Ovoga tjedna stiže informacija o dvije nove kazne zbog kršenja propisa Opće uredbe o zaštiti podataka (GDPR), a obje se tiču nezakonite obrade osobnih podataka pomoću internetskih kolačića (cookieja). Agencija za zaštitu osobnih podataka (AZOP) izrekla je te dvije upravne novčane kazne voditeljima obrade, trgovačkim društvima za djelatnosti kockanja i klađenja u iznosu od 20.000 i 30.000 eura, zbog tri utvrđene povrede Opće uredbe o zaštiti podataka, slične u oba slučaja.

Sporni kolačići

Voditelji obrade prikupljali su i obrađivali osobne podatke ispitanika, odnosno posjetitelja internetske stranice, putem kolačića bez pravne osnove, kažu iz Agencije. Naime, kako bi obrada osobnih podataka bila zakonita potrebno je postojanje najmanje jedne od pravnih osnova, opisanih u članku 6. stavku 1 Opće uredbe o zaštiti podataka. U konkretnom slučaju kažnjene tvrtke nisu dokazale postojanje te pravne osnove.

Isto tako, nisu na odgovarajući način dali informacije posjetiteljima svojih web stranica, odnosno omogućili im da dostatno informirano, tj. dobrovoljno daju i/ili povuku privolu za prikupljanje podataka putem kolačića. Treći razlog za kaznu je što iste tvrtke nisu na adekvatan način, transparentno obavijestile posjetitelje internetskih stranica o obradi njihovih osobnih podataka.

Kazna i Zagrebačkom holdingu

Istodobno iz AZOP-a obavještavaju i o još jednoj kazni, koja je izrečena Zagrebačkom holdingu. Ova je kompanija prekršila odredbe GDPR-a o obradi i pohrani podataka prilikom prikupljanja preslike osobnog identifikacijskog dokumenta.

Naime, Agencija za zaštitu osobnih podataka zaprimila je podnesak građanina u kojem se navodi kako Zagrebački holding od korisnika usluga traži presliku osobne iskaznice prije izdavanja prijepisa računa putem e-pošte. Također, navedeno je kako je za istu uslugu u svrhu identifikacije ranije bilo dovoljno dostaviti ime, prezime, adresu, OIB, sistemski broj objekta i sistemski broj obveznika.

E-mail adresa nije zaštitna mjera

U postupku je AZOP utvrdio da Zagrebački holding nema propisana pravila za identifikaciju korisnika i da su tražili preslike osobne iskaznice putem e-pošte samo u slučaju sumnje na lažno predstavljanje.

Naime, presliku osobne iskaznice tražili su samo od onih korisnika, koji se koriste e-mail adresom koja u svojoj strukturi ima različito ime/naziv od imena i prezimena korisnika usluge. Sama konstrukcija naziva e-mail adrese koja sadrži odgovarajuće ime i prezime, nije zaštitna mjera koja bi voditelju obrade pružila dovoljnu garanciju da je zahtjev postavljen od strane stvarnog korisnika usluge, kaže AZOP. Slijedom navedenog, utvrđeno je kako Holding nije implementirao odgovarajuće tehničke i organizacijske mjere zaštite i obrade podataka.

Trebali su, prema GDPR-u, razraditi poslovne procese identifikacije putem elektroničke pošte na način koji će osigurati da postupak identifikacije korisnika usluge bude jednak za sve korisnike, bez obzira na strukturu e-pošte. Navedenim postupanjem onemogućeno je da korisnici usluga, koji u strukturi svoje e-mail adrese nemaju ime i prezime, bez dostave osobnog identifikacijskog dokumenta, ostvare komunikaciju udaljenim putem, odnosno zatraže prijepis računa putem e-pošte. Zagrebački holding zbog navedenoga je kažnjen novčanom kaznom od 25.000 eura.