Upravna novčana kazna zbog nedostavljanja kopije osobnih podataka na zahtjev ispitanika
Agencija za zaštitu osobnih podataka izrekla je upravnu novčanu kaznu u iznosu od 940.000,00 kuna voditelju obrade odnosno društvu iz područja energetskog sektora (u daljnjem tekstu: Društvo) zbog nedostavljanja snimki videonadzornih kamera (kopije osobnih podataka) na zahtjev ispitanika, čime je došlo do povrede članka 15. stavka 3. Opće uredbe o zaštiti podataka.
Agencija je zaprimila zahtjev za utvrđivanje povrede prava na zaštitu osobnih podataka od ispitanika koji je od Društva zatražio dostavu snimki videonadzornih kamera na kojoj se nalazi podnositelj zahtjeva (ispitanik). Naime, podnositelj zahtjeva koristio je usluge benzinske postaje na jednoj od ispostava Društva te je zbog nezadovoljstva mjerenjem potrošnje natočenog goriva uložio prigovor sukladno propisima o zaštiti potrošača. Nakon toga je u svrhu bolje zaštite svojih potrošačkih prava, zatražio dostavu kopija svojih osobnih podataka putem kopije snimke videonadzorne kamere točno precizirajući datum i vrijeme. Takav zahtjev Društvo je odbilo iz razloga što je smatralo kako nije postojao pisani zahtjev nadležnih tijela za dostavom kopije snimke, kako svrha traženja nije bila opravdana te kako bi dobivanje takve kopije negativno utjecalo na prava i slobode zaposlenika benzinske postaje i kupaca koji su bili prisutni u tom trenutku. Podnositelj zahtjeva u svome obraćanju Društvu upozorio je na mogućnost obraćanja Agenciji u slučaju povrede njegovih prava na zaštitu osobnih podataka.
Nakon što je Agencija na prethodno traženje podnositelja zahtjeva dala načelno mišljenje o obvezi voditelja obrade osobnih podataka da ispitanicima dostave kopije traženih videonadzornih snimki na kojima se nalaze, Društvo je podnositelju zahtjeva odgovorilo da mu ne mogu dostaviti tražene snimke iz razloga što se arhiva snimki na prodajnom mjestu briše nakon sedam dana.
U predmetnom slučaju došlo je do kršenje prava na pristup osobnim podacima odnosno dobivanja kopije osobnih podataka podnositelja zahtjeva, kao jednog od temeljnih prava ispitanika, na način da mu je uskraćeno pravo na dobivanje kopije snimke videonadzorne kamere na kojoj se nalazio podnositelj zahtjeva koji je na prodajnom mjestu Društva točio gorivo, a za koje kršenje Opća uredba o zaštiti podataka propisuje izricanje upravne novčane kazna sukladno članku 83. stavku 5. točke b), odnosno upravne novčane kazne u iznosu do 20 000 000 eura ili u slučaju poduzetnika do 4% ukupnog godišnjeg prometa na svjetskoj razini za prethodnu financijsku godinu, ovisno što je veće.
U ovoj upravnoj stvari utvrđena je ne samo neizravna materijalna šteta po podnositelja zahtjeva, već i moguća financijska korist Društva, koje je nedostavljanjem snimke te njezinim kasnijim brisanjem nakon proteka roka od sedam dana neizravno izbjeglo financijsku štetu koju je moglo pretrpjeti uslijed potrošačkog spora s podnositeljem zahtjeva, a nedostavljanjem snimke je eliminiralo moguće važan dokaz u posebnom postupku. Pri tome naglašavamo kako Agencija nije ovlaštena utvrditi je li šteta zaista nastala te njezin iznos, međutim ako je pretrpljena šteta zbog kršenja Opće uredbe o zaštiti podataka ili ako postoji takva mogućnost, tada takvu činjenicu Agencija treba uzeti u obzir prilikom procjene visine iznosa upravne novčane kazne.
Upravna novčana kazna zbog nepoduzimanja odgovarajućih mjera sigurnosti obrade osobnih podataka
Agencija za zaštitu osobnih podataka izrekla je upravnu novčanu kaznu u iznosu od 675.000,00 kuna zbog nepoduzimanja odgovarajućih mjera sigurnosti obrade osobnih podataka od strane trgovačkog lanca (u daljnjem tekstu: Društvo) kao voditelja obrade, protivno članku 32. stavku 1. točke b) i d) te stavku 2. i 4. Opće uredbe o zaštiti podataka što je dovelo do neovlaštene obrade osobnih podataka ispitanika njihovom javnom objavom na društvenim mrežama i u medijima.
Agencija za zaštitu osobnih podataka zaprimila je od Društva Izvješće o povredi osobnih podataka ispitanika u kojemu se navodi da su radnici Društva neovlašteno i protivno internim aktima i uputama Društva, mobitelom snimili snimku videonadzora te je ista neovlašteno distribuirana u javnost, odnosno snimka je dospjela na društvene mreže i u medije te je ista ostala i dalje dostupna.
Utvrđeno je kako Društvo nije poduzelo adekvatne radnje kojima bi onemogućilo svojem zaposleniku stvaranje snimke videonadzornog monitora koristeći mobilni uređaj. Naime, Društvo je poduzelo određene organizacijske mjere zaštite kao što su edukacija zaposlenika, usvajanje internih akata kojima se propisuje ovlaštenje pristupa učinjenim video zapisima te potpisivanje izjave o povjerljivosti za zaposlenike, međutim nije poduzelo odgovarajuće organizacijske i tehničke mjere sigurnosti, niti prije niti nakon incidenta, a koje su mogle svesti rizik iste ili slične povrede na najmanju moguću razinu.
Isto tako, voditelj obrade nije redovito nadzirao provedbu tehničkih i organizacijskih mjera koje za cilj imaju osiguravanje povjerljivosti, integriteta i raspoloživosti osobnih podataka, odnosno propustio je redovno testirati, ocijeniti i utvrditi učinkovitost tehničkih i organizacijskih mjera predviđenih za osiguravanje sigurnosti obrade putem videonadzora.
U predmetnom slučaju došlo je do kršenja obveza voditelja obrade neprovođenjem odgovarajućih tehničkih mjera sigurnosti obrade osobnih podataka, a za koje kršenje Opća uredba o zaštiti podataka propisuje izricanje upravne novčane kazne sukladno članku 83. stavku 4. točke a), odnosno upravne novčane kazne do 10 000 000 eura ili u slučaju poduzetnika do 2% ukupnog godišnjeg prometa na svjetskoj razini za prethodnu financijsku godinu, ovisno što je veće.