kantoorruimte met beveiligingscameras hangend aan

Autoriteti Holandez i Mbrojtjes së të Dhënave: Roli, të Drejtat dhe Raportimi

Blog /

Autoriteti Holandez i Mbrojtjes së të Dhënave — Autoriteit Persoonsgegevens (AP) — është rregullatori i pavarur i privatësisë për Holandën. Ai sigurohet që organizatat që operojnë në ose synojnë Holandën të jenë në përputhje me GDPR-në, heton shkeljet e dyshuara, lëshon gjoba dhe urdhra dhe shpjegon se si duhet të trajtohen të dhënat personale. Individët mund t'i drejtohen Autoritetit Holandez të Mbrojtjes së të Dhënave nëse të dhënat e tyre janë trajtuar gabimisht ose nëse një organizatë injoron të drejtat e tyre të privatësisë. Organizatat duhet të njoftojnë Autoritetin Holandez të Mbrojtjes së të Dhënave për shkeljet kualifikuese të të dhënave brenda 72 orëve dhe të demonstrojnë përgjegjësi për mënyrën se si i përpunojnë të dhënat personale, duke përfshirë kur mbështeten në kategori të veçanta ose transferojnë të dhëna jashtë vendit.

Ky udhëzues praktik shpjegon se çfarë bën AP-ja dhe kur ndërhyn, nëse GDPR zbatohet për ju, dhe kur dhe si të kontaktoni AP-në. Do të gjeni të drejtat që AP-ja ndihmon në mbrojtjen e saj, një proces ankimi hap pas hapi, raportimin e shkeljeve të të dhënave për organizatat, detyrimet kryesore të GDPR-së dhe atë që bëjnë në praktikë DPO-të dhe përfaqësuesit e BE-së. Ne gjithashtu do të mbulojmë rastet ndërkufitare dhe mekanizmin e one-stop shop, shembuj të fundit të zbatimit, burimet zyrtare dhe kanalet e kontaktit, dhe si të përgatiteni për një hetim të AP-së. Le t'ju orientojmë dhe t'ju bëjmë të sigurt për hapat e mëtejshëm.

Mandati dhe kompetencat e Autoriteit Persoonsgegevens (AP)

Autoriteti Holandez i Mbrojtjes së të Dhënave është autoriteti mbikëqyrës i pavarur që mbikëqyr pajtim me GDPR-në në Holandë. Mbikëqyr organizatat publike dhe private që përpunojnë të dhëna personale të njerëzve në Holandë, vepron mbi ankesat dhe sinjalet e mospërputhshmërisë dhe ndërmerr veprime korrigjuese kur është e nevojshme.

  • Kompetencat hetimore: kërkoni informacion, kryeni inspektime dhe hetoni shkeljet e dyshuara të GDPR-së.
  • Fuqitë korrigjuese: të lëshojë urdhra për pajtueshmëri (duke përfshirë urdhra që i nënshtrohen pagesave periodike të gjobave), të japë qortime dhe të vendosë gjoba administrative.
  • Mbikëqyrja e shkeljes: të marrë dhe vlerësojë njoftimet e detyrueshme për shkelje të të dhënave (brenda 72 orëve kur kërkohet) dhe të kontrollojë nëse individët e prekur janë të informuar.
  • Zbatimi i të drejtave: të sigurohen që organizatat lehtësojnë aksesin dhe të drejtat e tjera të subjekteve të të dhënave; të veprojnë kur kërkesat injorohen ose trajtohen gabimisht.
  • Fokusi në udhëzim dhe mbikëqyrje: publikojnë udhëzime dhe mbikëqyrin përpunimin me rrezik të lartë, duke përfshirë të dhënat e kategorive të veçanta dhe transfertat ndërkombëtare.
  • Zbatimi i përfaqësimit: u kërkojnë kontrolluesve jo-BE që synojnë njerëzit në Holandë të emërojnë një përfaqësues të BE-së, kur është e aplikueshme.

A zbatohet GDPR për ju në Holandë?

Nëse ju operojnë në Holandë ose për të synuar njerëz atje dhe për të përpunuar të dhëna personale, ka të ngjarë të zbatohet GDPR - pavarësisht se ku ndodhen serverat tuaj. Autoriteti Holandez i Mbrojtjes së të Dhënave (AP) mbikëqyr pajtueshmërinë për organizatat e të gjitha madhësive, nga punonjësit e pavarur deri te shumëkombëshet.

  • Me bazë në BE: Ju jeni të vendosur në BE dhe përpunoni të dhëna personale.
  • Jo-me bazë në BE: Ju ofroni mallra/shërbime për njerëzit në BE ose monitoroni sjelljen e tyre në BE.

Organizatat jo-BE në fushëveprim duhet të emërojnë një përfaqësues të BE-së.

Kur dhe pse të kontaktoni AP-në

Kontaktoni Autoritetin Holandez të Mbrojtjes së të Dhënave (AP) kur rreziqet e privatësisë janë të konsiderueshme ose përpjekjet tuaja për të zgjidhur një problem me një organizatë nuk çojnë askund. Individët mund të paraqesin ankesa për keqpërdorim të të dhënave personale. Organizatat duhet të raportojnë shkelje të të dhënave që kualifikohen brenda 72 orëve dhe mund të kenë nevojë për miratimin e AP për aktivitete të caktuara me rrezik të lartë.

  • Përpunim i paligjshëm ose keqpërdorim i kategorisë së veçantë: p.sh., të dhëna biometrike pa bazë ligjore.
  • Kërkesat për të drejta të injoruara: dështime në akses, fshirje, kundërshtim ose transparencë.
  • Shkelje të të dhënave (organizata): njoftim i detyrueshëm i AP-së brenda 72 orëve.
  • Asnjë njoftim për shkelje për individët: kur njerëzit duhej të ishin informuar.
  • Asnjë përfaqësues i BE-së (kontrollues jo të BE-së): ndërsa synonte njerëzit në Holandë.
  • Listat e zeza të përbashkëta: kur kërkohet një licencë nga AP-ja.

Të drejtat tuaja të GDPR që mbron AP

Autoriteti i Mbrojtjes së të Dhënave (AP) mbron të drejtat tuaja thelbësore të GDPR-së duke siguruar që organizatat t'ju informojnë qartë, të përgjigjen në kohë dhe të përpunojnë të dhënat në mënyrë të ligjshme. Nëse një kompani injoron ose keqtrajton një kërkesë, Autoriteti Holandez i Mbrojtjes së të Dhënave mund të hetojë dhe të urdhërojë pajtueshmërinë. Këto janë të drejtat kryesore që AP-ja zbaton në praktikë.

  • E drejta për t'u informuar: njoftime të qarta dhe transparente, duke përfshirë edhe rastet kur të dhënat merren nga të tjerët.
  • E drejta e aksesit: një kopje të të dhënave tuaja dhe detajeve të përpunimit; përgjigje pa vonesë të panevojshme (zakonisht brenda një muaji).
  • Lehtësimi i të drejtave: Organizatat duhet t’i bëjnë kërkesat të lehta dhe në kohë—pa refuzime ose vonesa të pajustifikuara.
  • Mbrojtja e të dhënave të kategorisë së veçantë: masa mbrojtëse shtesë për të dhënat biometrike ose shëndetësore; përdorimi i paligjshëm shkakton veprime nga AP-ja.
  • Informacion mbi shkeljen: Njerëzit duhet të njoftohen kur një rrjedhje paraqet rrezik të lartë; AP-ja kontrollon nëse kjo ndodh.

Si të paraqisni një ankesë për shkelje të privatësisë (hap pas hapi)

Nëse një organizatë keqtrajton të dhënat tuaja personale ose injoron kërkesën tuaj për të drejta, mund të ankoheni te Autoriteti Holandez i Mbrojtjes së të Dhënave (Autoriteit Persoonsgegevens, AP). Në shumicën e rasteve, përpiquni ta zgjidhni problemin së pari me organizatën dhe mbani një gjurmë të qartë dokumentesh. Një ankesë e fokusuar dhe e dokumentuar mirë e ndihmon AP-në të vlerësojë situatën më shpejt, veçanërisht kur bëhet fjalë për të dhëna të kategorive të veçanta ose përpunim ndërkufitar.

  1. Provoni zgjidhjen direkte: Shkruajini organizatës (ose DPO-së së saj) duke i shpjeguar çështjen dhe të drejtën që po kërkoni; jepini atyre deri në një muaj kohë për t'ju përgjigjur.
  2. Mblidhni dëshmi: Mbani kopje të kërkesës suaj, çdo përgjigjeje, date, pamjeje të ekranit, njoftimeve të privatësisë dhe çdo dëmi që keni përjetuar.
  3. Dorëzoni ankesën tuaj te AP: Përdorni kanalin e ankesave të AP-së dhe përshkruani kush, çfarë, kur, të drejtën e GDPR-së të përfshirë dhe ndikimin.
  4. Bashkëpunoni me ndjekjen: AP-ja mund të kërkojë më shumë informacion ose të koordinohet me një autoritet tjetër të BE-së për rastet ndërkufitare.
  5. Konsideroni mjete juridike paralele: AP-ja mund të urdhërojë organizatat e pajtueshmërisë dhe të sanksionojë; kompensimi kërkon veprim të veçantë civil.

Si të raportoni një shkelje të të dhënave te AP (për organizatat)

Kur ndodh një shkelje e të dhënave personale, organizatat që veprojnë në Holandë ose synojnë atë duhet të veprojë shpejt: të njoftojë Autoritetin Holandez të Mbrojtjes së të Dhënave (Autoriteit Persoonsgegevens, AP) brenda 72 orëve kur kërkohet, të informojë individët e prekur dhe të regjistrojë incidentin. Shkeljet ndërkufitare në përgjithësi raportohen në DPA në vendin e selisë suaj në BE. Njoftimi i vonuar mund të gjobitet.

  1. Vlerësoni dhe përmbani: Vendosni nëse incidenti është një shkelje e të dhënave personale e raportueshme.
  2. Njoftoni AP-në (72 orë): Përdorni kanalin e raportimit të shkeljes së të dhënave të AP-së për të paraqitur njoftimin tuaj.
  3. Njoftoni individët kur është e nevojshme: Informoni njerëzit e prekur dhe ofroni udhëzime praktike.
  4. Dokumenti i brendshëm: Regjistroni faktet, efektet dhe veprimet korrigjuese në regjistrin tuaj të shkeljeve.
  5. Koordinimi ndërkufitar: Njoftoni autoritetin kryesor (DPA-në e selisë suaj në BE) dhe koordinoni veprimet pasuese.

Mbani evidencë të vendimeve dhe afateve kohore; AP-ja mund të kërkojë informacione shtesë.

Çfarë pret AP nga organizatat: detyrimet kryesore të GDPR-së

Autoriteti i Përgjegjësisë Personale pret që organizatat të tregojnë llogaridhënie të vërtetë sipas GDPR-së: të zgjedhin një bazë ligjore të vlefshme, të shpjegojnë qartë përpunimin e të dhënave, t'i mbajnë të dhënat në minimum, t'i sigurojnë ato në mënyrë të përshtatshme, të respektojnë kërkesat për të drejta në kohë, të vlerësojnë aktivitetet me rrezik të lartë, të raportojnë shkeljet kur kërkohet dhe të transferojnë të dhëna jashtë vendit vetëm me masa mbrojtëse të duhura.

  • Baza ligjore dhe transparenca: Përcaktoni qëllime të qarta, baza ligjore dhe me kë i ndani të dhënat; jepni informacion të aksesueshëm për privatësinë.
  • Minimizimi dhe ruajtja e të dhënave: mblidhni vetëm atë që është e nevojshme dhe caktoni/respektoni periudhat e ruajtjes.
  • Masat e sigurisë: të zbatojnë kontrolle teknike dhe organizative proporcionale dhe të kufizojnë aksesin e brendshëm.
  • Përpunim me rrezik të lartë: kryeni një DPIA aty ku kërkohet; shtoni masa mbrojtëse për të dhënat e kategorive të veçanta.
  • Lehtësimi i të drejtave: ta bëjnë të lehtë ushtrimin e të drejtave; të përgjigjen pa vonesa të panevojshme (zakonisht brenda një muaji).
  • Menaxhimi i shkeljeve: njoftoni AP-në brenda 72 orëve kur është e nevojshme; informoni individët kur rreziqet janë të larta; mbani një regjistër shkeljesh.
  • Transfertat ndërkombëtare: përdorin vendime të mjaftueshmërisë ose masa mbrojtëse të përshtatshme (p.sh., klauzola model).
  • Kerkesat rregullatore: të marrin licenca AP për disa lista të zeza të përbashkëta; të emërojnë një DPO aty ku është e detyrueshme; kontrolluesit jo-BE duhet të kenë një përfaqësues të BE-së kur synojnë Holandën.

DPO-të, përfaqësuesit e BE-së dhe llogaridhënia në praktikë

Llogaridhënia sipas GDPR-së është një detyrim i përhershëm, jo ​​një kuti me shenjë. Kur është e nevojshme, emëroni një Zyrtar për Mbrojtjen e të Dhënave (DPO) për të monitoruar se si përpunohen të dhënat personale, për të këshilluar punonjësit dhe për të shërbyer si kontakt për Autoritetin Holandez të Mbrojtjes së të Dhënave (AP). Nëse jeni një kontrollues jashtë BE-së që ofron mallra/shërbime për, ose monitoron, njerëz në BE, duhet të emëroni një përfaqësues të BE-së. AP-ja pret prova që këto role funksionojnë në praktikë - moscaktimi i një përfaqësuesi ka çuar tashmë në zbatim, siç shihet në rastin Clearview.

  • DPO aty ku kërkohet: ZP-ja monitoron përpunimin, informon dhe këshillon stafin dhe është pika e kontaktit e AP-së.
  • Përfaqësuesi i BE-së (kontrolluesit jo të BE-së): caktoni një përfaqësues kur synoni njerëz në BE/Holandë.
  • Përpunim me rrezik të lartë: të kryejnë DPIA-të aty ku kërkohet dhe të shtojnë masa mbrojtëse për të dhënat e kategorive të veçanta.
  • Trajtimi i të drejtave: t’i bëjnë kërkesat të lehta për t’u ushtruar dhe t’u përgjigjen pa vonesa të panevojshme (zakonisht brenda një muaji).
  • Gatishmëria për shkelje: Mbani një regjistër shkeljesh dhe njoftoni AP-në brenda 72 orëve kur është e nevojshme.
  • Transfertat ndërkombëtare: mbështeten në vendimet e mjaftueshmërisë ose në mbrojtjet e duhura (p.sh., kontrata model).

Rastet ndërkufitare dhe mekanizmi i shërbimit me një ndalesë

Kur përpunimi ose shkeljet prekin njerëz në shumë vende të BE-së, zbatohet shërbimi i vetëm i GDPR-së. Autoriteti mbikëqyrës kryesor është DPA-ja e "vendbanimit tuaj kryesor" në BE (zakonisht selia qendrore). Nëse kjo është në Holandë, Autoriteti Holandez i Mbrojtjes së të Dhënave (AP) udhëheq; përndryshe, AP vepron si një autoritet i interesuar. Për shkeljet ndërkufitare, organizatat në përgjithësi njoftojnë DPA-në kryesore.

  • Identifikoni DPA-në tuaj kryesor: Përcaktoni institucionin kryesor dhe konfirmoni se kush e udhëheq.
  • Raporti nëpërmjet DPA-së kryesore: Përdorni kanalin e tij të shkeljeve/komunikimit dhe mbani të dhëna.
  • Koordinatë: Prisni kërkesa për informacion dhe trajtim të përbashkët me DPA-të e tjera të BE-së.

Zbatimi në praktikë: gjoba, urdhra dhe raste të rëndësishme

Autoriteti Holandez i Mbrojtjes së të Dhënave përdor një kombinim mjetesh hetimore dhe korrigjuese për të ndryshuar shpejt sjelljen. Prisni gjoba administrative, qortime dhe urdhra përputhshmërie - shpesh me pagesa periodike gjobash për t'i dhënë fund shkeljeve të vazhdueshme. Shkaktarët tipikë përfshijnë përpunimin e paligjshëm, keqpërdorimin e të dhënave të kategorisë së veçantë, injorimin e kërkesave për të drejta, mungesën e përfaqësimit në BE për kontrolluesit jo-BE dhe njoftime të vonuara ose të pamjaftueshme për shkelje (të cilat mund të gjobiten).

  • Gjoba dhe urdhëra administrative: AP-ja mund të urdhërojë masa ndreqëse dhe të bashkëngjitë pagesa periodike gjobash për të siguruar pajtueshmërinë.
  • Shkelje të zakonshme: Mungesa e bazës ligjore, përpunim biometrik i paligjshëm, transparencë e dobët, dështim për të lehtësuar aksesin dhe trajtim i dobët i shkeljeve.
  • Rast i rëndësishëm — Clearview AI (2024): Gjobë prej 30,500,000 eurosh për mbledhje të paligjshme të të dhënave dhe përpunim biometrik, dështime në transparencë dhe akses, dhe mungesë përfaqësuesi të BE-së; plus katër urdhra përputhshmërie për të ndaluar shkeljet e vazhdueshme.

Burimet zyrtare dhe kanalet e kontaktit

Për udhëzime dhe formularë autoritar, përdorni Autoritetin Holandez të Mbrojtjes së të Dhënave (Autoriteit Persoonsgegevens, AP). Këto janë kanalet zyrtare për informacion, ankesa dhe raportim shkeljesh.

  • Uebfaqja e AP-së (EN/NL): udhëzime, përditësime dhe lajme.
  • Formulari i ankesës (individë): paraqisni një ankesë për shkelje të privatësisë; shtoni prova.
  • Portali i shkeljes së të dhënave (organizata, Holanda): njoftoni brenda 72 orëve kur kërkohet; hyni brenda institucionit.
  • Faqja e kontaktit: pyetje të përgjithshme ose ndjekje të rastit.
  • udhëzime: masat e sigurisë, DPIA-të dhe transfertat ndërkombëtare.

Përgatitja për një hetim ose inspektim të AP-së

Një hetim nga Autoriteit Persoonsgegevens nuk duhet të shndërrohet në një stërvitje zjarri. Mënyra më efektive për të zvogëluar rrezikun është të tregoni detyrat e shtëpisë dhe të korrigjoni boshllëqet herët. Përdorni këtë përgatitje të fokusuar për të qenë gati për inspektim për kërkesat për informacion, kontrollet në distancë ose hetimet në vend.

  • Caktoni një udhëheqës përgjigjeje: Përfaqësuesi i DPO-së/BE-së si kontakt i vetëm; ndiqni të gjitha afatet.
  • Mblidhni dosjen tuaj të llogaridhënies: qëllime, baza ligjore, njoftime, ruajtje, kontrolle aksesi.
  • Trajtimi i të drejtave të provave: regjistri i kërkesave, shabllonet e përgjigjeve dhe të dhënat e kthimit të përpunimit brenda një muaji.
  • demonstroj siguria dhe DPIA-të: mbulojnë përpunimin me rrezik të lartë/kategori të veçantë dhe zbutjet e dokumentuara.
  • Paraqitni dokumentacionin e shkeljes: regjistri i incidenteve, njoftimet 72-orëshe dhe çdo komunikim i përdoruesit.
  • Verifikoni transfertat dhe përfaqësimin ndërkombëtar: klauzolat e mjaftueshmërisë ose modelit, plus prova e përfaqësuesit të BE-së (nëse kërkohet).

Pikat kryesore dhe hapat e mëtejshëm

Në fund të fundit: AP është mbikëqyrësi holandez i GDPR-së. Individët mund të përshkallëzojnë ankesat; organizatat duhet të dëshmojnë përpunimin e ligjshëm, të lehtësojnë të drejtat, të sigurojnë të dhënat dhe të raportojnë shkeljet brenda 72 orëve, me kujdes shtesë për të dhënat e kategorive të veçanta dhe konfigurimet ndërkufitare. Keni nevojë për ndihmë të përshtatur ose planifikim urgjent të reagimit? Flisni me ne. avokatë të privatësisë në Law & More.

Postimet e ngjashme

Law & More