Neovlašteno omogućavanje uvida u osobne podatke - propust zaposlenika banke
Agencija za zaštitu osobnih podataka zaprimila je zahtjev za utvrđivanje povrede prava na zaštitu osobnih podataka u kojem podnositeljica zahtjeva navodi kako je na njezin tekući račun od strane treće osobe uplaćen iznos od 1.870,00 kuna. Nadalje, podnositeljica zahtjeva navodi kako je djelatnik banke nakon izvršene uplate trećoj osobi predao potvrdu iz koje je potpuno pregledano stanje na tekućem računu podnositeljice zahtjeva.
S tim u vezi, podnositeljica zahtjeva navodi kako su njezini osobni podaci koje je banka prikupila za vođenje kunskog računa, neovlašteno proslijeđeni od strane djelatnika banke trećoj osobi. Podnositeljica zahtjeva navodi kako je za dostavljanje podataka o stanju njezinog salda na računu saznala od treće osobe (kojoj su otkriveni njezini osobni podaci).
Zahtjev je osnovan.
Utvrđuje se da je obradom osobnih podataka podnositeljice zahtjeva od strane banke na način da su osobni podaci podnositeljice zahtjeva, točnije podaci o stanju na tekućem računu – početni i konačni saldo iskazani na Potvrdi o uplati učinili dostupnima trećoj osobi bez njezinog znanja i pristanka došlo do povrede članka 5.1a) i f) i članka 6. 1. a) Opće uredbe o zaštiti podataka.
Nalaže se banci, kao voditelju obrade osobnih podataka poduzimanje odgovarajućih tehničkih i organizacijskih mjera zaštite osobnih podataka u svakodnevnom poslovanju, s ciljem da se zaštite osobni podaci klijenata od slučajnih ili namjernih zlouporaba, neovlaštenih promjena ili dostupa trećim osobama sukladno članku 25. i 32. Opće uredbe o zaštiti podataka.
Banci, kao voditelju obrade osobnih podataka, izriče se službena opomena zbog obrade osobnih podataka podnositeljice zahtjeva protivno člancima 5.1.a), 5.1.f) i članku 6.1.a) Opće uredbe o zaštiti podataka.
Više u Rješenju
Nepoduzimanje odgovarajućih tehničkih mjera - korištenje CC (carbon copy) prilikom slanja obavijesti o ishodu natječajnog postupka
Objavljeno 9.8.2023.
Agencija za zaštitu osobnih podataka zaprimila je zahtjev za utvrđivanje povrede prava na zaštitu osobnih podataka, u kojemu podnositelj zahtjeva navodi kako je društvo objavilo natječaj za posao na koji se javio podnositelj zahtjeva. Predmetno društvo dostavilo mu je e-poruku u kojoj mu se zahvaljuje na prijavi te ga obavještava da je na navedeno radno mjesto prijavljen drugi kandidat. Korištenjem CC (carbon copy) i potpunim zanemarivanjem BCC (blind preslika) njegova adresa elektroničke pošte, koja sadrži njegovo ime i prezime, dostavljena ostalih 99 primatelja elektroničke pošte (neizabrani kandidati) bez valjane pravne osnove te kako je time došlo do povrede njegovih osobnih podataka zbog neovlaštenog okrivanja sadržaja trećim osobama. Također, ističe kako je tada bio zaposlen i u traženju posla u konkurentskoj djelatnosti te kako svako otkrivanje činjenice traženja novog zaposlenja trećim osobama predstavlja protupravno i štetno postupanje kao i kršenje njegovog prava na privatnost.
Iz zaprimljenog očitovanja društva utvrđeno je kako je do omogućavanja neovlaštenog uvida u osobne podatke podnositelja zahtjeva došlo uslijed nenamjerne nepažnje zaposlenice, s čijeg maila je poslana navedena obavijest. Nepoduzimanjem odgovarajućih tehničkih mjera zaštite od strane društva prilikom slanja obavijesti o ishodu natječajnog postupka na adrese elektroničke pošte dana došlo je do neovlaštene obrade osobnih podataka, na način da je obavijest o ishodu natječajnog postupka poslana na ukupno 100 adresa elektroničke pošte bez postojanja pravne osnove iz članka 6. stavka 1. Opće uredbe o zaštiti podataka, a sve protivno članku 25. stavku 2. i članku 32. stavku 2. Opće uredbe o zaštiti podataka.
Korištenjem opcije „kopija“ došlo je do neovlaštenog uvida u osobne podatke podnositelja zahtjeva (adresu elektroničke pošte te činjenicu da je isti bio neizabrani kandidat u natječajnom postupku) od strane ostalih 99 sudionika predmetnog natječaja slanjem obavijesti o izboru na mail adrese svih sudionika natječajnog postupka, te da je zbog učinjenog propusta voditelja obrade osobnih podataka veliki broj osoba neovlašteno došao u posjed osobnih podataka podnositelja zahtjeva, voditelju obrade izrečena je službena opomena.
Navedenim načinom komuniciranja je osim navedenog, omogućena zlouporaba osobnih podataka podnositelja zahtjeva, budući da je isti u kritičnom trenutku bio zaposlen u konkurentskoj firmi te je zbog sudjelovanja u natječaju mogao imati posljedica u profesionalnom životu ukoliko sporna elektronička pošta dospije u ruke njegovog tadašnjeg poslodavca.
Više u Rješenju
Nepoduzimanje odgovarajućih zaštitnih mjera osobnih podataka - gubitak dokumentacije
Objavljeno 16.9.2022.
Agencija za zaštitu osobnih podataka zaprimila je zahtjev za utvrđivanje povrede prava na zaštitu osobnih podataka u kojemu podnositelj zahtjeva navodi kako je kako je došao do saznanja kako u njegovom dosjeu Srednje strukovne škole (dalje u tekstu: Škola) nedostaje njegova ovjerena kopija Diplome o položenom majstorskom ispitu, kao i Potvrda o stečenom zvanju majstor natkonobar, a koje je podnositelj zahtjeva dostavio u Školu 2005. godine.
Zahtjev je osnovan.
U provedenom upravnom postupku je utvrđeno kako Škola, kao voditelj obrade nije poduzimala odgovarajuće zaštitne mjere osobnih podataka podnositelja zahtjeva, uslijed čega je došlo do gubitka/nestanka dokumentacije podnositelja zahtjeva, a čime su povrijeđene odredbe članka 25. i 32. Opće uredbe o zaštiti podataka.
Više u Rješenju