Холандскиот орган за заштита на податоци — Autoriteit Persoonsgegevens (AP) — е независен регулатор за приватност во Холандија. Тој се грижи организациите што работат во или се насочени кон Холандија да се придржуваат кон GDPR, истражува сомнителни прекршувања, издава казни и наредби и објаснува како мора да се ракува со личните податоци. Поединците можат да се обратат до AP доколку нивните податоци се злоупотребени или доколку организацијата ги игнорира нивните права за приватност. Организациите мора да го известат AP за квалификувани прекршувања на податоците во рок од 72 часа и да покажат одговорност за начинот на кој ги обработуваат личните податоци, вклучително и кога се потпираат на посебни категории или пренесуваат податоци во странство.

Овој практичен водич објаснува што прави АП и кога се вклучува, дали GDPR се однесува на вас и кога и како да контактирате со АП. Ќе ги најдете правата што АП помага да се заштитат, чекор-по-чекор процес на жалби, пријавување на повреда на податоци за организациите, основни обврски според GDPR и што прават ДПО и претставниците на ЕУ во пракса. Исто така, ќе опфатиме прекугранични случаи и механизмот на едношалтерско работење, неодамнешни примери за спроведување, официјални ресурси и канали за контакт и како да се подготвите за истрага на АП. Ајде да ве ориентираме и да ве увериме во следните чекори.

Мандатот и овластувањата на Autoriteit Persoonsgegevens (AP)

Холандскиот орган за заштита на податоци е независен надзорен орган кој врши надзор Усогласеност со GDPR во Холандија. Ги надгледува и јавните и приватните организации кои обработуваат лични податоци на луѓе во Холандија, постапува по жалби и сигнали за неусогласеност и презема корективни мерки каде што е потребно.

• Истражни овластувања: барајте информации, спроведувајте инспекции и истражувајте сомнителни прекршувања на GDPR.
• Корективни овластувања: издава наредби за усогласеност (вклучувајќи наредби кои подлежат на периодични казнени плаќања), дава опомени и изрекува административни казни.
• Надзор за прекршување: прима и проценува задолжителни известувања за повреда на податоци (во рок од 72 часа доколку е потребно) и проверува дали засегнатите лица се информирани.
• Спроведување на правата: да се обезбеди организациите да го олеснат пристапот и другите права на субјектите на податоци; да се дејствува кога барањата се игнорираат или неправилно се обработуваат.
• Фокус на водство и надзор: објавува упатства и надгледува обработка со висок ризик, вклучувајќи податоци од посебна категорија и меѓународни трансфери.
• Спроведување на застапување: да бараат од контролорите кои не се од ЕУ и кои се насочени кон луѓе во Холандија да назначат претставник од ЕУ, каде што е применливо.

Дали GDPR важи за вас во Холандија?

Ако работат во Холандија или таргетираат луѓе таму и обработуваат лични податоци, веројатно се применува GDPR - без оглед на тоа каде се наоѓаат вашите сервери. Холандскиот орган за заштита на податоци (AP) ја надгледува усогласеноста за организации од сите големини, од фриленсери до мултинационални компании.

• Со седиште во ЕУ: Вие сте регистрирани во ЕУ и обработувате лични податоци.
• Не се со седиште во ЕУ: Нудите стоки/услуги на луѓе во ЕУ или го следите нивното однесување во ЕУ.

Организациите надвор од ЕУ во опсегот мора да назначат претставник од ЕУ.

Кога и зошто да се контактира АП

Контактирајте го Холандскиот орган за заштита на податоци (АЗ) кога ризиците за приватноста се значителни или вашите обиди за решавање на проблем со организацијата не водат никаде. Поединци можат да поднесат жалби за злоупотреба на лични податоци. Организациите мора да пријават кршење на податоците во рок од 72 часа и можеби ќе им треба одобрение од АЗ за одредени активности со висок ризик.

• Незаконска обработка или злоупотреба од посебна категорија: на пр., биометриски податоци без законска основа.
• Игнорирани барања за права: неуспеси во пристапот, бришењето, приговорот или транспарентноста.
• Пробивање на податоци (организации): задолжително известување до АП во рок од 72 часа.
• Нема известување за прекршување до поединци: кога луѓето требаше да бидат информирани.
• Нема претставник на ЕУ (контролори што не се на ЕУ): додека целта беа луѓето во Холандија.
• Споделени црни листи: кога е потребна лиценца од АП.

Вашите права што ги штити GDPR (Генералниот закон за заштита на приватноста)

Авторитетот за заштита на лични податоци (AP) ги штити вашите основни права од GDPR преку обезбедување организациите јасно да ве информираат, да одговорат навреме и да ги обработуваат податоците законски. Доколку компанијата игнорира или погрешно постапува со барање, Холандскиот орган за заштита на податоци може да истражи и да наложи усогласеност. Ова се клучните права што AP ги спроведува во пракса.

• Право да се биде информиран: јасни, транспарентни известувања, вклучително и кога податоците се добиени од други.
• Право на пристап: копија од вашите податоци и детали за обработка; одговор без непотребно одложување (обично во рок од еден месец).
• Олеснување на правата: Организациите мора да ги доставуваат барањата лесно и навремено — без неоправдани одбивања или одложувања.
• Заштита на податоци од посебна категорија: дополнителни заштитни мерки за биометриски или здравствени податоци; незаконската употреба предизвикува акција на АП.
• Информации за прекршување: Луѓето мора да бидат известени кога истекувањето претставува висок ризик; AP проверува дали тоа се случува.

Како да поднесете жалба за повреда на приватноста (чекор по чекор)

Доколку некоја организација неправилно постапува со вашите лични податоци или го игнорира вашето барање за права, можете да поднесете жалба до Холандскиот орган за заштита на податоци (Autoriteit Persoonsgegevens, AP). Во повеќето случаи, обидете се прво да го решите проблемот со организацијата и водете јасна хартиена евиденција. Фокусирана, добро документирана жалба му помага на AP побрзо да ја процени ситуацијата, особено кога станува збор за податоци од посебна категорија или прекугранична обработка.

1. Обидете се со директно решавање: Пишете до организацијата (или нејзиниот службеник за заштита на податоци) објаснувајќи го проблемот и правото на кое се повикувате; дајте им до еден месец да одговорат.
2. Соберете докази: Чувајте копии од вашето барање, сите одговори, датуми, снимки од екранот, известувања за приватност и каква било штета што сте ја доживеале.
3. Поднесете ја вашата жалба до АП: Користете го каналот за жалби на AP и опишете кој, што, кога, вклученото право од GDPR и влијанието.
4. Соработувајте со следење: АП може да побара повеќе информации или да се координира со друг орган на ЕУ за прекугранични случаи.
5. Размислете за паралелни лекови: АП може да наложи организации за усогласеност и да санкционира; надоместокот бара посебна граѓанска постапка.

Како да пријавите повреда на податоци до AP (за организации)

Кога ќе се случи повреда на лични податоци, организациите работат во Холандија или се насочени кон неа мора да дејствува брзо: да го извести Холандскиот орган за заштита на податоци (Autoriteit Persoonsgegevens, AP) во рок од 72 часа, доколку е потребно, да ги информира засегнатите лица и да го евидентира инцидентот. Прекуграничните прекршувања генерално се пријавуваат до DPA во земјата каде што се наоѓа вашето седиште во ЕУ. Доцното известување може да биде казнето.

1. Проценете и содржете: Одлучете дали инцидентот е повреда на лични податоци што може да се пријави.
2. Известете го АП (72 часа): Користете го каналот за пријавување на повреда на податоци на АП за да го поднесете вашето известување.
3. Известете ги поединците кога е потребно: Информирајте ги засегнатите луѓе и обезбедете практични упатства.
4. Внатрешен документ: Запишете ги фактите, последиците и корективните мерки во вашиот регистар на прекршоци.
5. Прекугранична координација: Известете го водечкиот орган (ОЗП на вашето седиште на ЕУ) и координирајте ги следните активности.

Водете евиденција за одлуките и временските рокови; АП може да побара дополнителни информации.

Што очекува АП од организациите: основни обврски за GDPR

Авторитетот за персонални податоци очекува организациите да покажат вистинска одговорност согласно GDPR: да изберат валидна правна основа, јасно да ја објаснат вашата обработка, да ги сведат податоците на минимум, соодветно да ги обезбедат, навремено да ги почитуваат барањата за права, да проценуваат активности со висок ризик, да пријавуваат прекршувања кога е потребно и да пренесуваат податоци во странство само со соодветни заштитни мерки.

• Законска основа и транспарентност: наведете јасни цели, законски основи и со кого ги споделувате податоците; обезбедете достапни информации за приватноста.
• Минимизирање и задржување на податоци: собирајте само она што е неопходно и одредете/почитувајте периоди на чување.
• Мерки за безбедност: спроведуваат пропорционални технички и организациски контроли и го ограничуваат внатрешниот пристап.
• Обработка со висок ризик: спроведе Проценка на влијанието врз животната средина и заштитата на податоците (DPIA) каде што е потребно; додајте заштитни мерки за податоци од посебна категорија.
• Олеснување на правата: го олеснуваат остварувањето на правата; одговараат без непотребно одложување (обично во рок од еден месец).
• Управување со прекршувања: известете го АП во рок од 72 часа доколку е потребно; информирајте ги поединците кога ризиците се високи; водете регистар на прекршувања.
• Меѓународни трансфери: користете одлуки за соодветност или соодветни заштитни мерки (на пр., модел клаузули).
• Регулаторни барања: да добијат лиценци за пристап до информации за одредени споделени црни листи; да назначат службеник за заштита на податоци (DPO) каде што е задолжително; контролорите кои не се од ЕУ мора да имаат претставник од ЕУ кога се насочени кон Холандија.

Овластени лица за заштита на податоци, претставници на ЕУ и одговорност во пракса

Одговорноста според GDPR е трајна обврска, а не поле за штиклирање. Доколку е потребно, назначете службеник за заштита на податоци (DPO) кој ќе следи како се обработуваат личните податоци, ќе ги советува вработените и ќе служи како контакт за Холандскиот орган за заштита на податоци (AP). Доколку сте контролор надвор од ЕУ кој нуди стоки/услуги на или ги следи луѓето во ЕУ, мора да назначите претставник од ЕУ. AP очекува докази дека овие улоги функционираат во пракса - неназначувањето претставник веќе довело до спроведување, како што се гледа во случајот Clearview.

• DPO каде што е потребно: Службеникот за заштита на податоци ја следи обработката, ги информира и советува вработените и е контакт-точка на AP.
• Претставник на ЕУ (контролори кои не се членки на ЕУ): назначете претставник кога се таргетирани луѓе во ЕУ/Холандија.
• Обработка со висок ризик: да се вршат ПВПП каде што е потребно и да се додадат заштитни мерки за податоци од посебна категорија.
• Ракување со права: да ги олеснат барањата за извршување и да одговорат без непотребно одложување (обично во рок од еден месец).
• Подготвеност за прекршување: водете регистар на прекршоци и известете го органот на надзор во рок од 72 часа доколку е потребно.
• Меѓународни трансфери: се потпираат на одлуки за соодветност или соодветни заштитни мерки (на пр., модел договори).

Прекугранични случаи и механизмот на едношалтерско решение

Кога обработката или прекршувањата влијаат врз луѓе во повеќе земји од ЕУ, се применува едношалтерскиот систем на GDPR. Водечкиот надзорен орган е DPA на вашето „главно седиште“ во ЕУ (обично седиштето). Ако тоа е во Холандија, предводник е Холандскиот орган за заштита на податоци (AP); во спротивно, AP дејствува како засегнат орган. За прекугранични прекршувања, организациите генерално го известуваат водечкиот DPA.

• Идентификувајте го вашиот водечки DPA: Определете ја главната установа и потврдете кој ја води.
• Извештај преку водечката DPA: Користете го неговиот канал за прекршување/комуникација и водете евиденција.
• Координати: Очекувајте барања за информации и заедничко ракување со други ОПЛАТИ од ЕУ.

Спроведување во пракса: казни, налози и значајни случаи

Холандскиот орган за заштита на податоци користи комбинација од истражни и корективни алатки за брзо менување на однесувањето. Очекувајте административни казни, опомени и налози за усогласеност - честопати со периодични казнени плаќања за да се стави крај на тековните прекршувања. Типични предизвикувачи вклучуваат незаконска обработка, злоупотреба на податоци од посебна категорија, игнорирање на барања за права, недостаток на претставување во ЕУ за контролори кои не се од ЕУ и доцни или несоодветни известувања за прекршоци (кои може да бидат казнети).

• Административни казни и наредби: АП може да наложи санација и да приложи периодични казни за да обезбеди усогласеност.
• Вообичаени прекршувања: Нема законска основа, незаконска биометриска обработка, слаба транспарентност, неможност за олеснување на пристапот и слабо справување со прекршувања.
• Значаен случај — Clearview AI (2024): Казна од 30,500,000 евра за нелегално собирање податоци и биометриска обработка, неуспеси во транспарентноста и пристапот, како и отсуство на претставник на ЕУ; плус четири наредби за усогласеност за запирање на тековните прекршувања.

Официјални ресурси и канали за контакт

За авторитетни упатства и формулари, користете го Холандскиот орган за заштита на податоци (Autoriteit Persoonsgegevens, AP). Ова се официјалните канали за информации, жалби и пријавување на прекршувања.

• Веб-страница на АП (англиски/холандски): упатства, новости и информации.
• Образец за жалба (поединци): поднесете жалба за повреда на приватноста; додадете докази.
• Портал за повреда на податоци (организации, Холандија): известете во рок од 72 часа доколку е потребно; најавете се интерно.
• Контакт страница: општи прашања или следење на случајот.
• Упатство: безбедносни мерки, DPIA и меѓународни трансфери.

Подготовка за истрага или инспекција од страна на AP

Барањето од Autoriteit Persoonsgegevens не мора да стане противпожарна вежба. Најефикасниот начин за намалување на ризикот е да ја покажете вашата домашна задача и да ги поправите празнините рано. Користете ја оваа фокусирана подготовка за да бидете подготвени за инспекција за барања за информации, далечински проверки или истраги на лице место.

• Назначете водител за одговор: Претставник на DPO/EU како единствен контакт; следете ги сите рокови.
• Соберете ја вашата датотека за одговорност: цели, правни основи, известувања, задржување, контроли на пристап.
• Ракување со правата на докази: дневник на барања, шаблони за одговори и евиденција за едномесечен процес на извршување.
• Покаже безбедност и DPIA: опфаќаат обработка со висок ризик/специјална категорија и документирани мерки за ублажување.
• Подгответе документација за прекршување: регистар на инциденти, 72-часовни известувања и каква било комуникација со корисниците.
• Потврдете ги меѓународните трансфери и застапувањето: клаузули за соодветност или модел, плус доказ за претставник на ЕУ (доколку е потребно).

Клучни заклучоци и следни чекори

Заклучок: AP е холандскиот надзорник на GDPR. Поединците можат да поднесат жалби; организациите мора да докажуваат законска обработка, да ги олеснат правата, да ги заштитат податоците и да пријават прекршувања во рок од 72 часа, со дополнителна грижа за податоци од посебна категорија и прекугранични поставувања. Ви треба персонализирана помош или планирање на итен одговор? Разговарајте со нашите адвокати за приватност во Law & More.