Agencija za zaštitu podataka
Agencija za zaštitu podataka
Austrijska Agencija za zaštitu podataka (DSB) je centralna nadzorna institucija za zaštitu ličnih podataka u Austriji. Ona kontroliše usklađenost sa Općom uredbom o zaštiti podataka (GDPR) i austrijskim Zakonom o zaštiti podataka (DSG), odlučuje o žalbama, pokreće postupke provjere, izriče sankcije i predstavlja Austriju u Evropskom odboru za zaštitu podataka. Njen zadatak je da osigura osnovna prava, spriječi zloupotrebe i obaveže preduzeća i vlasti na poštivanje obaveza u vezi sa zaštitom podataka.
Agencija za zaštitu podataka je državni nadzorni organ za zaštitu ličnih podataka u Austriji.
Zadaci i nadležnosti
Agencija za zaštitu podataka preuzima širok spektar aktivnosti, koje sve služe zaštiti ličnih podataka:
- Obrada žalbi pogođenih osoba
- Provođenje službenih postupaka provjere
- Odluka u upravnim prekršajnim postupcima i izricanje novčanih kazni
- Prijem i kontrola prijava o povredama zaštite podataka (Data Breaches)
- Postupci odobrenja, na primjer za kodekse ponašanja ili certifikacijska tijela
- Mišljenja o zakonskim prijedlozima
Time je ona centralna kontakt tačka za pogođene osobe, preduzeća i službenike za zaštitu podataka podjednako.
Definicija zaštite podataka
Zaštita podataka je osnovno pravo da se samostalno odlučuje ko obrađuje koje informacije o osobi. Lični podaci su svi podaci koji se odnose na određenu osobu ili je čine prepoznatljivom, kao što su ime, adresa, broj telefona, e-mail adresa, ali i fotografije, IP adrese ili zdravstveni podaci.
Zaštita podataka ne znači da se podaci ne smiju obrađivati. Ona znači da je obrada dozvoljena samo pod jasnim zakonskim pretpostavkama i da pogođene osobe imaju sveobuhvatna prava. Ova prava štite od zloupotrebe i daju mogućnost ostvarivanja kontrole nad vlastitim podacima.
Prava pogođenih osoba
Svaka osoba može od Agencije za zaštitu podataka zahtijevati da se poštuju njena osnovna prava. GDPR predviđa jasan skup prava za to:
- Pravo na informisanje: Prije svake obrade podataka, pogođene osobe moraju biti jasno i potpuno informisane.
- Pravo na pristup: Svaka pogođena osoba ima pravo saznati koji su podaci pohranjeni i u koju svrhu.
- Pravo na ispravku i brisanje: Netačni podaci moraju biti ispravljeni, nedozvoljeni podaci moraju biti obrisani.
- Pravo na ograničenje obrade: Pod određenim uslovima, obrada se smije nastaviti samo u ograničenom obimu.
- Pravo na prigovor: Protiv određenih obrada podataka može se uložiti prigovor u bilo koje vrijeme.
- Pravo na prenosivost podataka: Pogođene osobe mogu zahtijevati da se njihovi podaci prenesu u uobičajenom formatu njima samima ili drugom preduzeću.
- Pravo na zaštitu od automatizovanog donošenja odluka: Niko ne smije biti diskriminisan isključivo na osnovu automatizovanih postupaka.
Ova prava nisu samo teorijske prirode, već se mogu i ostvariti – po potrebi u žalbenom postupku pred Agencijom za zaštitu podataka.
Obaveze preduzeća
Preduzeća i vlasti su obavezni da zaštitu podataka ne primjenjuju samo na papiru, već i u praksi. Među bitnim obavezama su:
- Pravni osnov obrade: Svaka obrada podataka mora se zasnivati na zakonskoj osnovi, kao što je pristanak ili ugovor.
- Obaveze transparentnosti: Pogođene osobe moraju biti jasno informisane o tome šta se dešava sa njihovim podacima.
- Tehničke i organizacione mjere (TOMs): IT sigurnost i organizacioni procesi moraju biti osmišljeni tako da podaci budu zaštićeni od gubitka, zloupotrebe ili neovlaštenog pristupa.
- Evidencije aktivnosti obrade: Preduzeća moraju dokumentovati na razumljiv način koje podatke obrađuju.
- Prijava povreda zaštite podataka: Sigurnosni incidenti moraju biti prijavljeni Agenciji za zaštitu podataka u roku od 72 sata.
- Provođenje procjena uticaja na zaštitu podataka: Kod obrada visokog rizika mora se izvršiti detaljna analiza.
Povreda zaštite ličnih podataka
Prema GDPR-u, povrede zaštite ličnih podataka nastaju kada se zbog nedovoljne sigurnosti dogodi neovlaštena izmjena, brisanje, otkrivanje ili gubitak podataka. To se može dogoditi putem:
- Uništenje, gubitak ili izmjena ličnih podataka
- Neovlašteni pristup ili otkrivanje – na primjer, hakerskim napadima, slanjem nosača podataka pogrešnim primaocima ili nesigurnim pohranjivanjem
- Slučajno objavljivanje podataka – npr. zbog nesigurnog pohranjivanja ili prenosa
- Ovo važi bez obzira na to da li se incident dogodio namjerno ili nenamjerno
Primjeri koji mogu predstavljati takvu povredu:
- Gubitak podataka zbog sigurnosno nešifrovanih datoteka ili USB stickova
- Hakerski napad na baze podataka klijenata
- Pogrešno poslane e-poruke sa ličnim podacima
- Slučajno javno dostupni lični dokumenti
Ove činjenice mogu direktno dovesti do rizika, uključujući krađu identiteta, narušavanje ugleda ili finansijsku štetu za pogođene osobe.
Postupak pred Agencijom za zaštitu podataka
Postupak pred Agencijom za zaštitu podataka je formalizovan i može imati različite oblike:
Žalbeni postupak
Pogođene osobe mogu podnijeti žalbu Agenciji za zaštitu podataka ako smatraju da neko nezakonito obrađuje njihove lične podatke. Ovaj postupak je relativno niskopražan.
Tok postupka:
- Pogođena osoba podnosi pismenu žalbu – putem obrasca, e-maila ili pošte.
- Agencija za zaštitu podataka provjerava da li je žalba formalno dopuštena.
- Protivna strana – obično preduzeće ili vlast – poziva se da dostavi izjašnjenje.
- Slijedi utvrđivanje činjeničnog stanja, po potrebi sa dopunskim pitanjima ili saslušanjima.
- Na kraju se donosi rješenje Agencije za zaštitu podataka, kojim se žalba ili odbija ili usvaja i nalažu mjere za otklanjanje nepravilnosti.
Za pogođene osobe, ovaj postupak je najvažnija mogućnost za ostvarivanje njihovih prava iz GDPR-a.
Službene provjere
Agencija za zaštitu podataka nije samo zavisna od žalbi, već može djelovati i po službenoj dužnosti. To se dešava posebno kada postoje indicije o sistematskim kršenjima ili sigurnosnim propustima.
Posebnosti:
- Postupak počinje bez zahtjeva pogođene osobe.
- Osobe koje prijavljuju nemaju status stranke i ne obavještavaju se o ishodu.
- Agencija za zaštitu podataka samostalno provjerava da li postoje kršenja i po potrebi nalaže mjere.
Službene provjere imaju snažan preventivni učinak, jer povećavaju pritisak na preduzeća i vlasti da zaštitu podataka osiguravaju ne samo reaktivno, već kontinuirano.
Upravni prekršajni postupak
Ako Agencija za zaštitu podataka utvrdi kršenje, može pokrenuti upravni prekršajni postupak. Cilj je obavezati preduzeća i javne institucije da otklone kršenja i izreknu značajne sankcije.
Moguće sankcije su:
- Novčane kazne do 20 miliona eura ili 4 % globalnog godišnjeg prometa,
- Nalozi za obustavu ili prilagođavanje obrade podataka,
- Upozorenja i obaveze.
Visina novčane kazne zavisi od težine, trajanja i namjere kršenja. Ulogu igraju i ranija kršenja ili kooperativno ponašanje u postupku.
Peter HarlanderHarlander & Partner Rechtsanwälte „Wer Verfahren vor der Datenschutzbehörde auf die leichte Schulter nimmt, riskiert nicht nur hohe Geldbußen, sondern auch den Verlust von Vertrauen und Reputation.“
Pravni lekovi
Odluke Agencije za zaštitu podataka donose se putem rješenja. Protiv ovih rješenja pogođenim osobama je otvoren put do Saveznog upravnog suda (BVwG).
- BVwG preispituje odluku u pravnom i činjeničnom smislu.
- Protiv njegove odluke je, pod određenim okolnostima, moguća revizija Upravnom sudu (VwGH) ili žalba Ustavnom sudu (VfGH).
Time je osigurano da odluke Agencije za zaštitu podataka podliježu višestepenoj sudskoj kontroli.
Sada odaberite željeni termin:Besplatne početne konsultacijeMeđunarodna dimenzija
Zaštita podataka više nije nacionalna tema. Agencija za zaštitu podataka sarađuje sa drugim evropskim nadzornim tijelima i dio je
Sloboda informisanja
Pored zaštite podataka, i sloboda informisanja dobija na značaju. Sa novim Zakonom o slobodi informisanja (IFG), Agencija za zaštitu podataka će ubuduće preuzeti ulogu kontakt osobe za pitanja transparentnosti i pristupa službenim informacijama.
Ove obaveze nisu opcionalne. Njihovo nepoštivanje redovno dovodi do istraga, a u ekstremnim slučajevima do značajnih novčanih kazni.
Vaše prednosti uz advokatsku podršku
Postupak pred Agencijom za zaštitu podataka povezan je sa značajnim izazovima kako za pogođene osobe, tako i za preduzeća. Pogođene osobe rizikuju da ne ostvare svoja prava u potpunosti bez profesionalne podrške. Preduzeća se, pak, suočavaju ne samo sa visokim novčanim kaznama, već i sa štetom po ugled i skupim prilagođavanjima svojih procesa. Pored toga, postupci su visoko formalizovani i sadrže složene pravne zahtjeve koji su teško savladivi bez stručne podrške.
Pravna podrška specijalizovane advokatske kancelarije pruža sigurnost i osigurava da se vaši interesi profesionalno zastupaju od samog početka. Imate koristi od temeljnog iskustva u pravu zaštite podataka i dosljednog zastupanja pred Agencijom.
- provjerava da li je dotična pravna tema primjenjiva u vašem slučaju
- prati vas kroz cijeli postupak, odnosno obradu
- osigurava pravno sigurno oblikovanje i provođenje svih potrebnih koraka
- podržava u izračunu, ostvarivanju ili odbrani potraživanja
- štiti vaša prava i interese prema svim uključenim stranama
Sebastian RiedlmairHarlander & Partner Rechtsanwälte „Datenschutz wird oft unterschätzt, dabei entscheidet die richtige Strategie im Umgang mit der Datenschutzbehörde über Erfolg oder Misserfolg.“
