Ukupan broj nadzora/nadzornih aktivnosti u 2022. iznosi 1140, od toga je po službenoj dužnosti bilo provedeno 641 nadzora/nadzornih aktivnosti i po zahtjevima ispitanika 499 nadzora/nadzornih aktivnosti. Najveći broj nazora bio je vezan za videonadzor (469) pri čemu je najveći broj incidenata (31) bio zabilježen kod banaka.
Uzroci nastupa povreda osobnih podataka su:
- Dostava osobnih podataka neovlaštenim osobama (putem e-pošte ili pošte) – 37 povreda
- Maliciozni softver ("ransomware" i dr.) – kriptiranje podataka (i dr.) – 32 povrede
- Neovlaštena obrada osobnih podataka – 10 povreda
- Greška u softveru - dostupnost osobnih podataka neovlaštenim osobama – 7 povreda
AZOP je u 2022. godini proveo sveukupno 317 upravnih postupaka pokrenutih po zahtjevu stranaka i po službenoj dužnosti. Navedeni broj zahtjeva odnosi se na podnesene zahtjeve tijekom 2022. godine, kao i na postupke koji su u radu iz prethodnog izvještajnog razdoblja. Važno je naglasiti da Opća uredba o zaštiti podataka propisuje duže vremensko razdoblje (tri mjeseca) za vođenje takvih postupaka u odnosu na nacionalni procesni zakon.
Najviše postupaka je bilo pokrenuto vezano za videonadzor (207), slijede postupci vezani za telekomunikacije (43), Internet/medije/društvene mreže (19), radne odnose (17), financije (7), međuvlasničke odnose (5), javnu upravu (5), obrazovanje (4), zdravstvo, marketing i ostalo.
O povredi prava Agencija odlučuje rješenjem, a koje je upravni akt protiv kojeg žalba nije dopuštena, ali je moguće pokrenuti upravni spor pred nadležnim upravnim sudom. Plaćanje izrečene kazne se odgađa do pravomoćnosti presude upravnog spora ukoliko je pokrenut.
U 2022. godini izrečeno je 257 korektivnih mjera koje imaju za cilj ispravljanje utvrđenih nepravilnosti što je povećanje od 117,80% u odnosu na 2021. kad je izrečeno 118 korektivnih mjera. Izrečene korektivne mjere odnosile su se na: izdavanje naloga voditeljima obrade za usklađivanje postupanja sa Općom uredbom o zaštiti podataka; izdavanje naloga za omogućavanjem ostvarivanja prava ispitanika zajamčenih Općom uredbom o zaštiti podataka u propisanom roku u sažetom, transparentnom i lako dostupnom obliku; zabranu daljnje obrade osobnih podataka bez pravnog temelja; naloga za brisanje osobnih podataka objavljenih bez pravne osnove; naloga za poduzimanjem odgovarajućih tehničkih i organizacijskih mjera zaštite koje su primjerene/adekvatne određenim postupcima obrade. U postupcima u kojima su utvrđene teže povrede prava (primjerice kod obrade osobnih podataka djece ili obrade osobnih podataka bez postojanja pravnog temelja) osim korektivnih mjera u vidu naloga za zakonitim postupanjem izrečena je i korektivna mjera službene opomene kao dodatno upozorenje o težim povredama prava.
Upravne novčane kazne jedna su od korektivnih mjera koje se mogu izreći uz neku drugu korektivnu mjeru ili umjesto neke od drugih korektivnih mjera. U 2022. godini Agencija je izrekla 14 upravnih novčanih kazni što je povećanje od 250% u odnosu na 2021. godinu kad je izrečeno ukupno 4 novčane kazne. Kazne su izrečene u ukupnom iznosu od 528.369,50 eura.
Diskrecijsko je pravo nadzornog tijela da uzimajući u obzir sve parametre iz članka 83. Opće uredbe o zaštiti podataka odluči o izricanju upravne novčane kazne, kao i o njezinom iznosu.
Najveća kazna iznosila 285.354,04 EUR pružatelju telekomunikacijskih usluga zbog nepoduzimanja odgovarajućih tehničkih i organizacijskih mjera sigurnosti obrade osobnih podataka što je dovelo do neovlaštene obrade osobnih podataka cca 100.000 ispitanika. Za navedena kršenja, Opća uredba o zaštiti podataka propisuje izricanje upravne novčane kazne do 10 000 000 eura ili u slučaju poduzetnika do 2% ukupnog godišnjeg prometa na svjetskoj razini za prethodnu financijsku godinu, ovisno što je veće. Otegotnu okolnost Agencija nalazi u činjenici da je voditelj obrade jedno od vodećih društava pružatelja telekomunikacijskih usluga u Republici Hrvatskoj te je bilo za očekivati da će zbog velikog opsega osobnih podataka koje obrađuje primijeniti složenije organizacijske i tehničke mjere zaštite prije početka, kao i tijekom same obrade, uzimajući u obzir najnovija dostignuća, trošak provedbe te prirodu, opseg, kontekst i svrhe obrade, kao i rizike različitih razina vjerojatnosti i ozbiljnosti za prava i slobode pojedinaca koji proizlaze iz obrade podataka, a posebice nakon predmetne povrede, što je isto društvo propustilo učiniti.
Kaznu od 124.759,44 eura Agencija je izrekla voditelju obrade-društvu iz područja energetskog sektora zbog nedostavljanja snimki videonadzornih kamera (kopije osobnih podataka) na zahtjev ispitanika. U predmetnom slučaju došlo je do kršenja prava na pristup osobnim podacima kao jednog od temeljnih prava ispitanika, na način da mu je uskraćeno pravo na dobivanje kopije snimke videonadzorne kamere na kojoj se nalazio podnositelj zahtjeva koji je na prodajnom mjestu voditelja obrade točio gorivo, a za koje je propisano izricanje upravne novčane kazne u iznosu do 20 000 000 eura ili u slučaju poduzetnika do 4% ukupnog godišnjeg prometa na svjetskoj razini za prethodnu financijsku godinu, ovisno što je veće. Utvrđena je ne samo neizravna materijalna šteta podnositelja zahtjeva, već i moguća financijska korist voditelja obrade, koji je nedostavljanjem snimke te njezinim kasnijim brisanjem nakon proteka roka od sedam dana neizravno izbjegao financijsku štetu koju je mogao pretrpjeti uslijed potrošačkog spora s podnositeljem zahtjeva, a nedostavljanjem snimke je eliminirao moguće važan dokaz u posebnom postupku.
Zbog nepoduzimanja odgovarajućih mjera sigurnosti obrade osobnih podataka Agencija je izrekla upravnu novčanu kaznu trgovačkom lancu kao voditelju obrade u iznosu od 89.587,89 eura. Radnici voditelja obrade su neovlašteno i protivno internim aktima i uputama voditelja obrade, mobitelom snimili snimku videonadzora te je ista neovlašteno distribuirana u javnost, odnosno snimka je dospjela na društvene mreže i u medije te je ista ostala i dalje dostupna. Trgovački lanac nije poduzeo adekvatne radnje kojima bi onemogućio svojem zaposleniku stvaranje snimke na način da nije educirao zaposlenike te je propustio usvojiti interni akt kojim se propisuje ovlaštenje pristupa, nije omogućio potpisivanje izjave o povjerljivosti za zaposlenike, te nije poduzeo odgovarajuće organizacijske i tehničke mjere sigurnosti, niti prije niti nakon incidenta, a koje su mogle svesti rizik iste ili slične povrede na najmanju moguću razinu.
Izrečene su dvije upravne novčane kazne u vrijednosti 7.556,17 eura zbog neoznačavanja da je objekt pod videonadzorom.
Devet upravnih novčanih kazni u iznosu od 21.077,75 eura je izrečeno zbog oznake koja nije sadržavala sve relevantne informacije koje je potrebno pružiti ispitaniku.
