Agencija za zaštitu osobnih podataka (AZOP) izdala je zbog kršenja odredbi Opće uredbe o zaštiti podataka-GDPR i zakona o provedbi te uredbe od 2020. do sada 32 upravne novčane kazne u ukupnom iznosu od 3.1 milijuna eura, od čega samo od početka godine 13 kazni u visini od 2.3 milijuna eura.
U tih 13 izrečenih kazni od početka ove godine uključena je i najnovija, izrečena agenciji za naplatu potraživanja B2 Kapitalu, u iznosu od 2.26 milijuna eura uslijed kršenja više odredbi Opće uredbe o zaštiti podataka, naveli su iz AZOP-a za Hinu.
Ta je kazna ujedno i najveća do sada izrečena za kršenje odredbi te uredbe u pet godina od početka njezine primjene.
EU iznova ističe važnost primjene uredbe o zaštiti podataka
Inače, pet godina primjene uredbe GDPR navršava se 25. svibnja 2023., a tim će se povodom u EU iznova promovirati i isticati važnost primjene te uredbe o zaštiti osobnih podataka.
"Agencija za zaštitu osobnih podataka-AZOP intenzivirala je nadzorne aktivnosti oko primjene uredbe, što je i rezultiralo do sada najvećim brojem izdanih upravnih novčanih kazni za kršenje zakonskih propisa o zaštiti osobnih podataka", poručio je vezano uz veći broju kazni ove godine ravnatelj AZOP-a Zdravko Vukić.
Te kazne su prihod državnog proračuna, a njihov se iznos određuje na temelju nadzora AZOP-a i ovisi o jačini kršenja uredbe.
Do 2023. najviši iznos kazni banci, teleoperatoru, trgovačkom lancu i energetskom društvu
Prvu novčanu kaznu AZOP je izrekao 2020., u visini od 146 tisuća eura, kako navode, "jednoj od kreditnih institucija sa sjedištem u Zagrebu, tj. banci", zbog povrede uredbe GDPR, odnosno zbog odbijanja dostave osobnih podataka ispitanicima/građanima/klijentima te banke.
Ispitanici/građani obratili su se AZOP-u oko toga u listopadu 2018. te intenzivno slali pritužbe, navodeći da im ta banka na njihove zahtjeve za dostavom podataka kontinuirano odbija dostavu njihovih osobnih podataka tj. dostavu kreditne dokumentacije koja se odnosi na sklopljene ugovore o kreditu u švicarskim francima (CHF) s predmetnom bankom.
Od ostalih kazni koje su za kršenje te uredbe izrekli do sada, iz AZOP-a izdvajaju neke od onih s najvišim novčanim iznosima, među kojima je i kazna od 285 tisuća eura jednom teleoperatoru izrečena u 2022.
Tog teleoperatora u odluci/rješenju o kazni iz AZOP-a nazivaju "jednim od vodećih društava pružatelja telekomunikacijskih usluga u Republici Hrvatskoj", smatrajući da je stoga bilo za očekivati da će zbog velikog opsega osobnih podataka koje obrađuje primijeniti složenije organizacijske i tehničke mjere zaštite prije početka i tijekom same obrade, uzimajući u obzir najnovija dostignuća kao i rizike različitih razina vjerojatnosti i ozbiljnosti za prava i slobode pojedinaca koji proizlaze iz obrade podataka.
Kako su to propustili učiniti, AZOP im je izrekao novčanu kaznu zbog nepoduzimanja odgovarajućih tehničkih i organizacijskih mjera sigurnosti obrade osobnih podataka, što je dovelo do neovlaštene obrade osobnih podataka oko 100 tisuća ispitanika/korisnika odnosno neovlaštenog pristupa osobnim podacima od strane napadača.
Za što su kažnjeni trgovačko i energetsko društvo?
U 2022. izrekli su kaznu i jednom društvu iz energetskog sektora u iznosu od gotovo 125 tisuća eura te jednom trgovačkom lancu u iznosu od 89.6 tisuća eura.
Kaznu energetskom društvu izrekli su zbog nedostavljanja snimki videonadzornih kamera (kopije osobnih podataka) na zahtjev ispitanika, čime su povrijedili uredbu GDPR. Radilo se o zahtjevu jednog građanina koji je od tog energetskog društva tražio dostavu snimki videonadzornih kamera na kojoj se on nalazi kada je koristio usluge benzinske postaje na jednoj od ispostava tog društva i bio je nezadovoljan mjerenjem potrošnje natočenog goriva na što je uložio i prigovor sukladno propisima o zaštiti potrošača.
Tražio je i kopije svojih osobnih podataka putem kopije snimke videonadzorne kamere točno precizirajući datum i vrijeme, što mu je energetsko društvo odbilo dati.
Trgovački lanac kaznu je od AZOP-a dobio, pak, zbog nepoduzimanja odgovarajućih mjera sigurnosti obrade osobnih podataka, što je dovelo do neovlaštene obrade osobnih podataka ispitanika njihovom javnom objavom na društvenim mrežama i u medijima.
Radnici tog trgovačkog lanca, kako su utvrdili nadzorom, neovlašteno su i protivno internim aktima i uputama mobitelom snimili snimku videonadzora te je neovlašteno distribuirana u javnost i snimka je dospjela na društvene mreže i u medije, a taj lanac nije poduzeo određene organizacijske mjere zaštite kao što su edukacija zaposlenika i druge.