Agencija za zaštitu osobnih podataka (AZOP) izrekla je dvije nove upravne novčane kazne zbog kršenja odredbi Opće uredbe o zaštiti podataka i Zakona o provedbi Opće uredbe o zaštiti podataka, izvijestili su iz AZOP-a.
Kako navode, zbog nepoduzimanja odgovarajućih tehničkih mjera sigurnosti obrade osobnih podataka od strane društva za pružanje informatičkih usluga iz Zagreba (daljnje u tekstu: društvo), kao izvršitelja obrade, došlo je do kršenja sigurnosti koje je dovelo do neovlaštene obrade osobnih podataka 28.085 ispitanika, odnosno dovelo je do neovlaštenog pristupa osobnim podacima od strane hakera. Izvršitelj obrade nije poduzeo potrebne mjere za postizanje odgovarajuće razine sigurnosti sukladno postojećim i predvidivim rizicima te je postupio protivno članku 32. stavku 1. točke b) i d) te stavku 2. Opće uredbe o zaštiti podataka.
U skladu sa stavkom 2, mogu se izreći upravne novčane kazne u iznosu do 10.000.000 eura ili u slučaju poduzetnika do 2 posto ukupnog godišnjeg prometa na svjetskoj razini za prethodnu financijsku godinu.
Neslužbeno saznajemo da je riječ o slučaju osobnih podataka Tele 2 korisnika, za čiju je neovlaštenu upotrebu od strane hakera odgovorno gore spomenuto društvo.
Incident je AZOP-u prijavio voditelj obrade, telekomunikacijsko društvo iz Zagreba, koje je pisanim putem izvijestilo i korisnike svojih usluga o potencijalnoj povredi osobnih podataka.
Izvršitelj obrade prilikom obrade osobnih podataka dužan je poduzeti odgovarajuće tehničke mjere sigurnosti na način da treba osigurati trajnu povjerljivost sustava, kao i proces redovnog testiranja, ocjenjivanja i procjenjivanja učinkovitosti tehničkih i organizacijskih mjera za osiguravanje sigurnosti obrade, a prilikom procjene odgovarajuće razine sigurnosti posebno uzeti u obzir rizike neovlaštenog otkrivanja osobnih podataka. Obzirom na to da društvo, prema javno dostupnim informacijama, pruža informatičke usluge i drugim mobilnim operaterima, bankama i državnim institucijama u Republici Hrvatskoj, ali i tvrtkama u inozemstvu (SAD, Velika Britanija, Nizozemska itd.), trebalo bi biti relevantni subjekt u davanju mišljenja, smjernica, predlagati rješenja voditeljima obrade o implementaciji web aplikacija, pa tako i osmišljavati i provoditi odgovarajuće tehničke mjere za zaštitu obrade osobnih podataka.
Slijedom navedenog, Agencija je sukladno svojim ovlastima iz članka 58. stavka 2. točke i Opće uredbe o zaštiti podataka izrekla upravnu novčanu kaznu, a sve u skladu s uvjetima za njezino izricanje iz članka 83. Opće uredbe i članka 44., 45. i 46. Zakona o provedbi Opće uredbe o zaštiti podataka.
Upravna novčana kazna zbog neoznačavanja objekta pod videonadzorom
Agencija za zaštitu osobnih podataka je po službenoj dužnosti, bez prethodne najave, provela izravan nadzor nad obradom i provođenjem zaštite osobnih podataka, prikupljanja i obrade osobnih podataka učinjenih videonadzornim sustavom te je utvrdila kako osiguravajuće društvo sa sjedištem u Zagrebu (daljnje u tekstu: društvo) nije označilo da su poslovni objekt (u kojem se provode tehnički pregledi i registracija vozila te ugovaraju usluge osiguranja) i vanjska površina poslovnog objekta pod videonadzorom. Time je voditelj obrade, odnosno osiguravajuće društvo postupilo protivno članku 27. stavku 1. Zakona o provedbi Opće uredbe o zaštiti podataka.
Upravna novčana kazna za neoznačavanje objekta pod videonadzorom izrečena je sukladno članku 51. stavku 1. alineji 1. Zakona o provedbi Opće uredbe o zaštiti podataka. To znači da se društvo može kazniti novčanom kaznom u iznosu od 50.000 kuna.
Agencija smatra da je upravo korektivna mjera u vidu upravne novčane kazne učinkovita, proporcionalna i odvraćajuća te u potpunosti primjerena okolnostima za obje izrečene kazne.