Agencija za zaštitu osobnih podataka (AZOP) izrekla je još jednu upravnu novčanu kaznu. Ovaj put u pitanju je zagrebačko poduzeće Zagrebački holding d.o.o. Kazna od 25.000,00 eura je izrečena zbog povreda odredbi Opće uredbe o zaštiti podataka (GDPR) u postupku udaljene identifikacije korisnika.

AZOP je reagirao po zaprimljenoj prijavi ispitanika koji se požalio na postupak identifikacije kod javljanja putem elektroničke pošte. Ispitanik je tražio dostavu prijepisa računa putem elektroničke pošte, za što je upućen da prvo dostavi presliku osobne iskaznice. Nadzorom AZOP-a utvrđeno je da voditelj obrade nema propisana pravila za identifikaciju korisnika koji traži dostavu preslike računa putem elektroničke pošte. Utvrđeno je i da postupak nije jednak za sve. Naime, od građana čija adresa elektroničke pošte je u obliku iz kojeg je jasno ime i prezime pošiljatelja nije tražena dostava preslike osobne iskaznice, nego samo od onih koji se javljaju s adrese čiji oblik ne otkriva ime i prezime. Na kraju, nadzor je pokazao da voditelj obrade nije na odgovarajući način ispunio obvezu informiranja ispitanika o pravnoj osnovi obrade i razdoblju pohrane osobnih podataka.

Europski odbor za zaštitu podataka (EDPB) je još 2022. godine u svojim smjernicama o pravu na pristup u točki 73. pojasnio da traženje kopije identifikacijskog dokumenta u svrhu identifikacije ispitanika nije primjereno, osim iznimno ako je to nužno i u skladu s nacionalnim zakonodavstvom. Iako se u slučaju Zagrebačkog holdinga ne radi o identifikaciji ispitanika u postupku zahtjeva za ispunjavanjem prava na zaštitu osobnih podataka, jasno je da bi ista uputa bila primjenjiva i u tom slučaju.

U današnjoj objavi na AZOP-ovim službenim stranicama slučaj je detaljnije objašnjen. U suštini, zbog povrede GDPR-a u člancima 13. st. 1. (c), 13. st. 2. (a) i (e), te 25. st. 2. izrečena je kazna u iznosu od 25.000,00 eura.