Agencija za zaštitu osobnih podataka izrekla upravnu novčanu kaznu Zagrebačkom holdingu

Niste prijavljeni. Prijavite se kako biste mogli pristupiti podacima portala InSOLVE.
Prijava

Agencija za zaštitu osobnih podataka izrekla upravnu novčanu kaznu Zagrebačkom holdingu

15.09.2023 09:10

Agencija za zaštitu osobnih podataka (u daljnjem tekstu: AZOP)¹ je zaprimila pritužbu građanina iz koje proizlazi kako trgovačko društvo Zagrebački holding d.o.o. (u daljnjem tekstu: Zagrebački holding) od korisnika svojih usluga prije izdavanja prijepisa određenih računa (konkretno, računa za naknadu za uređenje voda i komunalnu naknadu) putem elektronske pošte traži presliku osobne iskaznice, a da je za istu uslugu u svrhu identifikacije ranije tražio isključivo podatke o imenu i prezimenu, adresi, OIB-u te sistemskom broju objekta i sistemskom broju obveznika.

Temeljem zaprimljene opisane pritužbe o povredi osobnih podataka, AZOP je proveo nadzorno postupanje nad Zagrebačkim holdingom kao voditeljem obrade osobnih podataka² kako bi ispitao navode iz predmetne pritužbe i okolnosti potencijalne povrede te slijedom utvrđenih nepravilnosti, izrekao upravnu novčanu kaznu u iznosu od 25.000,00 eura (u protuvrijednosti od 188.362,50 kuna) zbog sljedeće utvrđenih povreda Opće uredbe o zaštiti podataka:

Voditelj obrade nije na odgovarajući način informirao korisnike usluga o pravnoj osnovi obrade osobnih podataka te razdoblju pohrane osobnih podataka prilikom prikupljanja preslike osobnog identifikacijskog dokumenta zbog izdavanja prijepisa računa putem e-pošte čime je postupio protivno odredbi čl. 13. st. 1. (c) ³ i čl. 13. st. 2. (a)⁴ , (e)⁵ Opće uredbe o zaštiti podataka. Sukladno navedenim odredbama, a ukoliko se osobni podaci prikupljaju od ispitanika, voditelj obrade dužan je u trenutku prikupljanja pružiti ispitanicima sve informacije o obradi njihovih osobnih podataka (primjerice upoznati ih sa svrhom i pravnom osnovom za obradu osobnih podataka, razdoblju u kojem će osobni podaci biti pohranjeni itd.) u sažetom, razumljivom i lako dostupnom obliku, uz upotrebu jasnog i jednostavnog jezika

Voditelj obrade nije poduzeo odgovarajuće tehničke i organizacijske mjere prilikom obrade osobnih podataka u svrhu identifikacije korisnika usluga zbog izdavanja prijepisa računa putem e-pošte, čime je povrijedio odredbe čl. 25. st. 2. Opće uredbe o zaštiti podataka⁶.

U provedenom nadzornom postupku AZOP je utvrdio kako Zagrebački holding kao voditelj obrade nema propisana pravila za identifikaciju korisnika usluge koji traži dostavu prijepisa računa putem elektroničke pošte te je isti prikupljao preslike identifikacijskog dokumenta korisnika putem elektroničke pošte samo u slučaju sumnje na lažno predstavljanje.

Naime, Zagrebački holding tražio je presliku osobnog identifikacijskog dokumenta od korisnika koji se koriste e-mail adresom koja u svojoj strukturi ima različito ime/naziv od imena i prezimena korisnika usluge, odnosno ukoliko ime i prezime korisnika usluge koji je putem e-pošte zahtijevao prijepis računa nije odgovaralo strukturi e-mail adrese s koje su zahtijevali prijepis računa.

Sukladno priopćenju AZOP-a, sama konstrukcija naziva e-mail adrese koja sadrži odgovarajuće ime i prezime, nije zaštitna mjera koja bi voditelju obrade pružila dovoljnu garanciju da je zahtjev postavljen od strane stvarnog korisnika usluge.

Slijedom navedenog, AZOP je utvrdio kako je Zagrebački holding kao voditelj obrade propustio implementirati odgovarajuće tehničke i organizacijske mjere zaštite odnosno urediti proces obrade u svrhu identifikacije korisnika usluga koji su zatražili prijepis računa putem e-pošte, čime je postupio protivno čl. 25. st. 2. Opće uredbe o zaštiti podataka.

Voditelj obrade je trebao razraditi poslovne procese identifikacija putem elektroničke pošte na način koji će osigurati da postupak identifikacije korisnika usluge bude jednak za sve korisnike, bez obzira na strukturu e-pošte. Navedenim postupanjem onemogućeno je da korisnici usluga, koji u strukturi svoje e-mail adrese nemaju ime i prezime, bez dostave osobnog identifikacijskog dokumenta, ostvare komunikaciju udaljenim putem, odnosno zatraže prijepis računa putem e-pošte.

Također, ovaj način identifikacije rezultirao je nesigurnom obradom u vidu prikupljanja preslika osobnih identifikacijskih dokumenata, pri čemu se dodatno kod ispitanika od kojih je zatražena dostava identifikacijskog dokumenta bez davanja svih relevantnih informacija stvorio osjećaj gubitka kontrole nad njihovim osobnim podacima.

Prema utvrđenju AZOP-a, Zagrebački holding kao voditelj obrade propustio je i transparentno informirati korisnike usluge o pravnoj osnovi za prikupljanje osobnih podataka (preslike osobne iskaznice) u svrhu identifikacije. Ispitanicima predmetne informacije nisu bile dostupne ni kroz objavljene dokumente odnosne na obradu osobnih podataka na službenim internetskim stranicama voditelja obrade, a ni nakon što su ispitanici izravno zatražili informacije o obradi putem e-pošte, što je protivno odredbama čl. 13. st. 1. (c) i čl. 13. st. 2. (a), (e) Opće uredbe o zaštiti podataka.

Maja Bilić Paulić, mag. iur.

IZVOR: Priopćenje AZOP-a od dana 13. 09. 2023., dostupno na sljedećoj poveznici: https://azop.hr/izrecena-upravna-novcana-kazna-zagrebackom-holdingu/

^ 1 AZOP kao samostalno i neovisno državno tijelo, nadzire provedbu Uredbe (EU) 2016/679 Europskog parlamenta i Vijeća od 27. 04. 2016. o zaštiti pojedinaca u vezi s obradom osobnih podataka i o slobodnom kretanju takvih podataka te o stavljanju izvan snage Direktive 95/46/EZ (u daljnjem tekstu: Opća uredba o zaštiti podataka) i obavlja poslove u okviru djelokruga i nadležnosti utvrđenih Zakonom o provedbi Opće uredbe o zaštiti podataka („Narodne novine“, br. 42/18).

^ 2 Opća uredba o zaštiti podatakau čl. 4. st. 1. t. 7. definira voditelja obrade kao fizičku ili pravnu osobu, tijelo javne vlasti, agencija ili drugo tijelo koje samo ili zajedno s drugima određuje svrhe i sredstva obrade osobnih podataka; kada su svrhe i sredstva takve obrade utvrđeni pravom Unije ili pravom države članice, voditelj obrade ili posebni kriteriji za njegovo imenovanje mogu se predvidjeti pravom Unije ili pravom države članice.

^ 3 Prema odredbi iz čl. 13. st. 1. (c) Opće uredbe o zaštiti podataka Ako su osobni podaci koji se odnose na ispitanika prikupljeni od ispitanika, voditelj obrade u trenutku prikupljanja osobnih podataka ispitaniku pruža sljedeće informacije – o svrsi obrade radi kojih se upotrebljavaju osobni podaci kao i pravnu osnovu za obradu;

^ 4 Prema odredbi iz čl. 13. st. 2. (a) Opće uredbe o zaštiti podataka osim informacija iz stavka 1., voditelj obrade u trenutku kada se osobni podaci prikupljaju pruža ispitaniku sljedeće dodatne informacije potrebne kako bi se osigurala poštena i transparentna obrada: razdoblje u kojem će osobni podaci biti pohranjeni ili, ako to nije moguće, kriterije kojima se utvrdilo to razdoblje;

^ 5 Prema odredbi iz čl. 13. st. 2. (e) Opće uredbe o zaštiti podataka Osim informacija iz stavka 1., voditelj obrade u trenutku kada se osobni podaci prikupljaju pruža ispitaniku sljedeće dodatne informacije potrebne kako bi se osigurala poštena i transparentna obrada informaciju o tome je li pružanje osobnih podataka zakonska ili ugovorna obveza ili uvjet nužan za sklapanje ugovora te ima li ispitanik obvezu pružanja osobnih podataka i koje su moguće posljedice ako se takvi podaci ne pruže;

^ 6 Prema odredbi iz čl. 25. st. 2. Opće uredbe o zaštiti podataka voditelj obrade provodi odgovarajuće tehničke i organizacijske mjere kojima se osigurava da integriranim načinom budu obrađeni samo osobni podaci koji su nužni za svaku posebnu svrhu obrade. Ta se obveza primjenjuje na količinu prikupljenih osobnih podataka, opseg njihove obrade, razdoblje pohrane i njihovu dostupnost. Točnije, takvim se mjerama osigurava da osobni podaci nisu automatski, bez intervencije pojedinca, dostupni neograničenom broju pojedinca.

U središtu

U lipnju ove godine Europski parlament objavio je svoje stavove o zakonodavnom prijedlogu Komisije o uređenju umjetne inteligencije. Time su ispunjeni uvjeti za pokretanje "trijaloga", zakonodavnog postupka pregovaranja o Uredbi. Autor u članku analizira opće napomene o prijedlogu Uredbe, zakonodavnom postupku i u čemu se stajališta Parlamenta i Vijeća razlikuju.

Vlada Republike Hrvatske predstavila je novi Prijedlog porezne reforme, čijom provedbom bi se ostvarili određeni ekonomski ciljevi, odnosno osigurao daljnji gospodarski rast i razvoj, poboljšao životni standard građana kroz povećanje plaća, osobito građana s najnižim primanjima, ojačala fiskalna autonomija jedinica lokalne samouprave, odnosno općina i gradova… U tu svrhu, potrebno je bilo provesti i određene zakonodavne mjere, odnosno izmijeniti postojeće porezne propise i to: Zakon o porezu na dohodak, Zakon o porezu na dobit, Zakon o porezu na dodanu vrijednost, Zakon o lokalnim porezima, Zakon o financiranju jedinica lokalne i područne (regionalne) samouprave, Zakon o doprinosima, Zakon o fiskalizaciji u prometu gotovinom, Zakon o poreznom savjetništvu, te Zakon o administrativnoj suradnji u području poreza. Stoga je u zakonodavnu proceduru upućen paket poreznih izmjena, za koji se očekuje da će stupiti na snagu 1. siječnja 2024. godine. Shodno tome, u nastavku teksta osvrnut ćemo se na najznačajnije elemente predloženih poreznih izmjena.

Ministarstvo rada, mirovinskoga sustava, obitelji i socijalne politike uputilo je dana 11. svibnja 2023. godine u javno savjetovanje prijedlog novog Pravilnika o sadržaju obračuna plaće, naknade plaće, otpremnine i naknade za neiskorišteni godišnji odmor. Nakon provedenog savjetovanja isti je stupio na snagu 1. srpnja 2023., s tim da je rok za usklađivanje obračunskih isprava s odredbama Pravilnika do 1. listopada 2023. godine.

Globalne kibernetičke prijetnje u stalnom su porastu uz sve veći broj sofisticiranih kibernetičkih napada te ako uzmemo u obzir rastuću ovisnost suvremenog društva o kibernetičkoj tehnologiji, traže se novi pristupi kibernetičkoj sigurnosti. Kako je EU donijela Direktivu (EU) 2022/2555 o mjerama za visoku zajedničku razinu kibersigurnosti u EU države članice se moraju uskladiti s njom te se u e-Savjetovanju od 17.7.2023. do 16.8. 2023. godine nalazio Nacrt prijedloga Zakona o kibernetičkoj sigurnosti, a na koji je pristiglo više od 100 komentara. Autorica u ovom članku donosi kratki pregled Nacrta Zakona o kibernetičkoj sigurnosti. Kibernetički prostor, uz sve prednosti koje donosi predstavlja i sigurnosni izazov. Sigurnosne prijetnje u kibernetičkom prostoru su kibernetski kriminal, špijunaža, terorizam i ratovanje. Sve te prijetnje imaju cilj naštetiti kritičnoj infrastrukturi, financijama, prometu i komunikacijama.¹

Agencija za zaštitu tržišnog natjecanja (u daljnjem tekstu; AZTN)¹ dana 20. srpnja 2023. donijela je rješenje kojim je utvrdila kako je trgovačko društvo KEINDL SPORT d.o.o., sa sjedištem u Zagrebu (u daljnjem tekstu: Keindl sport), sa svojih ukupno petnaest distributera na području Republike Hrvatske sklopilo zabranjene vertikalne sporazume² temeljem kojih su sudionici tih sporazuma u razdoblju od 17. rujna 2013. do 1. lipnja 2018., dogovorili minimalne prodajne cijene CUBE bicikala, čime je počinjena povreda iz članka 8. stavka 1. točke 1. Zakona o zaštiti tržišnog natjecanja („Narodne novine“, br. 79/09., 80/13. i 41/21, u daljnjem tekstu: ZZTN).