Nemčija: Nadzor obdelovalcev
Višje deželno sodišče v Dresdnu je odločilo, da mora upravljavec dejansko nadzorovati izvajanje pogodbenih določil pri obdelovalcu in se ne more zanašati zgolj na pisna zagotovila.
Odločitev je bila objavljena 15.10.2024
Primer je vključeval ponudnika storitve pretakanja glasbe (upravljavec), ki je do 1. decembra 2019 uporabljal obdelovalca s sedežem v Izraelu. Po prekinitvi pogodbe o sodelovanju novembra 2019 je obdelovalec upravljavca obvestil, da bo obdelovane podatke izbrisal naslednji dan po prekinitvi pogodbe. Obdelovalec bi moral potrditi izbris podatkov v 21 dneh po prekinitvi pogodbe, vendar so to storili šele leta 2023 in še to zgolj zato, ker jih je upravljavec k temu izrecno pozval.
Zaradi hekerskega napada na sisteme obdelovalca v vmesnem obdobju je prišlo tudi do nezakonitega razkritja podatkov. Uporabnik, ki je bil pri storitvi pretakanja registriran od leta 2016, je trdil, da so bili ogroženi tudi njegovi podatki in zahteval odškodnino v višini najmanj 1.000 evrov v skladu z 82. členom GDPR. Upravljavec je trdil, da ni odgovoren za hrambo podatkov pri izraelskem obdelovalcu po prenehanju trajanja pogodbe o sodelovanju.
Odločitev sodišča
Sodišče je pojasnilo, da so upravljavci vedno odgovorni ne le za svoja dejanja, ampak tudi za dejanja svojih obdelovalcev. Poudarili so, da preprosto zaupanje obdelovalcem ni dovolj ampak mora upravljavec aktivno spremljati skladnost obdelave podatkov obdelovalcev. V skladu s členom 28 (3) (h) GDPR mora biti takšna pravica do nadzora obdelovalca podatkov vedno del pogodbenih določil, ni pa nujno, da se tovrsten nadzor dejansko izvaja. Če bi upravljavec uporabljal obdelovalca, ki je vodilni na trgu in je znan kot zanesljiv, mu ne bi bilo treba izvajati kontrole v prostorih obdelovalca, ki je v določenih primerih neizvedljiva. Vendar pa je morda potreben nadzor na kraju samem, ko gre za izbris osebnih podatkov ob koncu pogodbene obdelave. Sodišče je opozorilo, da se odgovorna oseba ne more zanašati zgolj na odreditev izbrisa, ampak bi obdelovalec moral vsaj pravočasno potrditi ta izbris. Če se to ne zgodi, je treba nemudoma izdati opozorilo in vsaj zagroziti z ogledom. Upravljavci bi morali zagotoviti, da pridobijo konkretne dokaze o skladnosti, kot so podrobna pisna potrdila, ki navajajo izbrisane podatke.
Člen 82 (3) GDPR dovoljuje upravljavcem, da se pod strogo določenimi pogoji razbremenijo odgovornosti, če »na noben način« niso odgovorni za kakršno koli škodo, povzročeno pri obdelovalcu. Višje deželno sodišče je izpostavilo, da je tukaj izraz "na noben način" dejansko treba razumeti ozko. Že najmanjša, najbolj obrobna malomarnost upravljavca pri nadzoru obdelovalca vodi v popolno solidarno odgovornost. Hkrati je sodišče opozorilo, da ta solidarna odgovornost ne velja, če obdelovalec začne obdelovati podatke za lastne namene in je potem za to obdelavo odgovoren sam.
Glede odškodninskega zahtevka je sodišče upoštevalo sodno prakso Sodišča EU, ki je večkrat odločilo, da grožnja prejema neželene e-pošte sama po sebi ne predstavlja škode, ki bi upravičila prejem odškodnine. Dejstvo, da lahko hekerji ugotovijo, da lastnik e-poštnega naslova uporablja storitev pretakanja, ne predstavlja bistvene okoliščine, ki bi odločitev spremenila.
Odločitev sodišča ponazarja, da lahko posledice neustreznega nadzora ostanejo še dolgo po prvotnem incidentu. Organizacije se morajo zavedati, da lahko nezadosten nadzor nad obdelovalci povzroči dolgotrajne pravne postopke in škodo ugledu.
Celotna odločitev je dostopna tukaj
Vir: RMPrivacy.com
Naslovna slika: Rawpixel
