Agencija za zaštitu osobnih podataka (u daljnjem tekstu: AZOP)1 je zaprimila pritužbu građanina iz koje proizlazi kako trgovačko društvo Zagrebački holding d.o.o. (u daljnjem tekstu: Zagrebački holding) od korisnika svojih usluga prije izdavanja prijepisa određenih računa (konkretno, računa za naknadu za uređenje voda i komunalnu naknadu) putem elektronske pošte traži presliku osobne iskaznice, a da je za istu uslugu u svrhu identifikacije ranije tražio isključivo podatke o imenu i prezimenu, adresi, OIB-u te sistemskom broju objekta i sistemskom broju obveznika.
Temeljem zaprimljene opisane pritužbe o povredi osobnih podataka, AZOP je proveo nadzorno postupanje nad Zagrebačkim holdingom kao voditeljem obrade osobnih podataka2 kako bi ispitao navode iz predmetne pritužbe i okolnosti potencijalne povrede te slijedom utvrđenih nepravilnosti, izrekao upravnu novčanu kaznu u iznosu od 25.000,00 eura (u protuvrijednosti od 188.362,50 kuna) zbog sljedeće utvrđenih povreda Opće uredbe o zaštiti podataka:
U provedenom nadzornom postupku AZOP je utvrdio kako Zagrebački holding kao voditelj obrade nema propisana pravila za identifikaciju korisnika usluge koji traži dostavu prijepisa računa putem elektroničke pošte te je isti prikupljao preslike identifikacijskog dokumenta korisnika putem elektroničke pošte samo u slučaju sumnje na lažno predstavljanje.
Naime, Zagrebački holding tražio je presliku osobnog identifikacijskog dokumenta od korisnika koji se koriste e-mail adresom koja u svojoj strukturi ima različito ime/naziv od imena i prezimena korisnika usluge, odnosno ukoliko ime i prezime korisnika usluge koji je putem e-pošte zahtijevao prijepis računa nije odgovaralo strukturi e-mail adrese s koje su zahtijevali prijepis računa.
Sukladno priopćenju AZOP-a, sama konstrukcija naziva e-mail adrese koja sadrži odgovarajuće ime i prezime, nije zaštitna mjera koja bi voditelju obrade pružila dovoljnu garanciju da je zahtjev postavljen od strane stvarnog korisnika usluge.
Slijedom navedenog, AZOP je utvrdio kako je Zagrebački holding kao voditelj obrade propustio implementirati odgovarajuće tehničke i organizacijske mjere zaštite odnosno urediti proces obrade u svrhu identifikacije korisnika usluga koji su zatražili prijepis računa putem e-pošte, čime je postupio protivno čl. 25. st. 2. Opće uredbe o zaštiti podataka.
Voditelj obrade je trebao razraditi poslovne procese identifikacija putem elektroničke pošte na način koji će osigurati da postupak identifikacije korisnika usluge bude jednak za sve korisnike, bez obzira na strukturu e-pošte. Navedenim postupanjem onemogućeno je da korisnici usluga, koji u strukturi svoje e-mail adrese nemaju ime i prezime, bez dostave osobnog identifikacijskog dokumenta, ostvare komunikaciju udaljenim putem, odnosno zatraže prijepis računa putem e-pošte.
Također, ovaj način identifikacije rezultirao je nesigurnom obradom u vidu prikupljanja preslika osobnih identifikacijskih dokumenata, pri čemu se dodatno kod ispitanika od kojih je zatražena dostava identifikacijskog dokumenta bez davanja svih relevantnih informacija stvorio osjećaj gubitka kontrole nad njihovim osobnim podacima.
Prema utvrđenju AZOP-a, Zagrebački holding kao voditelj obrade propustio je i transparentno informirati korisnike usluge o pravnoj osnovi za prikupljanje osobnih podataka (preslike osobne iskaznice) u svrhu identifikacije. Ispitanicima predmetne informacije nisu bile dostupne ni kroz objavljene dokumente odnosne na obradu osobnih podataka na službenim internetskim stranicama voditelja obrade, a ni nakon što su ispitanici izravno zatražili informacije o obradi putem e-pošte, što je protivno odredbama čl. 13. st. 1. (c) i čl. 13. st. 2. (a), (e) Opće uredbe o zaštiti podataka.
Maja Bilić Paulić, mag. iur.
IZVOR: Priopćenje AZOP-a od dana 13. 09. 2023., dostupno na sljedećoj poveznici: https://azop.hr/izrecena-upravna-novcana-kazna-zagrebackom-holdingu/
^ 1 AZOP kao samostalno i neovisno državno tijelo, nadzire provedbu Uredbe (EU) 2016/679 Europskog parlamenta i Vijeća od 27. 04. 2016. o zaštiti pojedinaca u vezi s obradom osobnih podataka i o slobodnom kretanju takvih podataka te o stavljanju izvan snage Direktive 95/46/EZ (u daljnjem tekstu: Opća uredba o zaštiti podataka) i obavlja poslove u okviru djelokruga i nadležnosti utvrđenih Zakonom o provedbi Opće uredbe o zaštiti podataka („Narodne novine“, br. 42/18).
^ 2 Opća uredba o zaštiti podatakau čl. 4. st. 1. t. 7. definira voditelja obrade kao fizičku ili pravnu osobu, tijelo javne vlasti, agencija ili drugo tijelo koje samo ili zajedno s drugima određuje svrhe i sredstva obrade osobnih podataka; kada su svrhe i sredstva takve obrade utvrđeni pravom Unije ili pravom države članice, voditelj obrade ili posebni kriteriji za njegovo imenovanje mogu se predvidjeti pravom Unije ili pravom države članice.
^ 3 Prema odredbi iz čl. 13. st. 1. (c) Opće uredbe o zaštiti podataka Ako su osobni podaci koji se odnose na ispitanika prikupljeni od ispitanika, voditelj obrade u trenutku prikupljanja osobnih podataka ispitaniku pruža sljedeće informacije – o svrsi obrade radi kojih se upotrebljavaju osobni podaci kao i pravnu osnovu za obradu;
^ 4 Prema odredbi iz čl. 13. st. 2. (a) Opće uredbe o zaštiti podataka osim informacija iz stavka 1., voditelj obrade u trenutku kada se osobni podaci prikupljaju pruža ispitaniku sljedeće dodatne informacije potrebne kako bi se osigurala poštena i transparentna obrada: razdoblje u kojem će osobni podaci biti pohranjeni ili, ako to nije moguće, kriterije kojima se utvrdilo to razdoblje;
^ 5 Prema odredbi iz čl. 13. st. 2. (e) Opće uredbe o zaštiti podataka Osim informacija iz stavka 1., voditelj obrade u trenutku kada se osobni podaci prikupljaju pruža ispitaniku sljedeće dodatne informacije potrebne kako bi se osigurala poštena i transparentna obrada informaciju o tome je li pružanje osobnih podataka zakonska ili ugovorna obveza ili uvjet nužan za sklapanje ugovora te ima li ispitanik obvezu pružanja osobnih podataka i koje su moguće posljedice ako se takvi podaci ne pruže;
^ 6 Prema odredbi iz čl. 25. st. 2. Opće uredbe o zaštiti podataka voditelj obrade provodi odgovarajuće tehničke i organizacijske mjere kojima se osigurava da integriranim načinom budu obrađeni samo osobni podaci koji su nužni za svaku posebnu svrhu obrade. Ta se obveza primjenjuje na količinu prikupljenih osobnih podataka, opseg njihove obrade, razdoblje pohrane i njihovu dostupnost. Točnije, takvim se mjerama osigurava da osobni podaci nisu automatski, bez intervencije pojedinca, dostupni neograničenom broju pojedinca.