Agencija za zaštitu osobnih podataka izrekla upravnu novčanu kaznu Zagrebačkom holdingu

Niste prijavljeni. Prijavite se kako biste mogli pristupiti podacima portala InSOLVE.
Prijava

Agencija za zaštitu osobnih podataka izrekla upravnu novčanu kaznu Zagrebačkom holdingu

15.09.2023 09:10

Agencija za zaštitu osobnih podataka (u daljnjem tekstu: AZOP)¹ je zaprimila pritužbu građanina iz koje proizlazi kako trgovačko društvo Zagrebački holding d.o.o. (u daljnjem tekstu: Zagrebački holding) od korisnika svojih usluga prije izdavanja prijepisa određenih računa (konkretno, računa za naknadu za uređenje voda i komunalnu naknadu) putem elektronske pošte traži presliku osobne iskaznice, a da je za istu uslugu u svrhu identifikacije ranije tražio isključivo podatke o imenu i prezimenu, adresi, OIB-u te sistemskom broju objekta i sistemskom broju obveznika.

Temeljem zaprimljene opisane pritužbe o povredi osobnih podataka, AZOP je proveo nadzorno postupanje nad Zagrebačkim holdingom kao voditeljem obrade osobnih podataka² kako bi ispitao navode iz predmetne pritužbe i okolnosti potencijalne povrede te slijedom utvrđenih nepravilnosti, izrekao upravnu novčanu kaznu u iznosu od 25.000,00 eura (u protuvrijednosti od 188.362,50 kuna) zbog sljedeće utvrđenih povreda Opće uredbe o zaštiti podataka:

Voditelj obrade nije na odgovarajući način informirao korisnike usluga o pravnoj osnovi obrade osobnih podataka te razdoblju pohrane osobnih podataka prilikom prikupljanja preslike osobnog identifikacijskog dokumenta zbog izdavanja prijepisa računa putem e-pošte čime je postupio protivno odredbi čl. 13. st. 1. (c) ³ i čl. 13. st. 2. (a)⁴ , (e)⁵ Opće uredbe o zaštiti podataka. Sukladno navedenim odredbama, a ukoliko se osobni podaci prikupljaju od ispitanika, voditelj obrade dužan je u trenutku prikupljanja pružiti ispitanicima sve informacije o obradi njihovih osobnih podataka (primjerice upoznati ih sa svrhom i pravnom osnovom za obradu osobnih podataka, razdoblju u kojem će osobni podaci biti pohranjeni itd.) u sažetom, razumljivom i lako dostupnom obliku, uz upotrebu jasnog i jednostavnog jezika

Voditelj obrade nije poduzeo odgovarajuće tehničke i organizacijske mjere prilikom obrade osobnih podataka u svrhu identifikacije korisnika usluga zbog izdavanja prijepisa računa putem e-pošte, čime je povrijedio odredbe čl. 25. st. 2. Opće uredbe o zaštiti podataka⁶.

U provedenom nadzornom postupku AZOP je utvrdio kako Zagrebački holding kao voditelj obrade nema propisana pravila za identifikaciju korisnika usluge koji traži dostavu prijepisa računa putem elektroničke pošte te je isti prikupljao preslike identifikacijskog dokumenta korisnika putem elektroničke pošte samo u slučaju sumnje na lažno predstavljanje.

Naime, Zagrebački holding tražio je presliku osobnog identifikacijskog dokumenta od korisnika koji se koriste e-mail adresom koja u svojoj strukturi ima različito ime/naziv od imena i prezimena korisnika usluge, odnosno ukoliko ime i prezime korisnika usluge koji je putem e-pošte zahtijevao prijepis računa nije odgovaralo strukturi e-mail adrese s koje su zahtijevali prijepis računa.

Sukladno priopćenju AZOP-a, sama konstrukcija naziva e-mail adrese koja sadrži odgovarajuće ime i prezime, nije zaštitna mjera koja bi voditelju obrade pružila dovoljnu garanciju da je zahtjev postavljen od strane stvarnog korisnika usluge.

Slijedom navedenog, AZOP je utvrdio kako je Zagrebački holding kao voditelj obrade propustio implementirati odgovarajuće tehničke i organizacijske mjere zaštite odnosno urediti proces obrade u svrhu identifikacije korisnika usluga koji su zatražili prijepis računa putem e-pošte, čime je postupio protivno čl. 25. st. 2. Opće uredbe o zaštiti podataka.

Voditelj obrade je trebao razraditi poslovne procese identifikacija putem elektroničke pošte na način koji će osigurati da postupak identifikacije korisnika usluge bude jednak za sve korisnike, bez obzira na strukturu e-pošte. Navedenim postupanjem onemogućeno je da korisnici usluga, koji u strukturi svoje e-mail adrese nemaju ime i prezime, bez dostave osobnog identifikacijskog dokumenta, ostvare komunikaciju udaljenim putem, odnosno zatraže prijepis računa putem e-pošte.

Također, ovaj način identifikacije rezultirao je nesigurnom obradom u vidu prikupljanja preslika osobnih identifikacijskih dokumenata, pri čemu se dodatno kod ispitanika od kojih je zatražena dostava identifikacijskog dokumenta bez davanja svih relevantnih informacija stvorio osjećaj gubitka kontrole nad njihovim osobnim podacima.

Prema utvrđenju AZOP-a, Zagrebački holding kao voditelj obrade propustio je i transparentno informirati korisnike usluge o pravnoj osnovi za prikupljanje osobnih podataka (preslike osobne iskaznice) u svrhu identifikacije. Ispitanicima predmetne informacije nisu bile dostupne ni kroz objavljene dokumente odnosne na obradu osobnih podataka na službenim internetskim stranicama voditelja obrade, a ni nakon što su ispitanici izravno zatražili informacije o obradi putem e-pošte, što je protivno odredbama čl. 13. st. 1. (c) i čl. 13. st. 2. (a), (e) Opće uredbe o zaštiti podataka.

Maja Bilić Paulić, mag. iur.

IZVOR: Priopćenje AZOP-a od dana 13. 09. 2023., dostupno na sljedećoj poveznici: https://azop.hr/izrecena-upravna-novcana-kazna-zagrebackom-holdingu/

^ 1 AZOP kao samostalno i neovisno državno tijelo, nadzire provedbu Uredbe (EU) 2016/679 Europskog parlamenta i Vijeća od 27. 04. 2016. o zaštiti pojedinaca u vezi s obradom osobnih podataka i o slobodnom kretanju takvih podataka te o stavljanju izvan snage Direktive 95/46/EZ (u daljnjem tekstu: Opća uredba o zaštiti podataka) i obavlja poslove u okviru djelokruga i nadležnosti utvrđenih Zakonom o provedbi Opće uredbe o zaštiti podataka („Narodne novine“, br. 42/18).

^ 2 Opća uredba o zaštiti podatakau čl. 4. st. 1. t. 7. definira voditelja obrade kao fizičku ili pravnu osobu, tijelo javne vlasti, agencija ili drugo tijelo koje samo ili zajedno s drugima određuje svrhe i sredstva obrade osobnih podataka; kada su svrhe i sredstva takve obrade utvrđeni pravom Unije ili pravom države članice, voditelj obrade ili posebni kriteriji za njegovo imenovanje mogu se predvidjeti pravom Unije ili pravom države članice.

^ 3 Prema odredbi iz čl. 13. st. 1. (c) Opće uredbe o zaštiti podataka Ako su osobni podaci koji se odnose na ispitanika prikupljeni od ispitanika, voditelj obrade u trenutku prikupljanja osobnih podataka ispitaniku pruža sljedeće informacije – o svrsi obrade radi kojih se upotrebljavaju osobni podaci kao i pravnu osnovu za obradu;

^ 4 Prema odredbi iz čl. 13. st. 2. (a) Opće uredbe o zaštiti podataka osim informacija iz stavka 1., voditelj obrade u trenutku kada se osobni podaci prikupljaju pruža ispitaniku sljedeće dodatne informacije potrebne kako bi se osigurala poštena i transparentna obrada: razdoblje u kojem će osobni podaci biti pohranjeni ili, ako to nije moguće, kriterije kojima se utvrdilo to razdoblje;

^ 5 Prema odredbi iz čl. 13. st. 2. (e) Opće uredbe o zaštiti podataka Osim informacija iz stavka 1., voditelj obrade u trenutku kada se osobni podaci prikupljaju pruža ispitaniku sljedeće dodatne informacije potrebne kako bi se osigurala poštena i transparentna obrada informaciju o tome je li pružanje osobnih podataka zakonska ili ugovorna obveza ili uvjet nužan za sklapanje ugovora te ima li ispitanik obvezu pružanja osobnih podataka i koje su moguće posljedice ako se takvi podaci ne pruže;

^ 6 Prema odredbi iz čl. 25. st. 2. Opće uredbe o zaštiti podataka voditelj obrade provodi odgovarajuće tehničke i organizacijske mjere kojima se osigurava da integriranim načinom budu obrađeni samo osobni podaci koji su nužni za svaku posebnu svrhu obrade. Ta se obveza primjenjuje na količinu prikupljenih osobnih podataka, opseg njihove obrade, razdoblje pohrane i njihovu dostupnost. Točnije, takvim se mjerama osigurava da osobni podaci nisu automatski, bez intervencije pojedinca, dostupni neograničenom broju pojedinca.

U središtu

Rad studenata Pravilnikom o izmjenama i dopunama Pravilnika o porezu na dohodak za koji javno savjetovanje sa zainteresiranom javnošću traje od 3. prosinca 2025. do 17. prosinca 2025. predlaže se, između ostalog, od 1. siječnja 2026. povećati koeficijent koji se primjenjuje na iznos osnovnog osobnog odbitka pri izračunu neoporezivog iznosa primitaka učenika i studenata na školovanju za rad preko učeničkih i studentskih udruga, uslijed čega će se povećati i neoporezivi iznos primitaka učenika i studenata.

Božićnica, iako u praksi možda i najčešća, u poreznim propisima definirana je kao jedna od mogućih prigodnih nagrada koje poslodavac može isplatiti radniku. U ovom članku donosimo sažete praktične smjernice za ispravnu isplatu božićnice.

Izdavanje računa u elektroničkom obliku (eRačuni) postaju standard u poslovanju ali i obveza u 2026. za obveznike poreza na dodanu vrijednost, dok za male porezne obveznike postoji obveza zaprimanja istih. Uvode se, uz brojne razloge, i poradi efikasnijeg djelovanja Porezne uprave. Međutim, uvođenje eRačuna donosi i određene koristi kao što su digitalna arhiva, transparentnost, manje grešaka u ručnom radu i slično. U nastavku dajemo osvrt na izdavanje računa koje hrvatski porezni obveznici od 1. siječnja 2026. trebaju izdati inozemnim poslovnim subjektima.

Fiskalizacija nije ništa novo – uvedena je još 2013. s ciljem suzbijanja sive ekonomije i povećanja transparentnosti gotovinskog poslovanja. Sada, odnosno u suvremenom poreznom okruženju, sustav fiskalizacije proširuje se. U ovom kratkom pregledu podsjećamo što je fiskalizacija 1.0, te donosimo najbitnije informacije o promjenama poslovanju s građanima – i što to znači praktično za poduzetnike.

U okolnostima kada elementarne nepogode uzrokuju značajnu štetu na imovini i poslovanju, porezni položaj pomoći radnicima postaje bitno pitanje za poslodavce koji žele postupati u skladu s propisima. Propisi o porezu na dohodak jasno definiraju kada se potpore zbog uništenja ili oštećenja imovine mogu isplatiti neoporezivo te pod kojim uvjetima takve isplate prelaze u sferu oporezivog dohotka. U nastavku donosimo pregled aktualnog poreznog okvira, relevantnog mišljenja Porezne uprave te praktične smjernice za pravilnu primjenu ovih odredbi u situacijama elementarnih i prirodnih nepogoda.