Agencija za nekretnine kažnjena sa 100.000 eura po GDPR-u zbog nemarnog postupanja s podacima
Agencija za zaštitu osobnih podataka sankcionirala je domaću agenciju zbog nezakonitog čuvanja podataka gotovo 12 tisuća klijenata i neovlaštenog prikupljanja preslika osobnih isprava
Nova kazna sukladno europskoj Općoj uredbi o zaštiti podataka (GDPR) objavljena je iz AZOP-a. Agencija za zaštitu osobnih podataka izrekla je upravnu novčanu kaznu u iznosu od 100.000 eura agenciji za nekretnine zbog niza kršenja propisa. Nadzornim postupkom utvrđeno je da je ta tvrtka, u svojstvu voditelja obrade, postupala protivno načelima ograničenja pohrane i zakonitosti obrade osobnih podataka klijenata te da nije provela odgovarajuće tehničke i organizacijske mjere zaštite.
Neodgovorno s podacima
Ključni propust odnosi se na čuvanje osobnih podataka 11.887 klijenata nakon što je svrha obrade odavno ispunjena. U pisanoj arhivi pronađeni su ugovori o posredovanju i posrednički listovi datirani od rujna 2010. do kraja 2011. godine. Prema odredbama GDPR-a, podaci se smiju čuvati samo onoliko dugo koliko je potrebno za svrhu u koju se obrađuju, što u ovom slučaju nije poštovano.
Osim prekomjernog trajanja pohrane, utvrđeno je da je agencija bez pravne osnove prikupljala i čuvala preslike osobnih dokumenata. Među arhiviranom građom pronađeno je 914 preslika, uključujući 898 osobnih iskaznica, putovnice, vozačke dozvole, pa čak i presliku zdravstvene iskaznice te osobne iskaznice malodobnog djeteta. Posebno su sporni nalazi tri preslike bankovnih kartica klijenata.
Propusti u edukaciji
Iako je direktor društva tijekom nadzora tvrdio kako se preslike bankovnih kartica ne prikupljaju, dokumentacija u arhivi izravno je demantirala te navode. Ovakva praksa, prema ocjeni AZOP-a, predstavlja visok rizik za prava i slobode ispitanika, a njezino provođenje ukazuje na ozbiljan nedostatak nadzora nad procesima obrade unutar same agencije.
Istraga je pokazala i značajne manjkavosti u organizacijskom segmentu zaštite podataka. Utvrđeno je da voditelj obrade nije osigurao adekvatnu edukaciju niti nadzor nad zaposlenicima koji imaju pristup osobnim podacima. Edukacije o zaštiti privatnosti provodile su se neredovito i u nedovoljnom opsegu, što je dovelo do toga da zaposlenici nisu postupali u skladu s obvezama iz Opće uredbe. Iako je u ovom slučaju utvrđeno da je neusklađenost rezultat nemarnog postupanja te nije zabilježena izravna šteta po ispitanike, iz AZOP-a kažu da visina kazne odražava ozbiljnost utvrđenih povreda.
