AZOP je donio Rješenje u slučaju kršenja GDPR-a od strane jedne poliklinike i opomenu:
https://azop.hr/wp-content/uploads/2021/02/rjes%CC%8Cenje-Poliklinika.pdf
Da, opomena zbog kršenja GDPR-a je jedna od mogućih "kazni" koje AZOP može donijeti protiv voditelja ili izvršitelja obrade prema članku 58. GDPR-a.
Zašto je opomena izdana?
Poliklinika je na svojim web stranicama u dokumentu "Bilješke o poslovanju" u poglavlju "Popis sudskih sporova u tijeku" objavila osobne podatke određene osobe, na što je ta osoba reagirala i tražila zaštitu AZOP-a.
Poliklinika se ogriješila o GDPR.
Naime, Poliklinika je kao proračunski (kao i izvanproračunski) korisnik proračuna jedinice lokalne ili regionalne uprave sukladno Zakonu o proračunu obvezna objaviti godišnje financijsko izvješće o svom poslovanju na svojim web stranicama.
Pravilnikom o financijskom izvještavanju u proračunskom računovodstvu definirano je da se mora objaviti i POPIS SUDSKIH SPOROVA U TIJEKU, koji sadrži opis prirode sporova, procjenu financijskog učinka.
To znači da spomenutim posebnim Zakonom i na temelju njega donesenom Pravilniku nije navedeno da popis sporova mora sadržavati ime i prezime osobe/osoba protiv kojih proračunski korisnik vodi spor, već je propisano da popis treba sadržavati sažeti opis prirode spora, procjenu financijskog učinka koji može proisteći iz sudskog spora kao obveza ili imovina te procijenjeno vrijeme odljeva ili priljeva sredstava.
Dakle, Poliklinika je imala pravnu osnovu za objavu navedenog dokumenta na svojoj web stranici, međutim, nije imala pravnu osnovu i zakonitu svrhu za objavu osobnih podataka podnositelja zahtjeva kao i svih drugih fizičkih osoba s kojima Poliklinika vodi sudske sporove. Slijedom navedenog u konkretnom slučaju došlo je do objave osobnih podataka podnositelja zahtjeva i drugih fizičkih osoba bez zakonite osnove protivno članku 5., 6. i 25. Opće uredbe o zaštiti podataka.
Nadamo se da će jedinice lokalne i regionalne uprave i pravne osobe u njihovom vlasništvu pročitati ovaj post.
