AGENCIJA za zaštitu osobnih podataka (AZOP) odredila je dvije novčane kazne ukupnog iznosa od 2.18 milijuna kuna zbog propusta u zaštiti osobnih podataka, a većina tog iznosa ili 2.15 milijuna kuna odnosi se na kaznu "voditelju obrade-pružatelju telekomunikacijskih usluga", doznaje se iz AZOP-a.
Ne navodeći o kojem se pružatelju telekomunikacijskih usluga radi, iz AZOP-a ističu da je kazna određena zbog nepoduzimanja odgovarajućih tehničkih i organizacijskih mjera sigurnosti obrade osobnih podataka, što je dovelo do neovlaštene obrade osobnih podataka oko 100 tisuća ispitanika, odnosno neovlaštenog pristupa osobnim podacima od strane napadača.
"Nisu poduzete odgovarajuće mjere sigurnosti"
"Voditelj obrade nije poduzeo potrebne mjere za postizanje odgovarajuće mjere sigurnosti sukladno postojećim predvidivim rizicima, što je protivno Općoj odredbi o zaštiti podataka", kažu iz AZOP-a dodajući da su za povredu odredbe saznali od voditelja obrade putem izvješća o povredi osobnih podataka, a voditelj obrade izvijestio je i korisnike usluga o tom incidentu.
Utvrdili su i da taj voditelj provodi određene organizacijske i tehničke mjere pri obradi osobnih podataka, ali u ovom slučaju nisu bile dovoljne, a voditelj obrade učinio je višestruke propuste prilikom dizajniranja sustava obrade, za što su predviđene upravne novčane kazne i do 10 milijuna eura, odnosno u slučaju poduzetnika do 2 posto ukupnog godišnjeg prometa na svjetskoj razini za prethodnu financijsku godinu, ovisi što je veće.
Kao otegotnu okolnost AZOP navodi i da je voditelj obrade jedno od vodećih društava pružatelja telekomunikacijskih usluga u RH te je bilo za očekivati da će zbog velikog opsega osobnih podataka koje obrađuje primijeniti složenije organizacijske i tehničke mjere zaštite.
Druga kazna znatno manja
Druga kazna je znatno manjeg novčanog iznosa, od 30 tisuća kuna, a izrečena je zbog neoznačavanja objekta pod videonadzorom, što je AZOP utvrdio izravnim nenajavljenim nadzorom.
Utvrđeno je da voditelj obrade - prodajno-servisni centar automobila sa sjedištem u Zagrebu - nije označio da su pojedine prostorije, kao i vanjske površine objekta pod videonadzorom, što je protivno Općoj uredbi o zaštiti podataka.
Iz AZOP-a još dodaju da se obje kazne uplaćuju u korist državnog proračuna. Ranije izrečene upravne novčane kazne ove godine, početkom ožujka, u ukupnom iznosu od 1.6 milijuna kuna odnosile su se na kaznu od 940 tisuća kuna društvu iz energetskog sektora, dok je 675 tisuća kuna kazne određeno trgovačkom lancu.
Ni tada, kao ni danas, iz AZOP-a nisu naveli nazive društava koja su dobila kaznu tumačeći to provedbom Zakona o provedbi Opće uredbe o zaštiti podataka.