24. ožujak 2025.
Agencija za zaštitu osobnih podataka izrekla je sedam upravnih novčanih kazni zbog kršenja odredbi Opće uredbe o zaštiti podataka u ukupnom iznosu od 169.000 eura.
U nastavku donosimo kratke opise pojedinačnih kazni:
Nezakonita obrada osobnih podataka u svrhu naplate parkinga – 80.000 eura
Agencija je došla do saznanja da trgovačko društvo obrađuje osobne podatke ispitanika za potrebe naplate parkinga (izdavanja dnevnih parkirnih karata) trgovačkih lanaca i opće bolnice, prikupljajući ih iz Evidencije registriranih vozila MUP-a odnosno putem web servisa Ministarstva unutarnjih poslova Republike Hrvatske bez pravne osnove.
Tijekom nadzornog postupanja utvrđeno je da je trgovačko društvo iskoristilo svoja ovlaštenja koja je imalo od MUP-a (za drugu svrhu i drugi grad), kako bi u svrhu naplate parkinga došlo do osobnih podataka većeg broja ispitanika u protivnu svrhu te bez pravne osnove iz članka 5. stavka 1. (b) i 6. stavka 1. Opće uredbe o zaštiti podataka. Naime, društvo je dobilo koncesiju od jedinice lokalne samouprave za obavljanje usluge nadzora parkiranja iz članka 5. stavka 11. Zakona o sigurnosti prometa na cestama te je u tu svrhu temeljem Sporazuma s MUP-om dobilo pristup osobnim podacima sadržanim unutar Evidencije registriranih vozila MUP-a. Međutim, pristup osobnim podacima društvo je iskoristilo za potrebe organizacije i naplate parkiranja trgovačkih lanaca i Opće bolnice, što je izvan navedenog ovlaštenja.
Također, u postupku je utvrđeno kako navedeno društvo nije imalo sklopljen ugovor kojim se regulira odnos voditelja/izvršitelja obrade u svrhu naplate i organizacije parkinga Opće bolnice, što je protivno odredbi članka 28. stavka 3. Opće uredbe o zaštiti podataka.
Nadalje, utvrđeno je kako kod obrade osobnih podataka ispitanika nisu poduzete odgovarajuće tehničke i organizacijske mjere zaštite osobnih podataka, čime je utvrđena povreda članka 32. stavka 2. i 4. Opće uredbe o zaštiti podataka. Za navedena kršenja, društvu je izrečena upravna novčana kazna od 80.000 eura.
Nezakonita javna objava osobnih podataka na internetu – 40.000 eura
Agencija je zaprimila više pritužbi građana, uglavnom fizičkih osoba vlasnika obrta u vezi javne objave njihovih osobnih podataka na Internetu od strane trgovačkog društva. Naime, primarna poslovna aktivnost predmetnog društva je nuđenje osnovnih i financijskih podataka o poslovnim subjektima (obrtnicima) koje su dostupne na web stranicama društva, a što su oni prikupili iz javno dostupnih izvora primjerice javnih registra, e-objave suda, kao i dodatni dio podataka koji se odnosi na financijsko poslovanje poslovnih subjekata, a koje dobivaju temeljem ugovora potpisanog s Finom.
Agencija je provela nadzorne aktivnosti te je utvrdila da voditelj obrade obrađuje osobne podatke protivno odredbama članka 6. stavka 1. točke (f), u vezi s člankom 5. stavkom 1. točkama (a) i (e) Opće uredbe o zaštiti podataka, odnosno voditelj obrade nije dokazao pravni temelj za obradu (objavu) osobnih podataka. Također, društvo nije dokazalo zakonsku osnovu da podatke o obrtnicima čiji su podaci izbrisani iz službenog javnog registra čuva trajno.
Nadalje, Agencija je utvrdila da društvo nije pružilo transparentne informacija ispitanicima s obzirom na obradu njihovih osobnih podataka, čime nije osigurano poštivanje zahtjeva iz članka 12. i 14. Opće uredbe o zaštiti podataka.
Također, utvrđeno je da društvo vodi evidenciju aktivnosti obrade za koje je odgovoran koja nije u skladu s odredbama članka 30. Opće uredbe o zaštiti podataka te da je društvo imenovalo službenika za zaštitu podataka, koji je također direktor, za kojeg nije osiguralo da njegovo obavljanje zadaća i dužnosti ne dovede do sukoba interesa, a što je protivno odredbama članka 38. stavka 3. i 6. Opće uredbe o zaštiti podataka. Za navedene povrede Opće uredbe o zaštiti podataka, Agencija je društvu izrekla upravnu novčanu kaznu u iznosu od 40.000,00 eura.
Nepoduzimanje tehničkih mjera zaštite osobnih podataka – 20.000 eura
Nakon objave u medijima da je unutar sustava Kliničkog bolničkog centra Zagreb došlo do sigurnosnog incidenta povezanog s kibernetičkim napadom, a posredno time i do ugroze osobnih podataka ispitanika, Agencija je pokrenula žurno nadzorno postupanje.
Utvrđeno je da nepoduzimanjem odgovarajućih tehničkih mjera sigurnosti obrade osobnih podataka od strane voditelja obrade KBC Zagreb, odnosno postupanjem protivno članku 32. stavku 1. točke b) i d) te stavku 2. Opće uredbe o zaštiti podataka, doprinijelo neovlaštenom pristupu osobnim podacima ispitanika. Tim postupanjem KBC Zagreb je olakšao nepoznatoj osobi/napadaču da ostvari pristup osobnim podacima u informacijskom sustavu, koji je u vremenskom periodu od 7 dana kopirao/iznosio podatke u količini od najmanje 3 GB izvan sustava voditelja obrade.
Napadač je najvjerojatnije socijalnim inženjeringom došao u posjed pristupnim podacima te putem VPN konekcije ostvario spajanje na informacijski sustav voditelja obrade, nakon čega je iskoristio slabost sustava (zastarjeli operativni sustav) i osigurao prava domenskog korisničkog računa koji je imao najviše privilegije na sustavu (Domain admin), a koji se upotrebljava kao servisni račun za potrebe rada sustava koji isporučuje vanjsko društvo. Također, napadač je zaključao veliki broj servera, obrisao sigurnosne kopije, pokretao izvršne datoteke (.exe) za potrebe neovlaštenih aktivnosti.
KBC Zagreb učinio je višestruke propuste prilikom dizajniranja sustava obrade, uključivo, ograničavanje pristupa, nadzor, izvješćivanje, pravovremeno reagiranje i uključivanje odgovarajućih korektivnih akcija u sustavu, za što je izrečena upravna novčana kazna u iznosu od 20.000,00 eura
Upravne novčane kazne izrečene Općim bolnicama – 3.000 i 4.000 eura
U okviru nadzornog postupanja zbog nezakonite obrade osobnih podataka u svrhu naplate parkinga, Agencija je utvrdila kako i Opća bolnica Zadar koristi aplikativno rješenje trgovačkog društva koje je automatizmom dohvaćalo podatke o vlasnicima vozila preko web servisa MUP-a bez pravne osnove. Također, bolnica nije na transparentan i propisan način informirala ispitanike (korisnike parkirališta) o obradi/ prikupljanju njihovih osobnih podataka vezano uz naplatu parkinga, a što je protivno članku 13. i 14. stavku 2. točki (f) Opće uredbe o zaštiti podataka. Nadalje, utvrđeno je kako bolnica nije poduzela odgovarajuće organizacijske mjere zaštite osobnih podataka ispitanika/ korisnika parkirališta prilikom prikupljanja osobnih podataka vlasnika vozila vezano uz naplatu parkinga u aplikaciji, a što je protivno odredbi članka 25. stavka 1. Opće uredbe o zaštiti podataka, niti je sklopila ugovor o obradi osobnih podataka korisnika parkirališta s trgovačkim društvom kao izvršiteljem obrade osobnih podataka, a što je protivno odredbi članka 28. stavka 3. Opće uredbe o zaštiti podataka. Za navedene povrede izrečena je kazna u iznosu od 4.000 eura.
Također, Agencija je izrekla i upravnu novčanu kaznu Općoj županijskoj bolnici Vinkovci u iznosu od 3.000 eura za kršenja obveza iz članaka 13., 32., 33. i 34. stavak 1. Opće uredbe o zaštiti podataka. Unatoč visoko rizičnoj i opsežnoj obradi zdravstvenih podataka, kao osnovnoj djelatnosti, bolnica, među ostalim, nije na odgovarajući način provodila i testirala organizacijske mjere zaštite koje imaju za cilj osiguranje sigurnosti obrade zdravstvenih podataka. Zaštita osobnih podataka pacijenta i čuvanje povjerljivosti informacija o zdravlju važno je ne samo radi poštovanja privatnosti pacijenta, već i radi povjerenja u medicinsku struku i zdravstvene usluge koje pružaju liječnici i drugo medicinsko osoblje.
Pri izricanju upravnih novčanih kazni navedenim zdravstvenim ustanovama, Agencija je u obvezi primijeniti odredbe članka 44. stavka 2. Zakona o provedbi Opće uredbe o zaštiti podataka, koji propisuje da ako se upravna novčana kazna izriče protiv pravne osobe s javnim ovlastima ili protiv pravne osobe koja obavlja javnu službu, izrečena upravna novčana kazna ne smije ugroziti obavljanje takve javne ovlasti ili javne službe.
Imenovanje i položaj službenika za zaštitu podataka – 10.000 i 12.000 eura
Izrečene su i dvije upravne novčane kazne zbog nepoštivanje odredbi Opće uredbe o zaštiti podataka u vezi obveze imenovanja i položaja službenika za zaštitu podataka. Kazna u iznosu od 12.000 eura izrečena je kasinu, dok je 10.000,00 eura izrečeno trgovačkom društvu za proizvodnju ulja i masti.
