Agencija za zaštitu osobnih podataka (AZOP) reagirala je na prijavu građana u vezi s rezervacijom smještaja u hotelu. Naime, hotel je od osobe kao potvrdu rezervacije tražio dostavu CVC broja kreditne kartice putem elektroničke pošte. Istovremeno, ispitanik u tom postupku nije dobio informaciju od hotela tko sve ima pristup njegovim osobnim podacima.

Nakon provedene istrage utvrđeno je sljedeće:

• Hotel je obrađivao osobne podatke gostiju u prekomjernom opsegu – povreda članka 6. stavka 1. GDPR-a,
• Hotel nije jasno i transparentno informirao ispitanike o obradi njihovih osobnih podataka – povreda članka 13. stavka 1. i 2. GDPR-a,
• Obrazac “Privola na korištenje osobnih podataka” koji je u službi obavijesti ne sadrži točne ni cjelovite informacije – povreda članka 13. stavka 1. i 2. GDPR-a,
• Nepoduzimanje odgovarajućih tehničkih i organizacijskih mjera zaštite osobnih podataka – povreda članka 32. stavka 1. točke a) i d) te stavka 4. GDPR-a,
• Postojanje sukoba interesa zbog imenovanja voditelja hotela za službenika za zaštitu podataka – povreda članka 38. stavka 6. GDPR-a.

Iz objave AZOP-a:

“U predmetnom slučaju, a uzimajući u obzir utvrđene povrede, Agencija se odlučila za izricanje upravne novčane kazne iz razloga postojanja visokog rizika za prava i slobode ispitanika, a koji je voditelj obrade bio dužan uzeti u obzir prije predmetne obrade osobnih podataka. […] Također, Agencija smatra da će izricanje kazne dovesti do toga da voditelj obrade pravovremeno i odgovarajuće ispunjava svoje obveze u području zaštite osobnih podataka.”

Ne znamo o kojem se hotelu ili hotelskom lancu radi, no nadamo se da će ova kazna uistinu postići željeni efekt.