Agencija za zaštitu osobnih podataka je zaprimila zahtjev za utvrđivanje povrede prava u kojemu podnositelj zahtjeva navodi kako se njegov OIB koristi na računu za  pružanje usluga komunalnog društva bez da je isti zaštićen, odnosno da se račun za pružene usluge predmetnog društva dostavlja bez kuverte.

U provedenom upravnom postupku utvrđeno je kako komunalno društvo, kao voditelj obrade osobnih podataka, nije poduzimalo odgovarajuće tehničke mjere zaštite osobnih podataka podnositelja zahtjeva iz razloga što na adekvatan način nije pakiralo pismeno, odnosno nije kuvertiralo račune za svoje pružene usluge koji sadrže osobne podatke podnositelja zahtjeva, a čime su povrijeđene odredbe članka 25. i 32. Opće uredbe o zaštiti podataka.

Slijedom navedenog, Agencija je stava kako je komunalno društvo, kao voditelj obrade bilo dužno sukladno Općoj uredbi o zaštiti podataka, poduzimati i provoditi odgovarajuće tehničke mjere zaštite osobnih podataka koje prije svega imaju za cilj osigurati sigurnost i povjerljivost obrade osobnih podataka odnosno spriječiti neovlašteni pristup ili neovlašteno raspolaganje osobnim podacima korisnika svojih usluga.

Dakle, provođenjem odgovarajućih mjera zaštite osigurava se da osobni podaci nisu automatski dostupni neograničenom broju osoba.

Također, komunalno društvo, kao voditelj obrade bilo je dužno, u vrijeme određivanja sredstava obrade i u vrijeme same obrade, da ovisno o prirodi/naravi, opsegu i svrsi obrade osobnih podataka odredi mjere zaštite koje jamče sigurnu, poštenu i zakonitu obradu osobnih podataka te učinkovitu primjenu načela zaštite podataka, a što predmetno društvo u konkretnom slučaju nije učinilo.

Sukladno navedenom, a imajući u vidu odredbe Opće uredbe o zaštiti podataka, komunalno društvo, kao voditelj obrade je bilo dužno voditi računa da pismena, odnosno računi koje isporučuje korisnicima svojih usluga, trebaju na prikladan način biti pakirani i to tako da sadržaj pismena bude na odgovarajući način zaštićen.

Naime, prijenosom uključivo i stavljanjem pismena u poštanski sandučić bez odgovarajuće zaštite - račun bez omotnice/kuverte, a koji sadrži određeni opseg osobnih podataka u vidu primjerice imena, prezimena, adrese stanovanja, OIB, dolazi do opasnosti od zloupotrebe osobnih podataka korisnika usluga, budući da dostavljanjem na neadekvatan način osobni podaci postaju dostupni za to neovlaštenim osobama, odnosno svim osobama koje imaju fizički pristup takvoj pošiljci, od njezinog slanja do preuzimanja od strane primatelja.

Stoga, imajući u vidu odredbe propisa kojima je regulirana zaštita osobnih podataka, Agencija navodi kako je obavještavanje korisnika - slanje računa, u konkretnom slučaju, moguće postići, po privatnost i osobne podatke manje rizičnom metodom, kojom bi komunalno društvo, kao voditelj obrade ispunilo svoje zakonske obveze, a s druge strane bi se na taj način poduzele mjere u svrhu zaštite osobnih podataka fizičkih osoba/korisnika usluga.

 

Više o slučaju u Godišnjem izvješću o radu AZOP-a za 2023. godinu:

https://azop.hr/wp-content/uploads/2024/11/Godisnje-izvjesce-AZOP-2023.-AZOP.pdf

Image from FreePik

#gdprcroatia