Agencija za zaštitu osobnih podataka izrekla je upravnu novčanu kaznu u iznosu od 100.000,00 eura agenciji za nekretnine kao voditelju obrade, zbog postupanja protivno odredbama Opće uredbe o zaštiti podataka u dijelu koji se odnosi na načelo ograničenja pohrane osobnih podataka, zakonitost obrade te provedbu odgovarajućih tehničkih i organizacijskih mjera. Konkretno, utvrđene su sljedeće povrede Opće uredbe o zaštiti podataka:
- voditelj obrade čuvao je osobne podatke 11 887 svojih klijenata nakon isteka svrhe obrade, a što je protivno odredbi članka 5. stavka 1. točke (e);
- voditelj obrade je bez pravne osnove obrađivao osobne podatke svojih klijenata u vidu preslika 898 osobnih iskaznica, 6 preslika putovnica, 1 preslike zdravstvene iskaznice, 1 preslike osobne iskaznice malodobnog djeteta, 3 preslike bankovnih kartice, 1 preslike dozvole boravka, 2 preslike vozačke dozvole, 2 preslike strane putovnice, što predstavlja kršenje odredbi članka 6. stavka 1. u svezi članka 5. stavka 1. točke (c);
- voditelj obrade nije poduzeo odgovarajuće tehničke i organizacijske mjere kako bi osigurao da svi zaposlenici koji djeluju pod njegovom odgovornošću, a koji imaju pristup osobnim podacima, ne obrađuju te podatke ako to nije prema uputama voditelja obrade, što je protivno odredbi članka 32. stavku 4.
Tijekom nadzornog postupanja u pisanoj arhivi voditelja obrade zatečeno je ukupno 11 887 obrazaca naziva Ugovor o posredovanju pri kupnji nekretnine, obrazaca Ugovor o posredovanju pri najmu/zakupu nekretnine i obrasca Posrednički list (naziv obrasca u zavisnosti od vremena sklapanja istih i svrhe) uz priloženu dokumentaciju, a koji su sklopljeni u vremenskom periodu najranije od 23. rujna 2010., a najkasnije do 31. prosinca 2019. Time je prekršeno načelo ograničenja pohrane, odnosno obveza voditelja obrade da osobne podatke čuva u obliku koji omogućuje identifikaciju ispitanika samo onoliko dugo koliko je potrebno u svrhe radi kojih se osobni podaci obrađuju.
Također, unutar navedene arhivirane dokumentacije pronađeno je i 914 preslika osobnih isprava i bankovnih kartica, a za čiju obradu (pohranu) voditelj obrade nije dokazao pravnu osnovu. Posebno je značajno da je direktor društva tijekom nadzora izjavio kako se preslike bankovnih kartica ne prikupljaju, dok su u dokumentaciji pronađene preslike bankovne kartice kao sastavni dio dokumentacije o posredovanju između voditelja obrade i klijenta, što dodatno potvrđuje nedostatak nadzora nad postupcima obrade te manjak svjesnosti i educiranosti zaposlenika o sigurnosti obrade osobnih podataka, posebice iz razloga što obrada preslika osobnih isprava i financijskih dokumenata predstavlja visok rizik za prava i slobode ispitanika.
U pogledu tehničkih i organizacijskih mjera zaštite, utvrđeno je da voditelj obrade nije osigurao dostatnu edukaciju i nadzor nad osobama/zaposlenicima koji pod njegovom odgovornošću obrađuju osobne podatke klijenata, čime je povrijedio odredbe članka 32. stavka 4. Opće uredbe o zaštiti podataka, koji propisuje da voditelj obrade mora osigurati da svaka osoba koja djeluje pod njegovim nadzorom obrađuje osobne podatke isključivo po njegovim uputama. U postupku nadzora utvrđeno je da su se edukacije o zaštiti osobnih podataka provodile neredovito i u nedovoljnom opsegu.
U konkretnom slučaju utvrđena je neusklađenost koja je posljedica nemarnog postupanja od strane voditelja obrade, a u kojemu nije utvrđena šteta po ispitanike.
