menu
Blog

Kazna dostavnoj službi zbog ostavljanja paketa kod susjeda

Kazna dostavnoj službi zbog ostavljanja paketa kod susjeda

Ispitanik je podnio žalbu španjolskom nadzornom tijelu jer je dostavljač voditelja obrade – United Parcel Service (dalje u tekstu: UPS) isporučio njegov paket susjedu, bez prethodno zatraženog pristanka.

UPS je prvo pokušao isključiti svoju odgovornost. Voditelj obrade naveo je da postoji ugovor s Media Marktom te da oni djeluju kao pružatelji usluga, slijedeći njihove upute i postupajući u skladu s postojećim ugovorom. Također su tvrdili da je klauzula 10. ugovora precizirala da se paketi mogu ostaviti kod susjeda kada se primatelj ne može pronaći; a klauzula 11 navela je da Media Markt treba obavijestiti svoje kupce o obradi njihovih podataka.

U svojoj odluci nadzorno tijelo je moralo utvrditi tko je bio voditelj obrade i koje su odredbe GDPR-a mogle biti prekršene ovim incidentom.

Nadzorno tijelo pozvalo se na Smjernice EDPB-a 07/2020, kako bi se odredile uloge voditelja obrade i izvršitelja obrade i navelo sljedeće: ono što se mora uzeti u obzir je stvarna aktivnost oba društva (tj. činjenični elementi ili okolnosti slučaja).

U ovom slučaju postojao je samo ugovor o uslugama između trgovca i voditelja obrade. Nedostajao je ugovor koji utvrđuje precizne upute za obradu podataka, tj. predmet i trajanje obrade, prirodu i svrhu obrade, vrstu osobnih podataka i kategorije ispitanika te obveze i prava voditelja obrade, sukladno članku 28. stavku 3. GDPR-a.

Osim toga, nadzorno tijelo je istaknulo da bi takav ugovor također trebao definirati obvezu poštivanja povjerljivosti podataka i mjera navedenih u članku 32. GDPR-a. Stoga, kako obveze nisu bile jasno definirane, voditelj obrade nije se mogao kvalificirati kao izvršitelj obrade te je odgovoran za incident zbog stvarne kontrole nad sredstvima obrade osobnih podataka.

Nadalje, nadzorno tijelo je utvrdilo kršenje članka 5. stavka 1. točke (f) GDPR-a jer su osobni podaci ispitanika otkriveni trećoj osobi bez njezina pristanka. Zbog ovog prekršaja nadzorno tijelo je kaznilo voditelj obrade s 50.000 eura. Također je utvrđeno kršenje članka 32. GDPR-a budući da voditelj obrade nije proveo mjere potrebne za sprječavanje otkrivanja podataka ispitanika. Zbog ovog prekršaja izrečena je kazna u iznosu od 20.000 eura.

Ostale

Novosti

Pridružite se našoj email listi

Prvi saznajte za promjene i nova mišljenja nadzornih tijela i inspekcije, čitajte o presudama Suda EU i nacionalnih sudova, drugim novostima i primjerima iz prakse te uživajte u specijalnim ponudama namijenjenim samo našim pretplatnicima.