Agencija za zaštitu osobnih podataka izrekla je ovoga tjedna dvije pozamašne upravne novčane kazne koje se tiču kršenja europske regulative GDPR, kod nas poznate kao Opća uredba o zaštiti podataka. Ukupni iznos izrečenih kazni je čak 1,6 milijuna kuna.

Slučaj prvi: nedostavljanje snimke

Prva kazna u visini je 940.000 kuna, a izrečena je voditelju obrade podataka, tj. trgovačkom društvu iz energetskog sektora u Republici Hrvatskoj. Kazna je izrečena zbog nedostavljanja kopije osobnih podataka na zahtjev ispitanika, a slučaj je tekao kako slijedi.

Jedan je potrošač koristio usluge benzinske postaje na jednoj od ispostava ove kompanije te je zbog nezadovoljstva mjerenjem potrošnje natočenog goriva uložio prigovor sukladno propisima o zaštiti potrošača. Nakon toga je u svrhu bolje zaštite svojih potrošačkih prava, zatražio dostavu kopija svojih osobnih podataka putem kopije snimke videonadzorne kamere, točno precizirajući datum i vrijeme. Takav mu je zahtjev kompanija odbila, navodeći da svrha traženja snimke nije opravdana. Osoba se potom obratila AZOP-u.

Nakon što je Agencija na prethodno traženje podnositelja zahtjeva dala načelno mišljenje o obvezi voditelja obrade osobnih podataka da ispitanicima dostave kopije traženih videonadzornih snimki na kojima se nalaze, Društvo je podnositelju zahtjeva odgovorilo da mu ne mogu dostaviti tražene snimke iz razloga što se arhiva snimki na prodajnom mjestu briše nakon sedam dana.

Slijedom toga, AZOP je presudio kako je korisniku uskraćeno pravo na dobivanje kopije snimke na kojoj se nalazi, pa je kompanija (vlasnik spomenute benzinske postaje) kažnjena prema GDPR-u. Visina kazne sukladna je odredbi o maksimalnoj kazni – do 20.000.000 eura ili do 4% ukupnog godišnjeg prometa na svjetskoj razini, ovisno što je veće.

Slučaj drugi: curenje snimke u javnost

Druga novčana kazna izrečena je zbog nepoduzimanja odgovarajućih mjera sigurnosti obrade osobnih podataka, a također se tiče videonadzora. Visina kazne je 657.000 kuna, a kažnjen je trgovački lanac kao voditelj obrade podataka.

U ovom slučaju AZOP je od same tvrtke dobio izvješće o povredi osobnih podataka. U njemu se navodi da su radnici tvrtke neovlašteno i protivno internim aktima i uputama, mobitelom snimili snimku videonadzora te je ista neovlašteno distribuirana u javnost, odnosno snimka je dospjela na društvene mreže i u medije te je ostala i dalje dostupna.

AZOP je utvrdio da tvrtka nije poduzela adekvatne radnje kojima bi onemogućila svojem zaposleniku snimanje videonadzornog monitora koristeći mobilni uređaj. Odgovarajuće organizacijske i tehničke mjere sigurnosti, koje su mogle svesti rizik na najmanju moguću razinu, nisu uvedene niti prije niti nakon ovog incidenta. Tvrtka je u konačnici kažnjena prema najvišoj kazni zapriječenoj za ovakav prekršaj – do 10.000.000 eura ili do 2% ukupnog godišnjeg prometa na svjetskoj razini, ovisno što je veće.

Ovo nije prvi slučaj da je neka tvrtka kažnjena zbog curenja video snimke s nadzorne kamere u javnost – sličan slučaj imali smo i prošle godine, kada je AZOP izrekao novčanu kaznu u iznosu od pola milijuna kuna.

Agencija smatra da su upravo korektivne mjere u vidu upravne novčane kazne učinkovite, proporcionalne i odvraćajuće te da je iznos u potpunosti primjeren okolnostima oba slučaja, objavio je AZOP.