Svježa vijest dolazi nam iz Mađarske o kazni koja je rezultirala situacijom inicijalno nevezanom za GDPR.
 
Kupac u trgovini Deichmanna je nakon kupnje naknadno shvatio da mu nije vraćen sav novac prilikom plaćanja s obzirom da je platio velikom novčanicom. Na blagajni su njegov naknadni prigovor odbili.
 
Tada je kupac zatražio uvid u snimke video nadzora, kakvo pravo postoji prema članku 15. GDPR-a, ali mu je osoblje Deichmanna odgovorilo da snimke mogu dati isključivo policiji. Nažalost, krivo.
 
Deichmann je morao pregledati snimku temeljem informacije o datumu i vremenu plaćanja na blagajni i provjeriti činjenice i nalaze li se na snimci i druge osobe. Ako se na snimci ne bi nalazile druge osobe, snimka je trebala biti pokazana kupcu.
 
Pisali smo o toj temi na:
 
https://www.biconsult.hr/gdprcroatia/824-koje-obveze-ima-organizacija-zatrazi-li-netko-uvid-u-snimke-video-nadzora
 
 
No, temeljem odgovora osoblja Deichmanna da se snimke mogu dati na uvid samo policiji temeljem njihovog zahtjeva, kupac se obratio policiji sa zahtjevom. U međuvremenu su snimke izbrisane u sustavu Deichmanna, vjerojatno zbog ograničenja rokova zadržavanja snimki.
 
Tu se Deichmann ogrješio o članak 15. GDPR-a u osiguranju kopije osobnih podataka kupcu, ali i o članak 12. stavak 4. GDPR-a zbog izostanka informacije o razlozima nemogućnosti ispunjenja zahtjeva u skladu s GDPR-om i pravima kupca u tom trenutku.
 
Dodatno je Deichmannu "natovarena" i krivnja zbog kršenja članka 18. stavak 1. točka c) GDPR-a, kojim se regulira obveza Deichmanna za slučajeve kada više ne treba snimke video nadzora za svoje potrebe, da ih prema zahtjevu kupca mora zadržati (tzv. ograničenje obrade) radi postavljanja, ostvarivanja ili obrane pravnih zahtjeva.
 
Daljnom istragom utvrdilo se da Deichmann nije implementirao jedinstvene mjere unutar cijele organizacije kako bi osigurao zaprimanje i ostvarivanje zahtjeva kupaca za njihovim pravima iz GDPR-a, niti je vodio evidencije o istima.
 
Stoga ih je sustigla ozbiljna kazna iz naslova.
 
 
Poruka dana za sve organizacije, tvrtke, ustanove:
 
Dokumentirajte i uvedite jasna pravila i procedure zaprimanja, provjere, analize i realizacije zahtjeva ispitanika prema člancima 12 - 22. GDPR-a.
 
Nemojte ih ignorirati ili davati pogrešne odgovore, uzmite svaki zahtjev s najvišom pozornošću, jer u suprotnom isti može završiti pri nadzornom tijelu. Posebice jer GDPR člankom 83. stavak 5. definira ovakva postupanja kao najteža kršenja GDPR-a.
 
Cijeli slučaj dostupan je ovdje:
 
https://gdprhub.eu/index.php?title=NAIH_-_2020/2204/8&mtc=today