR-a, te u pogledu olakšavanja ispitanicima da ispunjavaju svoja prava, kako je određeno člankom 12. stavak 2.

Prilikom izricanja kazne, nizozemski AP vodio se vlastitom politikom izricanja kazni. U ovom slučaju kazna je umanjena za 20% od predviđene jer se oba prekršaja odnose na isti zahtjev GDPR-a. Umanjena kazna iznosi 830 tisuća eura.

Podsjetimo, do sada najviši iznos kazne koju je izrekao nizozemski AP bio je 725 tisuća eura u travnju ove godine, tvrtki koja je bez valjane pravne osnove provodila evidentiranje radnog vremena među zaposlenicima obradom njihovih biometrijskih podataka (otisci prstiju).

🔗 AP objava za medije (na nizozemskom jeziku)
🔗 AP odluka o kažnjavanju (na nizozemskom jeziku)