Tradicionalno početkom prosinca, "miris" blagdanskog i novogodišnjeg raspoloženja polako počinje dolaziti kroz promotivne sadržaje na internetskim stranicama.

Razumljivo je da ove godine neće dominirati popularne ponude za grupne proslave i putovanja, ali očekivano ćemo biti "bombardirani" s ponudama prigodnih roba i usluga, a neke od tih ponuda će biti i od kompanija izvan Unije.

Kako su u takvim situacijama zaštićeni naši osobni podaci i kako GDPR gleda na to?

Teritorijalno područje primjene GDPR-a odnosi se na organizacije koje imaju sjedište ili podružnicu na teritoriju EU, bez obzira obrađuju li osobne podatke unutar ili izvan EU. Time je Uredba jasno regulirala obradu osobnih podataka na svom teritoriju.

Ali, kada organizacija nema sjedište ili fizički ured u EU, a ciljano nudi robu i usluge ili osobne podatke građana EU koristi za njihovo praćenje, mora imenovati svog predstavnika sa sjedištem unutar Unije bez obzira da li su voditelj ili izvršitelj obrade.

Tko je predstavnik voditelja ili izvršitelja obrade?

U osnovi, funkcija Predstavnika je uvedena kako bi se olakšala komunikacija u provedbi GDPR-a na organizacije koje ciljano obrađuju osobne podatke građana EU, a nemaju sjedište ili ured u EU, a samim time i da im Nadzorno tijelo može izreći korektivne mjere i novčane kazne.

Opća uredba dozvoljava da organizacija imenuje jednog predstavnika za poslovanje na cijeloj teritoriji EU. Ako organizacija provodi obradu u npr. Hrvatskoj, Mađarskoj i Sloveniji, treba imenovati predstavnika u jednoj od te tri zemlje. Bez obzira na teritorijalni opseg obrade u EU, preporuka je da predstavnik bude u zemlji   u kojoj se obrađuje najveći broj osobnih podataka, ali da bude dostupan na jezicima razumljivim svim ispitanicima i Nadzornim tijelima.

Voditelj ili izvršitelj obrade pisanim ovlaštenjem imenuje svog predstavnika da djeluje u njegovo ime. Predstavnik može biti fizička ili pravna osoba, a njegova odgovornost može biti propisana kao dio poslovnih ugovora ili kao jedinstvena usluga namijenjena samo za ispunjenje obveze prema Uredbi. S druge strane, predstavnik može djelovati za više različitih voditelja i izvršitelja obrade.

Predstavnik vodi računa da obrada osobnih podataka bude u skladu sa GDPR-om. U prvom redu mora omogućiti učinkovitu komunikaciju sa ispitanicima u pogledu ostvarivanja njihovih prava i na zahtjeve Nadzornog tijela za provjeru usklađenosti Voditelja/Izvršitelja obrade. Premda je Voditelj/Izvršitelj odgovoran za sadržaj Evidencije obrade aktivnosti, Predstavnik je dužan voditi računa da su Evidencije uvijek ažurirane i dostupne Nadzornom tijelu.

Znači, predstavnik voditelja ili izvršitelja obrade (Predstavnik) za organizaciju van EU je isto što i službenik za zaštitu podataka (Službenik) za organizaciju unutar EU?

Pored niza sličnosti u djelovanju, u ovom dijelu ćemo se osvrnuti samo na različitosti u djelovanju ove dvije funkcije. Službenik se imenuje na temelju stručnih kvalifikacija i znanja o pravu i zaštiti osobnih podataka sa dovoljnom razinom autonomije da djeluje neovisno i bez uputa Voditelja ili izvršitelja obrade koji njegove kontakt podatke dostavlja Nadzornom tijelu.

Predstavnik je imenovan da djeluje u ime Voditelja ili Izvršitelja i prema njegovim izravnim uputama. Njegova stručnost nije uvjet, ali je preporuka i u interesu Voditelja i Izvršitelja. Voditelj i Izvršitelj neće snositi sankcije ako kontakt podatke Predstavnika ne priopće Nadzornom tijelu, ali u pogledu informiranja građana njegovi kontakt podaci trebaju biti dostupni prije prikupljanja osobnih podataka (npr. u Izjavi o privatnosti).

Postoje li iznimke od imenovanja Predstavnika?

Imenovanje Predstavnika za organizacije sa poslovnim sjedištem i uredom izvan EU nije obvezujuće:

• za tijela javne vlasti ili javno tijelo. Tko su ta tijela, Opća uredba nije precizirala, ali se smatra da bi trebala biti propisana nacionalnim zakonodavstvom, a po prirodi djelovanje i ponašanje takvih tijela u ponudi roba i usluga bi trebalo biti ograničeno.
• ako je obrada podataka povremena, tj. nije redovita i van uobičajenih aktivnosti poslovanja, ne predstavlja visok rizik za prava i slobode pojedinaca i ne uključuje podatke koji se odnose na kaznene osude ili u velikoj mjeri podatke posebne kategorije.

Povezane vijesti

• Prvo veliko kršenje osobnih podataka ZAPOSLENIH I U JAVNOM SEKTORU GRADA PULE I POREČA
• Ines Bolkovac, direktorica hrvatskog Centra za zaštitu osobnih podataka "Feralis": POLITIČARI NISU JEDNAKO ZAŠTIĆENI KAO DRUGI GRAĐANI
• Mini vodič za samostalno uređenje web stranice U SKLADU S GDPR-om