Agencija za zaštitu osobnih podataka (AZOP) izrekla je još jednu izrazito visoku kaznu. Upravnom novčanom kaznom od 2,15 milijuna kuna kažnjen je pružatelj telekomunikacijskih usluga.
Zbog nepoduzimanja odgovarajućih tehničkih i organizacijskih mjera sigurnosti obrade osobnih podataka, zlonamjerni napadač ostvario je neovlašten pristup osobnim podacima oko 100 tisuća ispitanika. Agencija je utvrdila da je telekom u prekršaju prema članku 25. stavak 1. i članku 32. stavku 1. (točke b i d) i stavku 2.
U nastavku prenosimo objavu AZOP-a:
Za predmetnu povredu, Agencija je saznala od strane voditelja obrade putem zaprimljenog Izvješća o povredi osobnih podataka, sukladno članku 33. stavku 1. Opće uredbe o zaštiti podataka. Također, voditelj obrade izvijestio je i korisnike svojih usluga o predmetnom incidentu.
U predmetnom slučaju, utvrđeno je da voditelj obrade provodi određene organizacijske i tehničke mjere pri obradi osobnih podataka, ali u konkretnom slučaju one nisu bile dovoljne. Naime, voditelj obrade učinio je višestruke propuste prilikom dizajniranja sustava obrade, uključivo, ograničavanje pristupa, nadzor, izvješćivanje, pravovremeno reagiranje i uključivanje odgovarajućih korektivnih akcija u sustavu te izvršavanje propisanih organizacijskih mjera sadržanih u postojećim internim aktima te konačno i izmjena istih sukladno utvrđenjima u predmetnoj povredi. Za navedena kršenja, Opća uredba o zaštiti podataka propisuje izricanje upravne novčane kazne sukladno članku 83. stavku 4. točke a), odnosno upravne novčane kazne do 10 000 000 eura ili u slučaju poduzetnika do 2% ukupnog godišnjeg prometa na svjetskoj razini za prethodnu financijsku godinu, ovisno što je veće.
Isto tako, kao otegotnu okolnost Agencija nalazi u činjenici da je voditelj obrade jedno od vodećih društava pružatelja telekomunikacijskih usluga u Republici Hrvatskoj te je bilo za očekivati da će zbog velikog opsega osobnih podataka koje obrađuje primijeniti složenije organizacijske i tehničke mjere zaštite prije početka, kao i tijekom same obrade, uzimajući u obzir najnovija dostignuća, trošak provedbe te prirodu, opseg, kontekst i svrhe obrade, kao i rizike različitih razina vjerojatnosti i ozbiljnosti za prava i slobode pojedinaca koji proizlaze iz obrade podataka, a posebice nakon predmetne povrede, što je isto društvo propustilo učiniti.
Slijedom na utvrđene okolnosti, Agencija je sukladno svojim ovlastima iz članka 58. stavka 2. točke i Opće uredbe o zaštiti podataka izrekla upravnu novčanu kaznu, a sve u skladu s uvjetima za njezino izricanje iz članka 83. Opće uredbe i članka 44., 45. i 46. Zakona o provedbi Opće uredbe o zaštiti podataka.
Istovremeno, AZOP je u drugom slučaju i bez prethodne najave kaznio voditelja obrade u iznosu 30 tisuća kuna zbog nepostavljanja obavijesti o videonadzoru, što je protivno članku 27. stavku 1. Zakona o provedbi Opće uredbe o zaštiti podataka.
Izvor: azop.hr