Agencija za zaštitu osobnih podataka (AZOP) izrekla je novčanu kaznu od 100 tisuća eura agenciji za nekretnine zbog postupanja protivno odredbama Opće uredbe o zaštiti podataka (GDPR) u dijelu koji se odnosi na načelo ograničenja pohrane osobnih podataka, zakonitost obrade te provedbu odgovarajućih tehničkih i organizacijskih mjera.
Kršenje odredbi GDPR-a – stari obrasci ugovora, preslike dokumenata
U objavi na web stranici AZOP-a u četvrtak nije navedeno o kojoj se agenciji radi, a evo koji su razlozi za kaznu.
Agencija je čuvala osobne podatke 11.887 svojih klijenata nakon isteka svrhe obrade podataka te bez pravne osnove obrađivala osobne podatke svojih klijenata (preslike 898 osobnih iskaznica, šest preslika putovnica, jedne preslike zdravstvene iskaznice, jedne preslike osobne iskaznice malodobnog djeteta, tri preslike bankovnih kartice, jedne preslike dozvole boravka, dvije preslike vozačke dozvole, dvije preslike strane putovnice).
Naime, kažu, tijekom nadzora u pisanoj arhivi te agencije za nekretnine zatečeno je ukupno 11.887 obrazaca ugovora o posredovanju pri kupnji nekretnine, ugovora o posredovanju pri najmu/zakupu nekretnine i obrasca posredničkog lista uz priloženu dokumentaciju, a bili su sklopljeni u vremenskom periodu od 2010. do kraja 2019. godine.
Pročitajte više: GDPR nije ‘sitna obaveza’, odnosi se na sve! Rješenje nije ‘Ma samo kliknite!’, kazne su milijunske
Načelo ograničenja pohrane
„Time je prekršeno načelo ograničenja pohrane, odnosno obveza voditelja obrade da osobne podatke čuva u obliku koji omogućuje identifikaciju ispitanika samo onoliko dugo koliko je potrebno u svrhe radi kojih se osobni podaci obrađuju“, stoji u objavi na stranici AZOP-a.
Iz AZOP-a su dodali da je unutar arhivirane dokumentacije pronađeno i 914 preslika osobnih isprava i bankovnih kartica, a za njihovu „obradu (pohranu) voditelj obrade nije dokazao pravnu osnovu. Posebno je značajno da je direktor društva tijekom nadzora izjavio kako se preslike bankovnih kartica ne prikupljaju, dok su u dokumentaciji pronađene preslike bankovne kartice kao sastavni dio dokumentacije o posredovanju između voditelja obrade i klijenta“.
Stručnjakinja za GDPR Marija Bošković Batarelo iz tvrtke Parser Compliance objasnila je za Women in Adria kako je pravna osnova za kopiranje osobne propisana zakonom, primjerice Zakonom o sprječavanju pranja novca, i da se ti podaci trebaju brisati nakon pet godina.
Nedovoljna edukacija
AZOP u slučaju agencije za nekretnine navodi da je utvrđeno da nije bila osigurana „dostatna edukacija i nadzor nad osobama/zaposlenicima“ koji obrađuju osobne podatke klijenata“.
“Čim dođe na radno mjesto, zaposlenik mora imati neku uvodnu edukaciju”, objašnjava Bošković Batarelo. Na primjer, o uzimanju preslike dokumenata, gdje se stavlja ugovor, gdje se sprema i kada se briše. Bošković Batarelo je male i mikro poduzetnike uputila na portal Olivia, online akademiju za tvrtke koje si ne mogu priuštiti plaćene edukacije zaposlenika o GDPR-u.
Visoke AZOP-ove kazne u 2025. godini
AZOP je, inače, u prošloj godini izrekao 13 upravnih novčanih kazni u ukupnom iznosu od 6.725.500 eura, a najviša je kazna iznosila 4,5 milijuna eura teleoperateru. U pitanju je bio Telemach Hrvatska, a iz te su kompanije odmah objavili da su podaci njihovih korisnika Hrvatskoj sigurni te naveli da će poduzeti „sva raspoloživa pravna sredstva u svrhu zaštite prava, integriteta i reputacije kompanije“. Naime, protiv rješenja kojim je izrečena upravna novčana kazna može se pokrenuti upravni spor pred nadležnim upravnim sudom u roku od 30 dana od dana dostave rješenja.
Sveukupno je Agencija izrekla kazni u iznosu od 10,5 milijuna eura, a najviša je iznosila 5,47 milijuna eura i to zbog teških kršenja Opće uredbe o zaštiti podataka od strane agencije za naplatu potraživanja, kako stoji na web stranici AZOP-a. Ta je kazna izrečena 2023. godine.
Autori: Gordana Grgas, Ivan Fischer
Foto:
