Iščitavajući zadnje objavljena pravomoćna rješenja AZOP-a, odnosno, ona za koje su odbačene tužbe nadležnim sudovima, osim što su zaista zanimljiva za pročitati i naučiti nešto iz njih, djelomično i otkrivaju o kojim se kažnjenim pravnim subjektima radi, od poznatih banaka i kladionica do bolnica.

Nadzorne aktivnosti AZOP-a najčešće se pokreću na temelju predstavki građana koji sumnjaju u povrede svojih prava u zaštiti osobnih podataka ili uslijed medijskih izvještaja o sigurnosnim incidentima.

Čest povod je i neispunjavanje prava ispitanika na pristup njihovim podacima, što AZOP koristi kao polaznu točku za šira istraživanja zakonitosti obrade.

AZOP također postupa po službenoj dužnosti kada zaprimi službena izvješća o povredama podataka od samih voditelja obrade, sukladno svojim obvezama.

Metodologija AZOP-a uključuje kombinaciju pisanih zahtjeva za očitovanjem i izravnih, često nenajavljenih nadzora u sjedištima poslovnih subjekata.

Tijekom nadzora Agencija pokazuje iznimnu pedantnost i detaljiziranost jer njezini službenici izravno provjeravaju SQL baze podataka, snimaju zaslone radi dokumentiranja nepravilnosti i provode testiranja funkcionalnosti aplikacija uživo. Detaljno se analiziraju i jezične formulacije u komunikaciji s korisnicima, poput najava o snimanju telefonskih razgovora u pozivnim centrima, kako bi se osigurala potpuna transparentnost.

I mi smo pisali više puta o temi zašto brojni poslovni subjekti neopravdano prije početka snimanja telefonskih razgovora stavljaju poruke: „Ovaj poziv se može snimati“ umjesto „Ovaj poziv se snima.“

AZOP je izrazito zahtjevan po pitanju tehničkih i organizacijskih sigurnosnih mjera koje smatra temeljem zaštite podataka, što je sasvim opravdano, i naš savjet je da odmah odustanemo od bilo kakve ideje da bismo AZOP-u nešto prikazali drugačijim nego zaista jest. Vjerojatno ih svaki dan neki pravni subjekt pokušava „zamuljati“ i zasigurno već znaju sve trikove.

Posebno se strogo sankcionira korištenje zastarjelih operativnih sustava bez podrške proizvođača, nedostatak enkripcije te korištenje slabih lozinki od samo nekoliko znakova. AZOP sustavno odbija argumente subjekata o previsokim troškovima implementacije kada su u pitanju sigurnosne kopije, tretirajući ih kao bazičnu mjeru koja se ne smije izostaviti. Također se inzistira na uvođenju dvo-faktorske autentifikacije kod udaljenih pristupa sustavima.

Prilikom izricanja kazni AZOP pazi da one imaju stvaran financijski utjecaj na voditelja obrade kako bi se postigao učinak odvraćanja. Kazne dosežu određen postotak ukupnog godišnjeg prihoda, ovisno o prirodi kršenja GDPR-a, suradnji s AZOP-om, učinjenoj stvarnoj šteti na ispitanike, ponavljajućoj kazni za nekog poslovnog subjekta, opsegu i trajanju kršenja pravila kao i o postojanju namjere ili propusta.

Pravomoćna rješenja AZOP-a možemo pronaći ovdje:

https://azop.hr/rjesenja/ pod „UPRAVNE NOVČANE KAZNE.“

#gdprcroatia