Talijansko nadzorno tijelo u lipnju 2022. g. izreklo je kaznu u iznosu od 70.000,00 eura voditelju obrade, i to banci UniCredit S.p.A., a sve iz razloga što je isti zahtijevao da ispitanik podnese svoj zahtjev za pristup osobnim podacima putem određenog obrasca i jer nije pružio sve informacije potrebne sukladno odredbi članka 15. GDPR-a.
Naime, zaposlenik banke, kao ispitanik, je uputio dopis svom poslodavcu kao voditelju obrade, a kojim je dopisom zahtijevao pravo pristupa svojim osobnim podacima. Voditelj obrade je na navedeni dopis odgovorio ispitaniku da pošalje zahtjev za pristup ispunjavanjem obrasca koji je dostupan na web stranici voditelja obrade.
Ispitanik nije odgovorio voditelju obrade, niti je postupio po uputi istoga, odnosno nije ispunio obrazac, već je podnio pritužbu talijanskom nadzornom tijelu, tvrdeći da mu voditelj obrade nije omogućio pravo pristupa.
Tak nakon što je nadzorno tijelo obavijestilo voditelja obrade o pritužbi, voditelj obrade odgovorio je na zahtjev za pristup, a ispitanik je tvrdio da mu voditelj obrade nije pružio sve informacije.
Voditelj obrade se pred nadzornim tijelom branio da je smatrao da ispitanik više nije zainteresiran za ostvarivanje prava na pristup obzirom da nije ispunio obrazac, te da je zahtjev ispitanika neutemeljen i pretjeran jer je tražene informacije ispitanik mogao preuzeti izravno iz sustava voditelja obrade i da su iste već navedene u izjavi o privatnosti dostupnoj na web stranici tvrtke.
Nadzorno tijelo je u predmetnom slučaju zaključilo da voditelj obrade može koristiti obrasce kao dio postupka za odgovor na zahtjev nositelja podataka. Međutim, podnošenje obrasca ne može biti nužan uvjet za ostvarivanje prava nositelja podataka. Nadalje, voditelj obrade i dalje je imao dužnost odgovoriti na zahtjev bez obzira što su tražene informacije već bile objavljene na web stranici i/ili drugim sredstvima.
Nadzorno tijelo obrazložilo je da se pravo na informacije i pravo na pristup razlikuju. Naime, zahtjev za pristup prema članku 15. GDPR-a nije zadovoljen samo zato što je voditelj obrade pružio informacije prema člancima 13. i 14. prilikom prikupljanja podataka. Informacije trebaju biti “ažurirane i prilagođene za radnje obrade koje se stvarno provode u odnosu na ispitanika koji podnosi zahtjev”. Stoga upućivanje na, u ovom slučaju, politiku privatnosti tijekom obrade ne bi bilo dovoljno, osim ako su “prilagođene” informacije iste kao “općenite” informacije.
Nadalje, nadzorno tijelo odbacilo je argument voditelja obrade da je zahtjev ispitanika bio očito neutemeljen i pretjeran. Naime, članak 15. GDPR-a ne predviđa nikakva ograničenja osobnih podataka kojima se može pristupiti. Nadzorno tijelo je također pojasnilo da se izraz “pretjeran”, kako se koristi u GDPR-u, obično odnosi na zahtjeve koji se ponavljaju.
Nadalje, nadzorno tijelo je primijetilo da predmetni obrazac ne pokriva puni sadržaj prava na pristup ispitanika prema članku 15. GDPR-a.
Zaključno, voditelj obrade je u predmetnom slučaju prekršio odredbe članka 5. st.1., članka 12. i članka 15. GDPR-a, te ga je stoga nadzorno tijelo kaznilo novčanom kaznom u iznosu od 70.000 eura.
Više o slučaju
https://gdprhub.eu/index.php?title=Garante_per_la_protezione_dei_dati_personali_(Italy)_-_9795350