Objavljeno: 5. srpnja 2021.
Agencija za zaštitu osobnih podataka izrekla je dvije nove upravne novčane kazne zbog kršenja odredbi Opće uredbe o zaštiti podataka i Zakona o provedbi Opće uredbe o zaštiti podataka.
Upravna novčana kazna zbog nepoduzimanja odgovarajućih tehničkih mjera
Zbog nepoduzimanja odgovarajućih tehničkih mjera sigurnosti obrade osobnih podataka od strane društva za pružanje informatičkih usluga iz Zagreba (daljnje u tekstu: društvo), kao izvršitelja obrade, došlo je do kršenja sigurnosti koje je dovelo do neovlaštene obrade osobnih podataka 28.085 ispitanika, odnosno dovelo je do neovlaštenog pristupa osobnim podacima od strane hakera. Izvršitelj obrade nije poduzeo potrebne mjere za postizanje odgovarajuće razine sigurnosti sukladno postojećim i predvidivim rizicima te je postupio protivno članku 32. stavku 1. točke b) i d) te stavku 2. Opće uredbe o zaštiti podataka.
Incident je AZOP-u prijavio voditelj obrade, telekomunikacijsko društvo iz Zagreba, koje je pisanim putem izvijestilo i korisnike svojih usluga o potencijalnoj povredi osobnih podataka.
Izvršitelj obrade prilikom obrade osobnih podataka dužan je poduzeti odgovarajuće tehničke mjere sigurnosti na način da treba osigurati trajnu povjerljivost sustava, kao i proces redovnog testiranja, ocjenjivanja i procjenjivanja učinkovitosti tehničkih i organizacijskih mjera za osiguravanje sigurnosti obrade, a prilikom procjene odgovarajuće razine sigurnosti posebno uzeti u obzir rizike neovlaštenog otkrivanja osobnih podataka. Obzirom na to da društvo, prema javno dostupnim informacijama, pruža informatičke usluge i drugim mobilnim operaterima, bankama i državnim institucijama u Republici Hrvatskoj, ali i tvrtkama u inozemstvu (SAD, Velika Britanija, Nizozemska itd.), trebalo bi biti relevantni subjekt u davanju mišljenja, smjernica, predlagati rješenja voditeljima obrade o implementaciji web aplikacija, pa tako i osmišljavati i provoditi odgovarajuće tehničke mjere za zaštitu obrade osobnih podataka.
Slijedom navedenog, Agencija je sukladno svojim ovlastima iz članka 58. stavka 2. točke i Opće uredbe o zaštiti podataka izrekla upravnu novčanu kaznu, a sve u skladu s uvjetima za njezino izricanje iz članka 83. Opće uredbe i članka 44., 45. i 46. Zakona o provedbi Opće uredbe o zaštiti podataka.
Upravna novčana kazna zbog neoznačavanja objekta pod videonadzorom
Agencija za zaštitu osobnih podataka je po službenoj dužnosti, bez prethodne najave, provela izravan nadzor nad obradom i provođenjem zaštite osobnih podataka, prikupljanja i obrade osobnih podataka učinjenih videonadzornim sustavom te je utvrdila kako osiguravajuće društvo sa sjedištem u Zagrebu (daljnje u tekstu: društvo) nije označilo da su poslovni objekt (u kojem se provode tehnički pregledi i registracija vozila te ugovaraju usluge osiguranja) i vanjska površina poslovnog objekta pod videonadzorom. Time je voditelj obrade, odnosno osiguravajuće društvo postupilo protivno članku 27. stavku 1. Zakona o provedbi Opće uredbe o zaštiti podataka.
Upravna novčana kazna za neoznačavanje objekta pod videonadzorom izrečena je sukladno članku 51. stavku 1. alineji 1. Zakona o provedbi Opće uredbe o zaštiti podataka.
Agencija smatra da je upravo korektivna mjera u vidu upravne novčane kazne učinkovita, proporcionalna i odvraćajuća te u potpunosti primjerena okolnostima za obje izrečene kazne.