Naime, AZOP je zaprimio prijavu građanina o prikupljanju obostranih preslika bankovnih kartica putem elektroničke pošte od strane predmetnog voditelja obrade. Temeljem zaprimljene prijave, a sukladno svojim zakonom propisanim ovlastima AZOP je po službenoj dužnosti pokrenuo postupak nadzora nad predmetnim društvom kao voditeljem obrade, a zbog osnovane sumnje da svojim postupanjem ugrožava prava i slobode ispitanika, u konkretnom slučaju igrača igara na sreću kao korisnika usluga sportske kladionice.
Po provedbi postupka nadzora, AZOP je utvrdio kako je voditelj obrade od lipnja do prosinca 2022. godine korisnicima svojih usluga pružao dodatnu uslugu isplate dobitnika na VISA karticu, a pored već postojećih mogućnosti isplate novčanih sredstava s korisničkog računa na bankovni račun.
AZOP je utvrdio kako obrada osobnih podataka ispitanika prikupljanjem preslika njihovih bankovnih kartica nije bila nužna radi poštovanja zakonskih obveza koje proizlaze iz Zakona o sprječavanju pranja novca, budući da se dubinska analiza igrača, kako se u obrazloženju navodi, mogla provesti i opisanog prikupljanja podataka s bankovnih kartica.
Slijedom navedenog, navodi AZOP u svom priopćenju, voditelj obrade nezakonito je obrađivao preslike bankovnih kartica i to primjenom neadekvatnih sredstava obrade te je iste pohranio bez primjene odgovarajućih tehničkih i organizacijskih mjera.
Također, utvrdio je AZOP, voditelj obrade povrijedio je i načelo transparentnosti7 budući da nije informirao ispitanike o spornoj obradi osobnih podataka (pohrani preslika bankovnih kartica) čime je ispitanicima uskratio pristup osnovnim informacijama o obradi podataka, kao što su pravna osnova, svrha i razdoblje pohrane.
Naime, u Izjavi o mjerama zaštite osobnih podataka, koja čini dio Politike privatnosti predmetnog trgovačkog društva kao voditelja obrade, navodi AZOP u svom priopćenju, izričito je bilo navedeno kako voditelj obrade ne pohranjuje brojeve bankovnih kartica te da brojevi nisu dostupni neovlaštenim osobama.
Usprkos navedenom, u postupku nadzora AZOP je utvrdio je kako su zaposlenici voditelja obrade u razdoblju između lipnja i prosinca 2022. zapravo imali pristup ukupno 655 preslika bankovnih kartica na kojima je bio vidljiv pun opseg podataka od ukupno prikupljenih 2078 preslika bankovnih kartica. Takva obrada rezultirala je visokorizičnom povredom trećine ukupno obrađenih podataka, a pri čemu ispitanici nisu bili ni svjesni da se ti podaci pohranjuju u bazama podataka, navodi AZOP.
Slijedom navedenog, a uzimajući u obzir da se financijski podaci smatraju osjetljivom kategorijom osobnih podataka, koji ovisno o kontekstu i opsegu obrade mogu prouzročiti visok rizik za prava i slobode ispitanika, AZOP je zauzeo stav kako je voditelj obrade bio u obvezi s posebnom pozornošću paziti na sigurnost i zakonitost obrade, što je uzeto u obzir kao otegotna okolnost.
S druge strane, AZOP je u konkretnom slučaju kao olakotnu okolnost ocijenio postupanje voditelja obrade nakon provedenog nadzora budući da je isti tada pokazao viši stupanj odgovornosti i samoinicijativno obavijestio AZOP o načinu na koji planira uskladiti obradu s odredbama Opće uredbe o zaštiti podataka. Tako je, ističe se u priopćenju, voditelj obrade izvršio dodatna ulaganja u procese plaćanja na način da je unaprijedio sustav te da više od korisnika svojih usluga ne zahtijeva presliku bankovne kartice, a pored navedenog da je obrisao sve ranije pohranjene preslike bankovnih kartice korisnika. Također, olakotnom okolnošću ocijenjena je i činjenica da je voditelj obrade unaprijedio poslovne procese nadzora nad obradom osobnih podataka te proveo edukaciju zaposlenika o zaštiti osobnih podataka.
Maja Bilić Paulić, mag. iur.
IZVOR: Priopćenje Agencije za zaštitu osobnih podataka pod naslovom: “Sportskoj kladionici izrečena upravna novčana kazna od 380.000 eura”, dostupno na sljedećoj poveznici: https://azop.hr/sportskoj-kladionici-izrecena-upravna-novcana-kazna-od-380-000-eura/
^ 1 Agencija za zaštitu osobnih podataka kao samostalno i neovisno državno tijelo osnovana je temeljem Zakona o zaštiti osobnih podataka iz 2003. godine, a započela je s radom 2004. U nadležnosti Agencije je, između ostalog i nadzor provedbe Uredbe (EU) 2016/679 Europskog parlamenta i Vijeća od 27. 4. 2016. o zaštiti pojedinaca u vezi s obradom osobnih podataka (Opće uredbe o zaštiti podataka) i obavlja poslove u okviru djelokruga i nadležnosti utvrđenih Zakonom o provedbi Opće uredbe o zaštiti podataka („Narodne novine“, br. 42/18.) kojim se osigurava provedba Opće uredbe o zaštiti podataka. Nastavno na navedeno, a pored ostalih poslova koje u svom djelokrugu rada obavlja, Agencija ima istražne, korektivne i vlasti u vezi s odobravanjem te savjetodavne ovlasti, slijedom čega je ovlaštena izreći upravnu novčanu kaznu u skladu s člankom 79. uz mjere, ili umjesto mjera, ovisno o okolnostima svakog pojedinog slučaja.
^ 2 Voditelj obrade osobnih podataka je fizička ili pravna osoba, tijelo javne vlasti, agencija ili drugo tijelo koje samo ili zajedno s drugima određuje svrhe i sredstva obrade osobnih podataka.
^ 3 Članak 6. stavak 1. Opće uredbe o zaštiti podataka 1. propisuje kako je obrada je zakonita samo ako i u onoj mjeri u kojoj je ispunjeno najmanje jedno od sljedećega:
(a) ispitanik je dao privolu za obradu svojih osobnih podataka u jednu ili više posebnih svrha;
(b) obrada je nužna za izvršavanje ugovora u kojem je ispitanik stranka ili kako bi se poduzele radnje na zahtjev ispitanika prije sklapanja ugovora;
(c) obrada je nužna radi poštovanja pravnih obveza voditelja obrade;
(d) obrada je nužna kako bi se zaštitili ključni interesi ispitanika ili druge fizičke osobe;
(e) obrada je nužna za izvršavanje zadaće od javnog interesa ili pri izvršavanju službene ovlasti voditelja obrade;
(f) obrada je nužna za potrebe legitimnih interesa voditelja obrade ili treće strane, osim kada su od tih interesa jači interesi ili temeljna prava i slobode ispitanika koji zahtijevaju zaštitu osobnih podataka, osobito ako je ispitanik dijete.
Točka (f) prvog podstavka ne odnosi se na obradu koju provode tijela javne vlasti pri izvršavanju svojih zadaća.
^ 4 Članak 13. stavak 1. i 2. Opće uredbe o zaštiti podataka propisuje sljedeće: 1. Ako su osobni podaci koji se odnose na ispitanika prikupljeni od ispitanika, voditelj obrade u trenutku prikupljanja osobnih podataka ispitaniku pruža sve sljedeće informacije:
(a) identitet i kontaktne podatke voditelja obrade i, ako je primjenjivo, predstavnika voditelja obrade;
(b) kontaktne podatke službenika za zaštitu podataka, ako je primjenjivo;
(c) svrhe obrade radi kojih se upotrebljavaju osobni podaci kao i pravnu osnovu za obradu;
(d) ako se obrada temelji na članku 6. stavku 1. točki (f), legitimne interese voditelja obrade ili treće strane;
(e) primatelje ili kategorije primatelja osobnih podataka, ako ih ima; i
(f) ako je primjenjivo, činjenicu da voditelja obrade namjerava osobne podatke prenijeti trećoj zemlji ili međunarodnoj organizaciji te postojanje ili nepostojanje odluke Komisije o primjerenosti, ili u slučaju prijenosâ iz članaka 46. ili 47. ili članka 49. stavka 1. drugog podstavka upućivanje na prikladne ili odgovarajuće zaštitne mjere i načine pribavljanja njihove kopije ili mjesta na kojem su stavljene na raspolaganje.
2. Osim informacija iz stavka 1., voditelj obrade u trenutku kada se osobni podaci prikupljaju pruža ispitaniku sljedeće dodatne informacije potrebne kako bi se osigurala poštena i transparentna obrada:
(a) razdoblje u kojem će osobni podaci biti pohranjeni ili, ako to nije moguće, kriterije kojima se utvrdilo to razdoblje;
(b) postojanje prava da se od voditelja obrade zatraži pristup osobnim podacima i ispravak ili brisanje osobnih podataka ili ograničavanje obrade koji se odnose na ispitanika ili prava na ulaganje prigovora na obradu takvih te prava na prenosivost podataka;
(c) ako se obrada temelji na članku 6. stavku 1. točki (a) ili članku 9. stavku 2. točki (a), postojanje prava da se u bilo kojem trenutku povuče privolu, a da to ne utječe na zakonitost obrade koja se temeljila na privoli prije nego što je ona povučena;
(d) pravo na podnošenje prigovora nadzornom tijelu;
(e) informaciju o tome je li pružanje osobnih podataka zakonska ili ugovorna obveza ili uvjet nužan za sklapanje ugovora te ima li ispitanik obvezu pružanja osobnih podataka i koje su moguće posljedice ako se takvi podaci ne pruže;
(f) postojanje automatiziranog donošenja odluka, što uključuje izradu profila iz članka 22. stavaka 1. i 4. te, barem u tim slučajevima, smislene informacije o tome o kojoj je logici riječ, kao i važnost i predviđene posljedice takve obrade za ispitanika.
^ 5 Članak 25. stavak 1. i 2. Opće uredbe o zaštiti podataka propisuje sljedeće: 1. Uzimajući u obzir najnovija dostignuća, trošak provedbe te prirodu, opseg, kontekst i svrhe obrade, kao i rizike različitih razina vjerojatnosti i ozbiljnosti za prava i slobode pojedinaca koji proizlaze iz obrade podataka, voditelj obrade, i u vrijeme određivanja sredstava obrade i u vrijeme same obrade, provodi odgovarajuće tehničke i organizacijske mjere, poput pseudonimizacije, za omogućavanje učinkovite primjene načela zaštite podataka, kao što je smanjenje količine podataka, te uključenje zaštitnih mjera u obradu kako bi se ispunili zahtjevi iz ove Uredbe i zaštitila prava ispitanika.
2. Voditelj obrade provodi odgovarajuće tehničke i organizacijske mjere kojima se osigurava da integriranim načinom budu obrađeni samo osobni podaci koji su nužni za svaku posebnu svrhu obrade. Ta se obveza primjenjuje na količinu prikupljenih osobnih podataka, opseg njihove obrade, razdoblje pohrane i njihovu dostupnost. Točnije, takvim se mjerama osigurava da osobni podaci nisu automatski, bez intervencije pojedinca, dostupni neograničenom broju pojedinca.
^ 6 Članak 32. stavak 1. točka a) i d) Opće uredbe o zaštiti podataka propisuje sljedeće: “Uzimajući u obzir najnovija dostignuća, troškove provedbe te prirodu, opseg, kontekst i svrhe obrade, kao i rizik različitih razina vjerojatnosti i ozbiljnosti za prava i slobode pojedinaca, voditelj obrade i izvršitelj obrade provode odgovarajuće tehničke i organizacijske mjere kako bi osigurali odgovarajuću razinu sigurnosti s obzirom na rizik, uključujući prema potrebi:
(a) pseudonimizaciju i enkripciju osobnih podataka;
(d) proces za redovno testiranje, ocjenjivanje i procjenjivanje učinkovitosti tehničkih i organizacijskih mjera za osiguravanje sigurnosti obrade.
^ 7 Opća uredba o zaštiti podataka u točkama 58. i 60. svoje preambule propisuje kako načelom transparentnosti zahtijeva se da svaka informacija namijenjena javnosti ili ispitaniku bude sažeta, lako dostupna i razumljiva, da se upotrebljava jasan i jednostavan jezik te da se usto, prema potrebi, koristi vizualizacijom. Takva bi se informacija također mogla dati u elektroničkom obliku, na primjer na internetskim stranicama, kada je namijenjena javnosti. To je osobito bitno u situacijama u kojima zbog velikog broja sudionika i tehnološke složenosti prakse ispitaniku nije lako prepoznati i razumjeti prikupljaju li se osobni podaci o njemu, tko ih prikuplja i u koju svrhu, kao što je slučaj internetskog oglašavanja. Imajući u vidu da djeca zaslužuju posebnu zaštitu, svaka informacija i komunikacija, u slučaju da je obrada usmjerena prema djetetu, trebale bi biti na jasnom i jednostavnom jeziku koji dijete lako može razumjeti. Načelima poštene i transparentne obrade zahtijeva se da je ispitanik informiran o postupku obrade i njegovim svrhama. Voditelj obrade trebao bi ispitaniku pružiti sve dodatne informacije neophodne za osiguravanje poštene i transparentne obrade uzimajući u obzir posebne okolnosti i kontekst obrade osobnih podataka
