Domaća kladionica prikupljala podatke s kartica e-mailom, pa skupila – kaznu od 380.000 eura
Agencija za zaštitu osobnih podatka izrekla je upravnu novčanu kaznu jednoj sportskoj kladionici, u iznosu od 380.000 eura, i to zbog kršenja odredbi GDPR-a u pogledu zaštite privatnih podataka
Agencija za zaštitu osobnih podatka (AZOP) izrekla je još jednu kaznu zbog nepropisnog postupanja s osobnim podacima u smislu Opće uredbe o zaštiti podataka (GDPR). Ovoga puta kažnjena je jedna kladionica, koja posluje na području Hrvatske, a upravna novčana kazna iznosi 380.000 eura. Vrlo zanimljivo je i objašnjenje AZOP-a, koje razotkriva nemaran odnos ove kompanije prema privatnosti i internetskoj sigurnosti.
Sporne slike bankovnih kartica
Agencija je, kažu, zaprimila podnesak građanina o prikupljanju obostrane preslike bankovne kartice putem elektroničke pošte, od strane navedene kompanije. Nakon toga pokrenuta je istraga zbog visokog rizika za prava i slobode korisnika usluge. Ona je pokazala kako je voditelj obrade od lipnja do prosinca 2022. godine igračima pružao dodatnu uslugu isplate premije dobitnicima na VISA karticu, pri čemu su prikupljali podatke s tih kartica, a to su činili tako što su od korisnika tražili da im preslike obje strane bankovne kartice pošalju e-mailom.
Kladionica je, dakle, nezakonito obrađivala preslike bankovnih kartica i to primjenom neadekvatnih sredstava obrade te je iste pohranila bez primjene odgovarajućih tehničkih i organizacijskih mjera (tj. bez enkripcije), zaključuje AZOP. K tome, korisnici nisu bili obaviješteni o obradi podataka na adekvatan način, kako to propisuje GDPR.
Neovlašteni pristup
U njihovoj Izjavi o mjerama zaštite osobnih podataka, koja čini dio Politike privatnosti, izričito je bilo navedeno kako voditelj obrade ne pohranjuje brojeve bankovnih kartica te da brojevi nisu dostupni neovlaštenim osobama. Međutim, istraga je pokazala da su njihovi zaposlenici u razdoblju od lipnja do prosinca 2022. imali su pristup do 655 preslika bankovnih kartica, na kojima je bio vidljiv pun opseg podataka, od ukupno prikupljenih 2078 preslika bankovnih kartica.
Takva obrada rezultirala je visokorizičnom povredom trećine ukupno obrađenih podataka, a pri čemu ispitanici nisu bili ni svjesni da se ti podaci pohranjuju u bazama podataka, kaže AZOP u svojoj odluci o kazni i ističe da se financijski podaci smatraju osjetljivom kategorijom osobnih podataka.
Olakotne okolnosti
Kao olakotna okolnost uzeta je činjenica da je voditelj obrade pokazao stupanj odgovornosti nakon provedenog nadzora – na svoju inicijativu obavijestio je Agenciju o načinu na koji planira uskladiti obradu s odredbama Opće uredbe o zaštiti podataka. Izvršio je dodatna ulaganja u procese plaćanja na način da je sustav unaprijeđen i da se više ne traži dostava preslike bankovne kartice te kako su obrisane sve pohranjene preslike bankovnih kartice. Također, voditelj obrade naveo je kako je unaprijedio poslovne procese nadzora nad obradom osobnih podataka te educirao zaposlenike – pa je stoga i određena kazna vjerojatno nešto niža.
