Agencija za zaštitu osobnih podatka izrekla je upravnu novčanu kaznu voditelju obrade, Zagrebačkom holdingu d.o.o. u iznosu od 25.000,00 eura (188.362,50 kuna) zbog sljedeće utvrđenih povreda Opće uredbe o zaštiti podataka:
- Voditelj obrade nije na odgovarajući način informirao korisnike usluga o pravnoj osnovi obrade osobnih podataka te razdoblju pohrane osobnih podataka prilikom prikupljanja preslike osobnog identifikacijskog dokumenta zbog izdavanja prijepisa računa putem e-pošte čime je postupio protivno odredbi čl. 13. st. 1. (c) i čl. 13. st. 2. (a), (e) Opće uredbe o zaštiti podataka. Sukladno navedenim odredbama, a ukoliko se osobni podaci prikupljaju od ispitanika, voditelj obrade dužan je u trenutku prikupljanja pružiti ispitanicima sve informacije o obradi njihovih osobnih podataka (primjerice upoznati ih sa svrhom i pravnom osnovom za obradu osobnih podataka, razdoblju u kojem će osobni podaci biti pohranjeni itd.) u sažetom, razumljivom i lako dostupnom obliku, uz upotrebu jasnog i jednostavnog jezika
- Voditelj obrade nije poduzeo odgovarajuće tehničke i organizacijske mjere prilikom obrade osobnih podataka u svrhu identifikacije korisnika usluga zbog izdavanja prijepisa računa putem e-pošte, čime je povrijedio odredbe čl. 25. st. 2. Opće uredbe o zaštiti podataka.
Naime, Agencija za zaštitu osobnih podataka zaprimila je podnesak građanina u kojem se navodi kako Zagrebački holding d.o.o. od korisnika usluga traži presliku osobne iskaznice prije izdavanja prijepisa računa (naknada za uređenje voda i komunalnu naknadu) putem e-pošte. Također, navedeno je kako je za istu uslugu u svrhu identifikacije ranije bilo dovoljno dostaviti ime, prezime, adresu, OIB, sistemski broj objekta i sistemski broj obveznika.
U postupku je utvrđeno kako voditelj obrade nema propisana pravila za identifikaciju korisnika usluge koji traži dostavu prijepisa računa putem elektroničke pošte te je isti prikupljao preslike identifikacijskog dokumenta korisnika putem e-pošte samo u slučaju sumnje na lažno predstavljanje. Naime, Zagrebački holding tražio je presliku osobnog identifikacijskog dokumenta od korisnika koji se koriste e-mail adresom koja u svojoj strukturi ima različito ime/naziv od imena i prezimena korisnika usluge, odnosno ukoliko ime i prezime korisnika usluge koji je putem e-pošte zahtijevao prijepis računa nije odgovaralo strukturi e-mail adrese s koje su zahtijevali prijepis računa. Sama konstrukcija naziva e-mail adrese koja sadrži odgovarajuće ime i prezime, nije zaštitna mjera koja bi voditelju obrade pružila dovoljnu garanciju da je zahtjev postavljen od strane stvarnog korisnika usluge. Slijedom navedenog, utvrđeno je kako je voditelj obrade propustio implementirati odgovarajuće tehničke i organizacijske mjere zaštite odnosno urediti proces obrade u svrhu identifikacije korisnika usluga koji su zatražili prijepis računa putem e-pošte, čime je postupio protivno čl. 25. st. 2 Opće uredbe o zaštiti podataka.
Voditelj obrade je trebao razraditi poslovne procese identifikacija putem elektroničke pošte na način koji će osigurati da postupak identifikacije korisnika usluge bude jednak za sve korisnike, bez obzira na strukturu e-pošte. Navedenim postupanjem onemogućeno je da korisnici usluga, koji u strukturi svoje e-mail adrese nemaju ime i prezime, bez dostave osobnog identifikacijskog dokumenta, ostvare komunikaciju udaljenim putem, odnosno zatraže prijepis računa putem e-pošte.
Također, ovaj način identifikacije rezultirao je nesigurnom obradom u vidu prikupljanja preslika osobnih identifikacijskih dokumenata, pri čemu se dodatno kod ispitanika od kojih je zatražena dostava identifikacijskog dokumenta bez davanja svih relevantnih informacija stvorio osjećaj gubitka kontrole nad njihovim osobnim podacima.
Voditelj obrade propustio je i transparentno informirati korisnike usluge o pravnoj osnovi za prikupljanje osobnih podataka (preslike osobne iskaznice) u svrhu identifikacije. Ispitanicima predmetne informacije nisu bile dostupne ni kroz objavljene dokumente odnosne na obradu osobnih podataka na službenim internetskim stranicama voditelja obrade, a ni nakon što su ispitanici izravno zatražili informacije o obradi putem e-pošte, što je protivno odredbama čl. 13. st. 1. (c) i čl. 13. st. 2. (a), (e) Opće uredbe o zaštiti podataka.
