21. srpnja 2022.
Upravna novčana kazna od 2.15 milijun kuna zbog nepoduzimanja odgovarajućih tehničkih i organizacijskih mjera
Agencija za zaštitu osobnih podataka izrekla je upravnu novčanu kaznu u iznosu od 2,15 milijuna kuna voditelju obrade – pružatelju telekomunikacijskih usluga zbog nepoduzimanja odgovarajućih tehničkih i organizacijskih mjera sigurnosti obrade osobnih podataka, što je dovelo do neovlaštene obrade osobnih podataka cca 100.000 ispitanika, odnosno neovlaštenog pristupa osobnim podacima od strane napadača. Voditelj obrade nije poduzeo potrebne mjere za postizanje odgovarajuće mjere sigurnosti sukladno postojećim predvidivim rizicima, čime je postupio protivno članku 25. stavku 1. te članku 32. stavku 1. točke b) i d) i stavku 2. Opće uredbe o zaštiti podataka.
Za predmetnu povredu, Agencija je saznala od strane voditelja obrade putem zaprimljenog Izvješća o povredi osobnih podataka, sukladno članku 33. stavku 1. Opće uredbe o zaštiti podataka. Također, voditelj obrade izvijestio je i korisnike svojih usluga o predmetnom incidentu.
U predmetnom slučaju, utvrđeno je da voditelj obrade provodi određene organizacijske i tehničke mjere pri obradi osobnih podataka, ali u konkretnom slučaju one nisu bile dovoljne. Naime, voditelj obrade učinio je višestruke propuste prilikom dizajniranja sustava obrade, uključivo, ograničavanje pristupa, nadzor, izvješćivanje, pravovremeno reagiranje i uključivanje odgovarajućih korektivnih akcija u sustavu te izvršavanje propisanih organizacijskih mjera sadržanih u postojećim internim aktima te konačno i izmjena istih sukladno utvrđenjima u predmetnoj povredi. Za navedena kršenja, Opća uredba o zaštiti podataka propisuje izricanje upravne novčane kazne sukladno članku 83. stavku 4. točke a), odnosno upravne novčane kazne do 10 000 000 eura ili u slučaju poduzetnika do 2% ukupnog godišnjeg prometa na svjetskoj razini za prethodnu financijsku godinu, ovisno što je veće.
Isto tako, kao otegotnu okolnost Agencija nalazi u činjenici da je voditelj obrade jedno od vodećih društava pružatelja telekomunikacijskih usluga u Republici Hrvatskoj te je bilo za očekivati da će zbog velikog opsega osobnih podataka koje obrađuje primijeniti složenije organizacijske i tehničke mjere zaštite prije početka, kao i tijekom same obrade, uzimajući u obzir najnovija dostignuća, trošak provedbe te prirodu, opseg, kontekst i svrhe obrade, kao i rizike različitih razina vjerojatnosti i ozbiljnosti za prava i slobode pojedinaca koji proizlaze iz obrade podataka, a posebice nakon predmetne povrede, što je isto društvo propustilo učiniti.
Slijedom na utvrđene okolnosti, Agencija je sukladno svojim ovlastima iz članka 58. stavka 2. točke i Opće uredbe o zaštiti podataka izrekla upravnu novčanu kaznu, a sve u skladu s uvjetima za njezino izricanje iz članka 83. Opće uredbe i članka 44., 45. i 46. Zakona o provedbi Opće uredbe o zaštiti podataka.
Upravna novčana kazna od 30 tisuća kuna zbog neoznačavanja objekta pod videonadzorom
Agencija za zaštitu osobnih podataka je po službenoj dužnosti, bez prethodne najave, provela izravan nadzor nad obradom i provođenjem zaštite osobnih podataka, prikupljanja i obrade osobnih podataka učinjenih videonadzornim sustavom te je utvrdila kako voditelj obrade – prodajno-servisni centar automobila sa sjedištem u Zagrebu nije označio da su pojedine prostorije u njemu, kao i vanjske površine predmetnog objekta, pod videonadzorom, a što je protivno članku 27. stavku 1. Zakona o provedbi Opće uredbe o zaštiti podataka.
Za navedenu povredu Agencija je, u skladu s člankom 51. stavkom 1. alinejom 1. Zakona o provedbi Opće uredbe o zaštiti podataka, izrekla upravnu novčanu kaznu u iznosu od 30 tisuća kuna.
Upravo korektivna mjera u vidu upravne novčane kazne je učinkovita, proporcionalna i odvraćajuća te u potpunosti primjerena okolnostima za obje izrečene kazne, a koje se uplaćuju u korist državnog proračuna.
