Tijelo za zaštitu podataka
Tijelo za zaštitu podataka
Austrijsko tijelo za zaštitu podataka (DSB) je središnja nadzorna instanca za zaštitu osobnih podataka u Austriji. Kontrolira poštivanje Opće uredbe o zaštiti podataka (GDPR) i austrijskog Zakona o zaštiti podataka (DSG), odlučuje o pritužbama, pokreće postupke ispitivanja, izriče sankcije i zastupa Austriju u Europskom odboru za zaštitu podataka. Njegova je zadaća osigurati temeljna prava, spriječiti zlouporabu i obvezati poduzeća i tijela na poštivanje obveza prema zakonu o zaštiti podataka.
Tijelo za zaštitu podataka je državno nadzorno tijelo za zaštitu osobnih podataka u Austriji.
Zadaci i nadležnosti
Tijelo za zaštitu podataka preuzima širok spektar aktivnosti, koje sve služe zaštiti osobnih podataka:
- Obrada pritužbi osoba na koje se podaci odnose
- Provođenje ispitnih postupaka po službenoj dužnosti
- Odluka u upravnim kaznenim postupcima i izricanje novčanih kazni
- Zaprimanje i kontrola prijava o povredama zaštite podataka (Data Breaches)
- Postupci odobravanja, primjerice za pravila ponašanja ili tijela za certificiranje
- Mišljenja o zakonodavnim projektima
Time je ono središnja kontaktna točka za pogođene osobe, poduzeća i službenike za zaštitu podataka.
Definicija zaštite podataka
Zaštita podataka je temeljno pravo da se samostalno odlučuje tko obrađuje koje informacije o nekoj osobi. Osobni podaci su svi podaci koji se odnose na određenu osobu ili osobu čine prepoznatljivom, kao što su ime, adresa, telefonski broj, adresa e-pošte, ali i fotografije, IP adrese ili zdravstveni podaci.
Zaštita podataka ne znači da se podaci ne smiju obrađivati. To znači da je obrada dopuštena samo pod jasnim zakonskim pretpostavkama i da osobe na koje se podaci odnose imaju opsežna prava. Ta prava štite od zlouporabe i daju mogućnost vršenja kontrole nad vlastitim podacima.
Prava osoba na koje se podaci odnose
Svaka osoba može od tijela za zaštitu podataka zahtijevati da se poštuju njezina temeljna prava. GDPR za to predviđa jasan paket prava:
- Pravo na informiranje: Prije svake obrade podataka, osobe na koje se podaci odnose moraju biti jasno i potpuno informirane.
- Pravo na pristup informacijama: Svaka osoba na koju se podaci odnose ima pravo saznati koji se podaci pohranjuju i u koju svrhu.
- Pravo na ispravak i brisanje: Netočni podaci moraju se ispraviti, nedopušteni podaci moraju se izbrisati.
- Pravo na ograničenje obrade: Pod određenim pretpostavkama, obrada se smije nastaviti samo u ograničenom opsegu.
- Pravo na prigovor: U svakom trenutku može se uložiti prigovor protiv određene obrade podataka.
- Pravo na prenosivost podataka: Osobe na koje se podaci odnose mogu zahtijevati da se njihovi podaci prenesu njima samima ili drugom poduzeću u uobičajenom formatu.
- Pravo na zaštitu od automatiziranih odluka: Nitko ne smije biti zakinut isključivo na temelju automatiziranih postupaka.
Ta prava nisu samo teoretske prirode, već se mogu provesti – po potrebi u postupku pritužbe pred tijelom za zaštitu podataka.
Obveze poduzeća
Poduzeća i tijela vlasti obvezni su zaštitu podataka ne samo provoditi na papiru, već i u praksi. Među bitnim obvezama su:
- Pravna osnova obrade: Svaka obrada podataka mora se temeljiti na zakonskoj osnovi, kao što je privola ili ugovor.
- Obveze transparentnosti: Osobe na koje se podaci odnose moraju biti jasno informirane o tome što se događa s njihovim podacima.
- Tehničke i organizacijske mjere (TOM): IT sigurnost i organizacijski procesi moraju biti dizajnirani na način da su podaci zaštićeni od gubitka, zlouporabe ili neovlaštenog pristupa.
- Evidencije aktivnosti obrade: Poduzeća moraju na razumljiv način dokumentirati koje podatke obrađuju.
- Prijava povreda zaštite podataka: Sigurnosni incidenti moraju se prijaviti tijelu za zaštitu podataka u roku od 72 sata.
- Provođenje procjena učinka na zaštitu podataka: Za obrade visokog rizika mora se provesti detaljna analiza.
Povreda zaštite osobnih podataka
Prema GDPR-u, povrede zaštite osobnih podataka postoje ako zbog nedostatne sigurnosti dođe do neovlaštene promjene, brisanja, otkrivanja ili gubitka podataka. To se može dogoditi zbog:
- Uništenja, gubitka ili promjene osobnih podataka
- Neovlaštenog pristupa ili otkrivanja – primjerice putem hakerskih napada, slanja nosača podataka pogrešnim primateljima ili nesigurnog pohranjivanja
- Slučajnog dijeljenja podataka – npr. putem nesigurnog pohranjivanja ili prijenosa
- To vrijedi bez obzira na to je li se incident dogodio namjerno ili nenamjerno
Primjeri koji mogu predstavljati takvu povredu:
- Gubitak podataka putem nešifriranih datoteka ili USB stickova
- Hakerski napad na baze podataka kupaca
- Pogrešno usmjereni e-mailovi s osobnim podacima
- Slučajno javno dostupni osobni dokumenti
Te činjenice mogu izravno dovesti do rizika, uključujući krađu identiteta, narušavanje ugleda ili financijsku štetu za pogođene
Postupak pred tijelom za zaštitu podataka
Postupak pred tijelom za zaštitu podataka je formaliziran i može imati različite oblike:
Postupak pritužbe
Osobe na koje se podaci odnose mogu podnijeti pritužbu tijelu za zaštitu podataka ako smatraju da netko nezakonito obrađuje njihove osobne podatke. Ovaj je postupak relativno jednostavan.
Tijek:
- Osoba na koju se podaci odnose podnosi pritužbu u pisanom obliku – bilo putem obrasca, e-pošte ili pošte.
- Tijelo za zaštitu podataka provjerava je li pritužba formalno dopuštena.
- Protivnik pritužbe – obično poduzeće ili tijelo vlasti – poziva se da se očituje.
- Slijedi utvrđivanje činjeničnog stanja, po potrebi s dodatnim pitanjima ili saslušanjima.
- Na kraju slijedi rješenje tijela za zaštitu podataka, kojim se pritužba ili odbija ili joj se udovoljava i nalažu mjere za otklanjanje nepravilnosti.
Za pogođene osobe ovaj je postupak najvažnija mogućnost za ostvarivanje svojih prava iz GDPR-a.
Ispitivanja po službenoj dužnosti
Tijelo za zaštitu podataka ne ovisi samo o pritužbama, već može djelovati i po službenoj dužnosti. To se posebno događa kada postoje naznake sustavnih kršenja ili sigurnosnih propusta.
Posebnosti:
- Postupak započinje bez zahtjeva osobe na koju se podaci odnose.
- Osobe koje prijavljuju nemaju status stranke i ne obavještavaju se o rezultatu.
- Tijelo za zaštitu podataka samostalno provjerava postoje li kršenja i po potrebi nalaže mjere.
Ispitivanja po službenoj dužnosti imaju snažan preventivni učinak, jer povećavaju pritisak na poduzeća i tijela vlasti da zaštitu podataka ne osiguravaju samo reaktivno, već kontinuirano.
Upravni kazneni postupak
Ako tijelo za zaštitu podataka utvrdi povredu, može pokrenuti upravni kazneni postupak. Cilj je obvezati poduzeća i javna tijela da otklone povrede i izreknu osjetne sankcije.
Moguće sankcije su:
- Novčane kazne do 20 milijuna eura ili 4 % svjetskog godišnjeg prometa,
- Nalozi za obustavu ili prilagodbu obrade podataka,
- Upozorenja i uvjeti.
Visina novčane kazne ovisi o težini, trajanju i namjeri povrede. Također, ulogu igraju i ranije povrede ili kooperativno ponašanje u postupku.
Peter HarlanderHarlander & Partner Rechtsanwälte „Wer Verfahren vor der Datenschutzbehörde auf die leichte Schulter nimmt, riskiert nicht nur hohe Geldbußen, sondern auch den Verlust von Vertrauen und Reputation.“
Pravni lijekovi
Odluke tijela za zaštitu podataka donose se rješenjem. Protiv tih rješenja pogođene osobe imaju pravo žalbe Saveznom upravnom sudu (BVwG).
- BVwG provjerava odluku u pravnom i činjeničnom smislu.
- Protiv njegove odluke, pod određenim okolnostima, moguća je revizija Upravnom sudu (VwGH) ili žalba Ustavnom sudu (VfGH).
Time se osigurava da su odluke tijela za zaštitu podataka podložne višestupanjskoj sudskoj kontroli.
Odaberite željeni termin:Besplatni prvi razgovorMeđunarodna dimenzija
Zaštita podataka više nije nacionalna tema. Tijelo za zaštitu podataka surađuje s drugim europskim nadzornim tijelima i dio je
Sloboda informiranja
Uz zaštitu podataka, sve više na važnosti dobiva i sloboda informiranja. S novim Zakonom o slobodi informiranja (IFG), tijelo za zaštitu podataka ubuduće preuzima ulogu kontaktne točke za pitanja transparentnosti i pristupa službenim informacijama.
Te obveze nisu opcionalne. Njihovo nepoštivanje redovito dovodi do istraga, a u ekstremnim slučajevima i do visokih novčanih kazni.
Vaše prednosti uz odvjetničku podršku
Postupak pred tijelom za zaštitu podataka povezan je sa značajnim izazovima kako za pogođene osobe, tako i za poduzeća. Pogođene osobe riskiraju da svoja prava neće moći u potpunosti ostvariti bez profesionalne pomoći. Poduzeća se, pak, suočavaju ne samo s visokim novčanim kaznama, već i s narušavanjem ugleda i skupim prilagodbama svojih procesa. Uz to, postupci su strogo formalizirani i sadrže složene pravne zahtjeve koje je teško svladati bez stručne pomoći.
Pravna pomoć specijaliziranog odvjetničkog ureda pruža sigurnost i osigurava da se vaši interesi od samog početka profesionalno zastupaju. Profitirate od temeljitog iskustva u pravu zaštite podataka i dosljednog zastupanja pred tijelom vlasti.
- provjerava je li određena pravna tema primjenjiva u vašem slučaju
- prati vas kroz cijeli postupak, odnosno provedbu
- osigurava pravno sigurno oblikovanje i provedbu svih potrebnih koraka
- pomaže u izračunu, provedbi ili obrani zahtjeva
- štiti vaša prava i interese u odnosu na sve sudionike
Sebastian RiedlmairHarlander & Partner Rechtsanwälte „Datenschutz wird oft unterschätzt, dabei entscheidet die richtige Strategie im Umgang mit der Datenschutzbehörde über Erfolg oder Misserfolg.“
