kantoorruimte met beveiligingscameras hangend aan

Nizozemsko tijelo za zaštitu podataka: Uloga, prava i izvještavanje

Blog /

Nizozemsko tijelo za zaštitu podataka — Autoriteit Persoonsgegevens (AP) — neovisno je regulatorno tijelo za privatnost u Nizozemskoj. Ono osigurava da se organizacije koje posluju u Nizozemskoj ili su usmjerene na nju pridržavaju GDPR-a, istražuje sumnjive povrede, izdaje kazne i naloge te objašnjava kako se s osobnim podacima mora postupati. Pojedinci se mogu obratiti tijelu ako se s njihovim podacima nepravilno postupa ili ako organizacija ignorira njihova prava na privatnost. Organizacije moraju obavijestiti tijelo za zaštitu podataka u roku od 72 sata o kvalificiranim povredama podataka i pokazati odgovornost za način na koji obrađuju osobne podatke, uključujući i kada se oslanjaju na posebne kategorije ili prenose podatke u inozemstvo.

Ovaj praktični vodič objašnjava što AP radi i kada se uključuje, odnosi li se GDPR na vas te kada i kako kontaktirati AP. Pronaći ćete prava koja AP pomaže u zaštiti, detaljan postupak podnošenja pritužbi, prijavljivanje kršenja podataka za organizacije, temeljne obveze GDPR-a i što DPO-i i predstavnici EU-a rade u praksi. Također ćemo obraditi prekogranične slučajeve i mehanizam jedinstvenog kontakta, nedavne primjere provedbe, službene resurse i kontaktne kanale te kako se pripremiti za upit AP-a. Orijentirat ćemo vas i učiniti sigurnijima u sljedeće korake.

Mandat i ovlasti Autoriteit Persoonsgegevens (AP)

Nizozemska agencija za zaštitu podataka neovisno je nadzorno tijelo koje nadgleda popustljivost s GDPR-om u Nizozemskoj. Nadzire javne i privatne organizacije koje obrađuju osobne podatke ljudi u Nizozemskoj, djeluje na temelju pritužbi i signala neusklađenosti te poduzima korektivne mjere gdje je to potrebno.

  • Istražne ovlasti: zatražiti informacije, provoditi inspekcije i istraživati ​​​​sumnjene povrede GDPR-a.
  • Korektivne ovlasti: izdavati naloge za usklađenost (uključujući naloge koji podliježu periodičnim plaćanjima kazni), davati opomene i izricati upravne novčane kazne.
  • Kršenje nadzora: primati i procjenjivati ​​obvezne obavijesti o povredi podataka (u roku od 72 sata gdje je to potrebno) i provjeravati jesu li pogođene osobe obaviještene.
  • Provedba prava: osigurati da organizacije olakšavaju pristup i druga prava ispitanika; djelovati kada se zahtjevi ignoriraju ili nepravilno obrađuju.
  • Fokus smjernica i nadzora: objaviti smjernice i nadzirati obradu visokog rizika, uključujući podatke posebne kategorije i međunarodne prijenose.
  • Provedba zastupanja: zahtijevati od kontrolora izvan EU-a usmjerenih na osobe u Nizozemskoj da imenuju predstavnika EU-a gdje je to primjenjivo.

Primjenjuje li se GDPR na vas u Nizozemskoj?

Ako ti djeluju u Nizozemskoj ili ciljati ljude tamo i obrađivati ​​osobne podatke, vjerojatno se primjenjuje GDPR - bez obzira na to gdje se nalaze vaši poslužitelji. Nizozemska agencija za zaštitu podataka (AP) nadzire usklađenost za organizacije svih veličina, od freelancera do multinacionalnih kompanija.

  • Sa sjedištem u EU: Imate sjedište u EU i obrađujete osobne podatke.
  • Sa sjedištem izvan EU: Nudite robu/usluge ljudima u EU ili pratite njihovo ponašanje u EU.

Organizacije izvan EU-a koje su uključene u opseg moraju imenovati predstavnika EU-a.

Kada i zašto kontaktirati AP

Obratite se nizozemskom Agenciji za zaštitu podataka (AP) kada su rizici za privatnost značajni ili vaši pokušaji rješavanja problema s organizacijom ne uspiju. Pojedinci mogu podnijeti pritužbe zbog nepravilnog rukovanja osobnim podacima. Organizacije moraju prijaviti kvalificirane povrede podataka u roku od 72 sata i možda će im trebati odobrenje AP-a za određene visokorizične aktivnosti.

  • Nezakonita obrada ili zlouporaba posebne kategorije: npr. biometrijski podaci bez pravne osnove.
  • Zanemareni zahtjevi za prava: propusti u pristupu, brisanju, prigovoru ili transparentnosti.
  • Kršenja podataka (organizacije): obavezna obavijest AP-a u roku od 72 sata.
  • Nema obavijesti o kršenju podataka pojedincima: kada su ljudi trebali biti obaviješteni.
  • Bez EU predstavnika (kontrolori izvan EU): dok su ciljali ljude u Nizozemskoj.
  • Dijeljene crne liste: kada je potrebna licenca od AP-a.

Vaša GDPR prava koja AP štiti

Agencija za zaštitu podataka (AP) štiti vaša osnovna prava iz GDPR-a osiguravajući da vas organizacije jasno informiraju, odgovore na vrijeme i zakonito obrađuju podatke. Ako tvrtka ignorira ili nepravilno postupi sa zahtjevom, nizozemsko tijelo za zaštitu podataka može istražiti i naložiti usklađenost. To su ključna prava koja AP provodi u praksi.

  • Pravo na informiranost: jasne, transparentne obavijesti, uključujući i kada se podaci dobivaju od drugih.
  • Pravo pristupa: kopiju vaših podataka i detalja obrade; odgovor bez nepotrebnog odgađanja (obično u roku od mjesec dana).
  • Olakšavanje prava: Organizacije moraju zahtjeve podnijeti jednostavno i pravovremeno - bez neopravdanih odbijanja ili kašnjenja.
  • Zaštita podataka posebne kategorije: dodatne zaštitne mjere za biometrijske ili zdravstvene podatke; nezakonita upotreba pokreće postupak AP-a.
  • Informacije o kršenju: Ljudi moraju biti obaviješteni kada curenje predstavlja visok rizik; AP provjerava događa li se to.

Kako podnijeti pritužbu zbog povrede privatnosti (korak po korak)

Ako organizacija nepravilno postupa s vašim osobnim podacima ili ignorira vaš zahtjev za pravima, možete se žaliti nizozemskom Agenciji za zaštitu podataka (Autoriteit Persoonsgegevens, AP). U većini slučajeva, pokušajte prvo riješiti problem s organizacijom i vodite jasan papirnati trag. Usredotočena, dobro dokumentirana pritužba pomaže Agenciji da brže procijeni situaciju, posebno kada su u pitanju podaci posebne kategorije ili prekogranična obrada.

  1. Pokušajte s izravnim rješavanjem: Pišite organizaciji (ili njezinoj službenici za zaštitu podataka) objašnjavajući problem i pravo na koje se pozivate; dajte im do mjesec dana za odgovor.
  2. Prikupite dokaze: Sačuvajte kopije svog zahtjeva, svih odgovora, datuma, snimaka zaslona, ​​obavijesti o privatnosti i bilo kakve štete koju ste pretrpjeli.
  3. Podnesite svoju pritužbu AP-u: Koristite AP-ov kanal za pritužbe i opišite tko, što, kada, koje je pravo GDPR-a uključeno i utjecaj.
  4. Surađujte s praćenjem: AP može zatražiti dodatne informacije ili se koordinirati s drugim tijelom EU-a za prekogranične slučajeve.
  5. Razmotrite paralelne lijekove: AP može naložiti usklađenost i sankcionirati organizacije; odšteta zahtijeva zasebnu građansku parnicu.

Kako prijaviti povredu podataka AP-u (za organizacije)

Kada dođe do povrede osobnih podataka, organizacije koji djeluju u Nizozemskoj ili ciljaju na nju Morate djelovati brzo: obavijestiti nizozemsko tijelo za zaštitu podataka (Autoriteit Persoonsgegevens, AP) u roku od 72 sata gdje je to potrebno, obavijestiti pogođene pojedince i evidentirati incident. Prekogranične povrede općenito se prijavljuju tijelu za zaštitu podataka u vašoj zemlji sjedišta u EU. Zakašnjela obavijest može biti kažnjena novčanom kaznom.

  1. Procijenite i obuhvatite: Odlučite je li incident povreda osobnih podataka o kojoj se mora izvijestiti.
  2. Obavijestite AP (72 sata): Za podnošenje obavijesti koristite AP-ov kanal za prijavu kršenja podataka.
  3. Obavijestite pojedince kada je to potrebno: Informirajte pogođene ljude i pružite im praktične smjernice.
  4. Interni dokument: Zabilježite činjenice, učinke i korektivne mjere u svoj registar kršenja.
  5. Prekogranična koordinacija: Obavijestite vodeće tijelo (DPA vašeg sjedišta EU-a) i koordinirajte daljnje postupanje.

Čuvajte dokaze o odlukama i vremenskim rokovima; AP može zatražiti dodatne informacije.

Što AP očekuje od organizacija: temeljne obveze GDPR-a

Agencija za zaštitu podataka (Autoriteit Persoonsgegevens) očekuje od organizacija da pokažu stvarnu odgovornost prema GDPR-u: odaberu valjanu pravnu osnovu, jasno objasne svoju obradu, svedu podatke na minimum, osiguraju ih na odgovarajući način, pravovremeno poštuju zahtjeve za pravima, procjenjuju aktivnosti visokog rizika, prijavljuju kršenja kada je to potrebno i prenose podatke u inozemstvo samo uz odgovarajuće zaštitne mjere.

  • Pravna osnova i transparentnost: navedite jasne svrhe, pravne osnove i s kim dijelite podatke; pružite pristupačne informacije o privatnosti.
  • Minimizacija i zadržavanje podataka: prikupljati samo ono što je potrebno i postaviti/poštivati ​​razdoblja čuvanja.
  • Sigurnosne mjere: provesti proporcionalne tehničke i organizacijske kontrole te ograničiti interni pristup.
  • Obrada visokog rizika: provesti DPIA gdje je potrebno; dodati zaštitne mjere za podatke posebne kategorije.
  • Olakšavanje prava: olakšati ostvarivanje prava; odgovoriti bez nepotrebnog odgađanja (obično u roku od mjesec dana).
  • Upravljanje kršenjem: obavijestiti AP u roku od 72 sata gdje je to potrebno; obavijestiti pojedince kada su rizici visoki; voditi registar kršenja.
  • Međunarodni transferi: koristiti odluke o adekvatnosti ili odgovarajuće zaštitne mjere (npr. modelne klauzule).
  • Regulatorni zahtjevi: dobiti AP licence za određene zajedničke crne liste; imenovati DPO-a gdje je to obvezno; kontrolori izvan EU-a moraju imati predstavnika EU-a kada ciljaju Nizozemsku.

DPO-i, predstavnici EU-a i odgovornost u praksi

Odgovornost prema GDPR-u je trajna obveza, a ne kvačica u kućici. Po potrebi imenujte službenika za zaštitu podataka (DPO) koji će pratiti kako se osobni podaci obrađuju, savjetovati zaposlenike i služiti kao kontakt osoba za nizozemsko tijelo za zaštitu podataka (AP). Ako ste kontrolor izvan EU koji nudi robu/usluge ljudima u EU ili ih prati, morate imenovati predstavnika EU. AP očekuje dokaze da te uloge funkcioniraju u praksi - neimenovanje predstavnika već je dovelo do provedbe, kao što se vidi u slučaju Clearview.

  • DPO gdje je potrebno: DPO prati obradu, obavještava i savjetuje osoblje te je kontakt osoba AP-a.
  • Predstavnik EU (kontrolori izvan EU): odrediti predstavnika prilikom ciljanja ljudi u EU/Nizozemskoj.
  • Obrada visokog rizika: provesti DPIA gdje je to potrebno i dodati zaštitne mjere za podatke posebne kategorije.
  • Rješavanje prava: olakšati izvršavanje zahtjeva i odgovoriti bez nepotrebnog odgađanja (obično u roku od mjesec dana).
  • Spremnost za probijanje: voditi registar kršenja i po potrebi obavijestiti AP u roku od 72 sata.
  • Međunarodni transferi: oslanjaju se na odluke o adekvatnosti ili odgovarajuće zaštitne mjere (npr. model ugovora).

Prekogranični slučajevi i mehanizam jedinstvenog kontaktnog mjesta

Kada obrada ili povrede utječu na ljude u više zemalja EU-a, primjenjuje se GDPR-ov sustav jedinstvenog kontakta. Vodeće nadzorno tijelo je DPA vašeg „glavnog poslovnog nastana“ u EU-u (obično sjedište). Ako se to nalazi u Nizozemskoj, vodi nizozemsko tijelo za zaštitu podataka (AP); u suprotnom, AP djeluje kao nadležno tijelo. Za prekogranične povrede, organizacije općenito obavještavaju vodeće DPA.

  • Identificirajte svog glavnog DPA-a: Odredite glavnu ustanovu i potvrdite tko vodi.
  • Izvješće putem glavnog DPA-a: Koristite njegov kanal za probijanje/komunikaciju i vodite evidenciju.
  • Koordinata: Očekujte zahtjeve za informacijama i zajedničku obradu s drugim tijelima za zaštitu podataka EU-a.

Provedba u praksi: novčane kazne, nalozi i značajni slučajevi

Nizozemska agencija za zaštitu podataka koristi kombinaciju istražnih i korektivnih alata kako bi brzo promijenila ponašanje. Očekujte administrativne kazne, opomene i naloge za usklađenost - često s periodičnim plaćanjima kazni za prekid tekućih kršenja. Tipični okidači uključuju nezakonitu obradu, zlouporabu podataka posebne kategorije, ignoriranje zahtjeva za prava, nedostatno zastupanje u EU za kontrolore izvan EU i kasne ili neadekvatne obavijesti o kršenju (koje mogu biti kažnjene novčanom kaznom).

  • Administrativne kazne i naloge: AP može naložiti sanaciju i priložiti periodične kazne kako bi se osigurala usklađenost.
  • Uobičajena kršenja: Nema pravne osnove, nezakonita biometrijska obrada, slaba transparentnost, neomogućavanje pristupa i slabo postupanje u slučaju kršenja sigurnosti.
  • Značajan slučaj — Clearview AI (2024.): Kazna od 30,500,000 eura za nezakonito prikupljanje podataka i biometrijsku obradu, propuste u transparentnosti i pristupu te nedostatak predstavnika EU; plus četiri naloga za usklađenost s propisima kako bi se zaustavili tekući prekršaji.

Službeni resursi i kontaktni kanali

Za mjerodavne smjernice i obrasce koristite nizozemsko tijelo za zaštitu podataka (Autoriteit Persoonsgegevens, AP). To su službeni kanali za informacije, pritužbe i prijavljivanje povreda.

  • AP web stranica (EN/NL): smjernice, ažuriranja i novosti.
  • Obrazac za pritužbu (pojedinci): podnijeti pritužbu zbog povrede privatnosti; dodati dokaze.
  • Portal za slučaj povrede podataka (organizacije, Nizozemska): obavijestiti unutar 72 sata gdje je potrebno; interno se prijaviti.
  • Kontakt stranica: opća pitanja ili praćenje slučaja.
  • Smjernice: sigurnosne mjere, procjene utjecaja na zaštitu podataka i međunarodni prijenosi.

Priprema za AP upit ili inspekciju

Upit od strane Autoriteit Persoonsgegevens ne mora se pretvoriti u protupožarnu vježbu. Najučinkovitiji način za smanjenje rizika je pokazati svoju domaću zadaću i rano ispraviti nedostatke. Iskoristite ovu usmjerenu pripremu kako biste bili spremni za inspekciju zahtjeva za informacijama, daljinske provjere ili istragu na licu mjesta.

  • Imenujte voditelja odgovora: DPO/predstavnik EU-a kao jedinstveni kontakt; pratiti sve rokove.
  • Sastavite svoju datoteku odgovornosti: svrhe, pravne osnove, obavijesti, zadržavanje, kontrole pristupa.
  • Postupanje s pravima dokaza: zapisnik zahtjeva, predlošci odgovora i zapisi o obradi u roku od mjesec dana.
  • pokazati sigurnost i DPIA: obuhvatiti obradu visokog rizika/posebnih kategorija i dokumentirana ublažavanja.
  • Izradite dokumentaciju o kršenju: registar incidenata, 72-satne obavijesti i sve komunikacije s korisnicima.
  • Provjerite međunarodne transfere i zastupanje: klauzule o adekvatnosti ili modelne klauzule, plus dokaz o predstavniku EU (ako je potrebno).

Ključne zaključke i sljedeći koraci

Zaključak: AP je nizozemski nadzornik GDPR-a. Pojedinci mogu podnijeti pritužbe; organizacije moraju dokazati zakonitu obradu, olakšati prava, osigurati podatke i prijaviti kršenja u roku od 72 sata, s posebnom pažnjom za podatke posebne kategorije i prekogranične postavke. Trebate prilagođenu pomoć ili hitno planiranje odgovora? Razgovarajte s našim odvjetnici za zaštitu privatnosti u Law & More.

Povezivati ​​se Pošta

Law & More