Agencija za zaštitu osobnih podataka izrekla je upravnu novčanu kaznu u iznosu od 15.000,00 eura (113.017,50 kuna) voditelju obrade hotelu (odnosno pravnoj osobi unutar koje posluje predmetni hotel), zbog sljedeće utvrđenih povreda Opće uredbe o zaštiti podataka:
- Voditelj obrade obrađivao je osobne podatke ispitanika (gostiju hotela) u prekomjernom opsegu i to podatke o sigurnosnom broju bankovne kartice (CVC broj), kao i preslike osobnih dokumenata prilikom rezervacije smještaja u hotelu putem online obrasca hotela i putem e-pošte. Za obradu CVC broja bankovne kartice i preslike osobnog dokumenta nije dokazano postojanje pravne osnove, čime je povrijeđen članak 6. stavak 1. Opće uredbe o zaštiti podataka. Hotel nije imao obvezu prikupljati CVC broj s bankovne kartice osoba koje su izvršile rezervaciju smještajne jedince, s obzirom na to da je rezervacija smještaja bila moguća i bez dostavljanja predmetnog podatka.
- Voditelj obrade nije na jasan/transparentan način informirao ispitanike o obradi njihovih osobnih podataka putem dokumenta Opći uvjeti poslovanja, koji je dostupan na internetskim stranicama hotela, a u pogledu prikupljanja osobnih podataka prilikom rezervacije smještaja hotela putem online obrasca i putem e-pošte, a što je protivno odredbi članka 13. stavka 1. i 2. Opće uredbe o zaštiti podataka. U konkretnom slučaju, hotel nije na odgovarajući način pružio obavijest o obradi osobnih podataka gostima koji su rezervirali smještaj u hotelu, uključivo ni informaciju o prikupljanju podataka o CVC broju i preslici identifikacijskog dokumenta. Imajući u vidu odredbe propisa kojima je regulirana zaštita osobnih podataka, hotel je bio dužan informirati gosta koje vrste osobnih podataka u koju svrhu prikuplja, pravnu osnovu obrade osobnih podataka, na koji način se koriste osobni podaci, odnosno tko koristi osobne podatke te koje su mjere zaštite osobnih podataka poduzete. Sve informacije o obradi osobnih podataka, hotel je bio dužan pružiti u sažetom, razumljivom i lako dostupnom obliku, upotrebom jasnog i jednostavnog jezika te je bio dužan upoznati ispitanika sa svim njegovim pravima koja mu pripadaju sukladno Općoj uredbi o zaštiti podataka.
- Ujedno ni obrazac „Privola na korištenje osobnih podataka“, koji voditelj obrade dostavlja u svrhu pružanja informacija ispitanicima o obradi njihovih osobnih podataka kod rezervacije smještaja putem e- pošte, ne sadrži točne ni cjelovite informacije, čime je voditelj obrade postupio protivno odredbama članka 13. stavka 1. i 2. Opće uredbe o zaštiti podataka.
- Nepoduzimanjem odgovarajućih organizacijskih i tehničkih mjera zaštite kod obrade osobnih podataka ispitanika od strane voditelja obrade, došlo je do povrede članka 32. stavka 1. a) i d) te stavka 4. Opće uredbe o zaštiti podataka. Voditelj obrade nije poduzeo odgovarajuće tehničke i organizacijske mjere, a sve kako bi osigurao odgovarajuću razinu sigurnosti s obzirom na rizik, uključujući, između ostalog enkripciju osobnih podataka te provođenje procesa za redovito testiranje, ocjenjivanje i procjenjivanje učinkovitosti tehničkih i organizacijskih mjera za osiguravanje sigurnosti obrade.
- Imenovanjem voditelja hotela za službenika za zaštitu podataka, voditelj obrade postupio je protivno odredbama članka 38. stavka 6. Opće uredbe o zaštiti podataka. Naime, službenik za zaštitu podataka može ispunjavati i druge zadaće i dužnosti, međutim voditelj obrade osigurava da takve zadaće i dužnosti ne dovedu do sukoba interesa. Voditelj obrade je prilikom imenovanja službenika za zaštitu podataka morao biti svjestan da postoji sukob interesa u odnosu na zadaće i dužnosti koje isti obavlja. Iz opisa poslova voditelja hotela vidljivo je kako je isti velikom mjerom odgovaran za donošenje upravljačkih odluka na razini obrade osobnih podataka, dok je s druge strane kao službenik za zaštitu podataka dužan pratiti usklađenost poslovanja u obradi osobnih podataka s propisima kojima je regulirana zaštita osobnih podataka.
Agencija za zaštitu osobnih podataka zaprimila je prijavu građanina koji je naveo kako se prilikom rezervacije smještaja u predmetnom hotelu traži potvrda rezervacije slanjem CVC kreditne kartice (putem obrasca) i to potpuno nezaštićenim kanalima (putem elektroničke pošte). Isto tako, u zaprimljenoj prijavi navedeno je kako potencijalni gost nije informiran tko ima pristup njegovim osobnim podacima, tj. osobnom dokumentu koji je na traženje hotela dužan poslati kako bi se mogla teretiti kreditna kartica.
Naime, predmetni hotel imao je tri mogućnosti rezervacije smještaja – putem pružatelja usluge, online rezervacija putem web obrasca na internetskoj stranici hotela te putem e-pošte, uz napomenu kako se putem web obrasca i e-pošte vršila samo rezervacija, a ne i naplata.
Prilikom rezervacije putem web obrasca bilo je potrebno upisati osobne podatke gosta: ime, prezime, adresu e-pošte, adresu te financijske podatke (broj kartice, datum i godina do kada vrijedi kartica, CVC broj te ime vlasnika kartice), dok je za rezervaciju putem e-pošte bilo potrebno dostaviti navedene podatke te presliku valjanog identifikacijskog dokumenta s fotografijom, a sve iz razloga kako ne bi došlo do zlouporabe bankovne kartice od strane trećih osoba, kako je tvrdio hotel.
U predmetnom slučaju, a uzimajući u obzir utvrđene povrede, Agencija se odlučila za izricanje upravne novčane kazne iz razloga postojanja visokog rizika za prava i slobode ispitanika, a koji je voditelj obrade bio dužan uzeti u obzir prije predmetne obrade osobnih podataka. Dakle, riječ je o voditelju obrade čije se poslovanje sastoji od obrade osobnih podataka te je navedenim postupanjem došlo do prikupljanja osobnih podataka bez postojanja odgovarajuće pravne osnove, a prikupljani su osobni podaci koji nisu nužni za svrhu u koju su se isti prikupljali od ispitanika prilikom rezervacije smještaja hotela. Također, Agencija smatra da će izricanje kazne dovesti do toga da voditelj obrade pravovremeno i odgovarajuće ispunjava svoje obveze u području zaštite osobnih podataka.
