2. srpnja 2025.
Agencija za zaštitu osobnih podataka izrekla je osam novih upravnih novčanih kazni u ukupnom iznosu od 350.500,00 eura zbog kršenja odredbi Opće uredbe o zaštiti podataka i Zakona o provedbi Opće uredbe o zaštiti podataka. U nastavku izdvajamo dvije najviše upravne novčane kazne:
Hrvatskom uredu za osiguranje upravna novčana kazna u iznosu od 101.000 euro
Nakon anonimne prijave da je došlo do „curenja“ osobnih podataka više od milijun vlasnika vozila iz Evidencije registriranih vozila na području Republike Hrvatske, Agencija za zaštitu osobnih podataka provela je nadzorna postupanja kod više voditelja obrade osobnih podataka – Hrvatski ured za osiguranje, Centar za vozila Hrvatske, Ministarstvo unutarnjih poslova Republike Hrvatske, kao i drugih pravnih subjekata koji su se povezivali s incidentom.
Utvrđeno je da se struktura podataka koja je dostavljena Agenciji na USB sticku – podaci o vlasniku vozila (ime i prezime, datum rođenja, OIB, JMBG, adresa prebivališta), podaci o vozilu (vrsta vozila, registarske oznake, broj šasije) i podaci o osiguranju (naziv osiguranja, broj police i datum važenja) i podaci o umanjenju osiguranja (bonusi/malusi), podudara s bazom Hrvatskog ureda za osiguranje te da je isti voditelj obrade osobnih podataka.
Pritom je Agencija utvrdila kako HUO kao voditelj obrade nije poduzeo odgovarajuće organizacijske i tehničke mjere zaštite osobnih podataka ispitanika, a što je protivno odredbi članka 32. stavka 2. te stavku 4. Opće uredbe o zaštiti podataka. Uslijed nepoduzimanja odgovarajućih mjera zaštite ugrožena je sigurnost sigurnosnog sustava s osobnim podacima ispitanika, a što je omogućilo lakšu dostupnost osobnih podataka ispitanika neovlaštenim osobama. Također, utvrđeno je da HUO nije zasebno propisao maksimalne rokove čuvanja osobnih podataka ispitanika sadržanih u Registru podataka Informacijskog centra, a što je protivno odredbi članka 5. stavka 1. točki (e) Opće uredbe o zaštiti podataka.
Navedena kršenja posljedično su doprinijela mogućnosti iznošenja osobnih podataka iz baze HUO-a, a okolnosti tog događaja istražuje i Ministarstvo unutarnjih poslova.
S obzirom na to da je HUO pravna osoba s javnim ovlastima, u primjeni je članak 44. Zakona o provedbi Opće uredbe o zaštiti podataka koji propisuje ako se upravna novčana kazna izriče protiv pravne osobe s javnim ovlastima ili protiv pravne osobe koja obavlja javnu službu, izrečena upravna novčana kazna ne smije ugroziti obavljanje takve javne ovlasti ili javne službe, stoga je izrečena kazna u iznosu od 101.000 eura.
Sportskoj kladionici upravna novčana kazna u iznosu od 175.000 eura
Zbog nepoduzimanja tehničkih mjera zaštite osobnih podataka te nepropisnog čuvanja osobnih podataka korisnika, voditelju obrade odnosno sportskoj kladionici izrečena je kazna u iznosu od 175.000 eura.
Agencija je zaprimila prijavu kako sportska kladionica za verifikaciju računa korisnika na Internet stranici traži da korisnici putem e-maila pošalju kopiju osobne iskaznice čime ne omogućava siguran način slanja dokumenata za verifikaciju zbog čega je Agencija pokrenula postupak po službenoj dužnosti zbog visokog rizika za prava i slobode ispitanika (igrača, korisnika usluge).
Utvrđeno je da je voditelj obrade obrađivao osobne podatke svojih korisnika (ime i prezime, datum rođenja, OIB, mjesto izdavanja osobne iskaznice, adresa ili prebivalište, datum izdavanja i do kad vrijedi osobna iskaznica, broj osobne iskaznice, a kada korisnik zatraži svoju prvu isplatu u svrhu identifikacije osobe i preslik osobne iskaznice) bez da je poduzeo odgovarajuće tehničke mjere zaštite s obzirom na rizike. Između ostaloga, pojedini zaposlenici voditelja obrade koriste lozinke koje nisu dovoljno snažne, odnosno lozinke koje imaju svega 3 znaka, što nije dovoljna mjera zaštite, obzirom da se s računala određenih zaposlenika može pristupiti e-mail adresi koja sadrži e-mailove s osobnim podacima i preslikama osobnih iskaznicama velikog broja korisnika. Isto tako, utvrđeno je da se djelatnici u administratorski dio programa platforme za klađenje spajaju nesigurnom vezom HTTP.[*]
Nadalje, voditelj obrade nije osigurao brisanje osobnih podataka ispitanika nakon proteka roka u kojem se isti moraju čuvati. Naime, voditelj obrade bio je dužan osigurati da se prikupljeni osobni podaci čuvaju u obliku koji omogućuje identifikaciju ispitanika samo onoliko koliko je potrebno u svrhe radi kojih se osobni podaci obrađuju te je postupio u suprotnosti s člankom 5. stavkom 1. točkom e. Opće uredbe o zaštiti podataka.
Također, utvrđeno je da voditelj obrade svjesno ne radi sigurnosnu kopiju podataka pozivajući se na previsoki trošak u uspostavi takve sigurnosne mjere zaštite osobnih podataka. No, uzme li se u obzir da je u trenutku nadzora voditelj obrade obrađivao osobne podatke 70 259 korisnika usluge online klađenja, bio je dužan osigurati sigurnosno kopiranje osobnih podataka.
Naposljetku, Agencija je izrekla još šest upravnih novčanih kazni voditeljima obrade zbog kršenja Opće uredbe o zaštiti podataka i Zakona o provedbi Opće uredbe o zaštiti podataka i to u iznosima od 2.500 eura do 35.000 eura.
[*] Osnovna razlika između HTTP-a i HTTPS-a jest u načinu na koji se podaci prenose. Dok HTTP šalje podatke kao običan tekst, bez ikakve zaštite, HTTPS ih šalje enkriptirane, što ih čini sigurnim i teško dostupnim neovlaštenim osobama
