Upravna novčana kazna od 2.15 milijun kuna zbog nepoduzimanja odgovarajućih tehničkih i organizacijskih mjera.

Agencija za zaštitu osobnih podataka izrekla je upravnu novčanu kaznu u iznosu od 2,15 milijuna kuna voditelju obrade – pružatelju telekomunikacijskih usluga zbog nepoduzimanja odgovarajućih tehničkih i organizacijskih mjera sigurnosti obrade osobnih podataka, što je dovelo do neovlaštene obrade osobnih podataka cca 100.000 ispitanika, odnosno neovlaštenog pristupa osobnim podacima od strane napadača.

Voditelj obrade nije poduzeo potrebne mjere za postizanje odgovarajuće mjere sigurnosti sukladno postojećim predvidivim rizicima, čime je postupio protivno članku 25. stavku 1. te članku 32. stavku 1. točke b) i d) i stavku 2. Opće uredbe o zaštiti podataka.

Za predmetnu povredu, Agencija je saznala od strane voditelja obrade putem zaprimljenog Izvješća o povredi osobnih podataka, sukladno članku 33. stavku 1. Opće uredbe o zaštiti podataka.

Također, voditelj obrade izvijestio je i korisnike svojih usluga o predmetnom incidentu.

U predmetnom slučaju, utvrđeno je da voditelj obrade provodi određene organizacijske i tehničke mjere pri obradi osobnih podataka, ali u konkretnom slučaju one nisu bile dovoljne.

Naime, voditelj obrade učinio je višestruke propuste prilikom dizajniranja sustava obrade, uključivo, ograničavanje pristupa, nadzor, izvješćivanje, pravovremeno reagiranje i uključivanje odgovarajućih korektivnih akcija u sustavu te izvršavanje propisanih organizacijskih mjera sadržanih u postojećim internim aktima te konačno i izmjena istih sukladno utvrđenjima u predmetnoj povredi.

Za navedena kršenja, Opća uredba o zaštiti podataka propisuje izricanje upravne novčane kazne sukladno članku 83. stavku 4. točke a), odnosno upravne novčane kazne do 10 000 000 eura ili u slučaju poduzetnika do 2% ukupnog godišnjeg prometa na svjetskoj razini za prethodnu financijsku godinu, ovisno što je veće.

Isto tako, kao otegotnu okolnost Agencija nalazi u činjenici da je voditelj obrade jedno od vodećih društava pružatelja telekomunikacijskih usluga u Republici Hrvatskoj te je bilo za očekivati da će zbog velikog opsega osobnih podataka koje obrađuje primijeniti složenije organizacijske i tehničke mjere zaštite prije početka, kao i tijekom same obrade, uzimajući u obzir najnovija dostignuća, trošak provedbe te prirodu, opseg, kontekst i svrhe obrade, kao i rizike različitih razina vjerojatnosti i ozbiljnosti za prava i slobode pojedinaca koji proizlaze iz obrade podataka, a posebice nakon predmetne povrede, što je isto društvo propustilo učiniti.

Slijedom na utvrđene okolnosti, Agencija je sukladno svojim ovlastima iz članka 58. stavka 2. točke i Opće uredbe o zaštiti podataka izrekla upravnu novčanu kaznu, a sve u skladu s uvjetima za njezino izricanje iz članka 83. Opće uredbe i članka 44., 45. i 46. Zakona o provedbi Opće uredbe o zaštiti podataka.

Više o temi na:

https://azop.hr/izrecene-dvije-upravne-novcane-kazne-u-ukupnom-iznosu-218-milijuna-kuna/