Tvrtka u Španjolskoj organizira javne evente i koncerte.

Kao organizator javnih događanja imali su staru zakonsku obvezu provjeriti dob maloljetnih posjetitelja i provjeriti jesu li u pratnji punoljetne osobe.

I u slučaju kupnje karata za maloljetne posjetitelje na ulazu tražili su kopiju osobne iskaznice roditelja i maloljetnog djeteta.

Slučaj je završio na španjolskom nadzornom tijelu po prijavi jednog od nezadovoljnih roditelja.

Nadzorno tijelo je odmah utvrdilo da se ovdje radi o kršenju GDPR-a, dodat ćemo, članka 5. GDPR-a i temeljnog načela ograničenja količine podataka.

Kopija osobne iskaznice sadrži daleko više osobnih podataka u odnosu na ono što je nužno za svrhe organizatora eventa.

No, pri tom, organizator eventa nije izradio niti objavio nikakve obavijesti ili pravila postupanja s osobnim podacima, već su jednostavno primijenili rutinu iz davnih godina. Nisu se ni potrudili u ovih zadnjih niz godina proučiti nove propise i GDPR. Na kraju ih je to koštalo 12.000 EUR kazne.

Jednostavno su nastavili raditi tako kako su oduvijek radili.

Nije tajna da prečesto nailazimo kod nas „tako smo oduvijek radili“ slučajeve.

Više o slučaju:

https://gdprhub.eu/index.php?title=AEPD_(Spain)_-_EXP202310910&mtc=today

Image from FreePik

#gdprcroatia