Agencija za zaštitu osobnih podataka (AZOP) odredila je dvije novčane kazne ukupnog iznosa od 2,18 milijuna kuna zbog propusta u zaštiti osobnih podataka, a većina tog iznosa ili 2,15 milijuna kuna odnosi se na kaznu "voditelju obrade-pružatelju telekomunikacijskih usluga", doznaje se iz AZOP-a.
Ne navodeći o kojem se pružatelju telekomunikacijskih usluga radi, iz AZOP-a ističu da je određena zbog nepoduzimanja odgovarajućih tehničkih i organizacijskih mjera sigurnosti obrade osobnih podataka, što je dovelo do neovlaštene obrade osobnih podataka oko 100 tisuća ispitanika, odnosno neovlaštenog pristupa osobnim podacima od strane napadača.
Za povredu odredbe saznali od voditelja obrade
"Voditelj obrade nije poduzeo potrebne mjere za postizanje odgovarajuće mjere sigurnosti sukladno postojećim predvidivim rizicima, što je protivno Općoj odredbi o zaštiti podataka", kažu iz AZOP-a, dodajući da su za povredu odredbe saznali od voditelja obrade putem izvješća o povredi osobnih podataka, a voditelj obrade izvijestio je i korisnike usluga o tom incidentu.
Utvrdili su i da taj voditelj provodi određene organizacijske i tehničke mjere pri obradi osobnih podataka, ali u ovom slučaju nisu bile dovoljne, a voditelj obrade učinio je višestruke propuste prilikom dizajniranja sustava obrade, za što su predviđene upravne novčane kazne i do 10 milijuna eura, odnosno u slučaju poduzetnika do 2 posto ukupnog godišnjeg prometa na svjetskoj razini za prethodnu financijsku godinu, ovisi što je veće.
Kao otegotnu okolnost AZOP navodi i da je "voditelj obrade jedno od vodećih društava pružatelja telekomunikacijskih usluga u RH te je bilo za očekivati da će zbog velikog opsega osobnih podataka koje obrađuje primijeniti složenije organizacijske i tehničke mjere zaštite.
Obje se kazne uplaćuju u korist državnog proračuna
Druga kazna je znatno manjeg novčanog iznosa, od 30 tisuća kuna, a izrečena je zbog neoznačavanja objekta pod videonadzorom, što je AZOP utvrdio izravnim nenajavljenim nadzorom.
Utvrđeno je da voditelj obrade - prodajno-servisni centar automobila sa sjedištem u Zagrebu nije označio da su pojedine prostorije, kao i vanjske površine objekta pod videonadzorom, što je protivno Općoj uredbi o zaštiti podataka.
Iz AZOP-a još dodaju da se obje kazne uplaćuju u korist državnog proračuna. Ranije izrečene upravne novčane kazne ove godine, početkom ožujka, u ukupnom iznosu od 1,6 milijuna kuna odnosile su se na kaznu od 940 tisuća kuna društvu iz društvu iz energetskog sektora, dok je 675 tisuća kuna kazne određeno trgovačkom lancu.
Ni tada, kao ni danas, iz AZOP-a nisu naveli nazive društava koji su dobili kaznu, tumačeći to provedbom Zakona o provedbi Opće uredbe o zaštiti podataka.
