Ko je tudi fizična oseba lahko kaznovana za kršitev GDPR
Večkrat sem bil vprašan, ali je res, da za fizično osebo ne velja Splošna uredba (EU) 2016/679 in posledično ta oseba tudi ne more biti kaznovana po GDPR. V smislu radija Erevan bi seveda lahko rekli, da to drži, vendar …
Začnimo od začetka. Kot v opredelitvi pojmov (natančneje v sedmem in osmem odstavku) določa četrti člen GDPR, je tudi fizična oseba – poleg pravnih oseb, javnih organov, agencij ali drugih teles – lahko upravljavec (7. odstavek) ali obdelovalec (8. odstavek). Že sama definicija nam da vedeti, da se v določenih pogojih tudi fizična oseba lahko znajde v vlogi obdelovalca ali upravljavca.
Tudi če v tem trenutku pokličemo na pomoč drugi odstavek drugega člena Splošne uredbe (EU), ki v alineji c sicer omenja, da se uredba ne uporablja »s strani fizične osebe«, a ob tem tudi dodaja: »med potekom popolnoma osebne ali domače dejavnosti;«. Pri tem je pomembno, da to res pomeni obdelavo v zaprtem krogu poznanih ljudi, brez uporabe v komercialne ali službene namene.
Skratka, spoštovanja GDPR smo kot fizična oseba »oproščeni« samo v primeru, če obdelujemo osebne podatke zgolj za domačo ali popolnoma osebno rabo. Za vse ostalo pa smo kot fizične osebe izenačeni z drugimi pravnimi subjekti.
Ob poznavanju gornjih pravil postane razumljiv tudi primer iz Avstrije, kjer je bila fizična oseba kaznovana s 600 EUR kazni zato, ker je posredovala osebne podatke (zdravstveno dokumentacijo) drugega posameznika tretji strani, pri čemer pa ni zagotovila ustreznega pravnega temelja.
Če na kratko povzamemo zgodbo:
Oseba A je bila pred nekaj leti na bolniški odsotnosti, za katero je bila po mnenju delodajalca kriva oseba B.
Oseba A je zato tožila osebo B za nadomestilo.
Oseba B je v sodnem postopku pridobila dokumentacijo, iz katere je zaključila, da ni kriva za bolečine in škodo, ki je nastala osebi A, kot meni delodajalec.
Zaradi tega je pridobljeno dokumentacijo osebe A poslala delodajalcu, kar je storila brez sodnega postopka ali vložene pritožbe.
S tem je po mnenju sodišča oseba B postala upravljavec osebnih podatkov osebe A.
V danem primeru (zdravstveni karton) gre za obdelavo posebnih vrst osebnih podatkov, za katere prvi odstavek 9. člena GDPR predvideva splošno prepoved obdelave, razen v primeru, ko je izpolnjena katera izmed izjem drugega odstavka istega člena. Glede na mogoče izjeme, bi bila edina možnost za osebo B, da od osebe A pridobi privolitev.
Ker je brez primerne pravne podlage (privolitve) kot upravljavec obdelovala posebne vrste osebnih podatkov, je bila oseba B tako kaznovana s 600 EUR kazni.
Avstrijski primer torej pokaže, da smo tudi kot fizična oseba lahko kaznovani za kršitve varstva osebnih podatkov, kadar osebnih podatkov ne obdelujemo zgolj za domačo ali popolnoma osebno rabo. Tudi ko smo v vlogi fizične osebe je torej prav, da smo seznanjeni vsaj z osnovami GDPR.
Vir: GDPR Hub
