Agencija za zaštitu osobnih podataka (AZOP) na svojoj web stranici navodi da je donijela rješenje kojim se jedno od vodećih zaštitarskih društava sa sjedištem u Zagrebu kao izvršitelju obrade, izriče upravna novčana kazna zbog povrede Opće uredbe o zaštiti podataka, točnije zbog nepoduzimanja odgovarajućih tehničkih mjera sigurnosti obrade osobnih podataka.

AZOP navodi da je zaposlenik zaštitarskog društva, koje obavlja poslove tehničke i fizičke zaštite, snimio mobilnim uređajem snimku videonadzora s nadzornog ekrana te je podijelio s trećom osobom, nakon čega je snimka dospjela na društvene mreže i u medije.

Posljedično osoba čiji podaci su se nalazili na videosnimci bila je izložena uvredama, podsmjehu i izrugivanju u javnosti, što je moglo prouzročiti određenu nematerijalnu štetu, odnosno utjecati na njezin duševni integritet.

Zaštitarsko društvo nije poduzelo nikakve radnje kako bi se sporna snimka uklonila s društvenih mreža, što ukazuje da nisu poduzeli odgovarajuće mjere sigurnosti prije ni nakon nastanka incidenta, Također, kao otegotnu okolnost AZOP navodi činjenicu da zaštitarsko društvo nije na vrijeme obavijestilo voditelja obrade o nastalom incidentu, već se samo očitovalo o tome tek nakon što je voditelj obrade zatražio informacije o incidentu s čime je također došlo do povrede odredbi Opće uredbe. Sve navedeno je dodatno utjecalo na izricanje i visinu novčane kazne.

Naime, u slučaju incidenta poslovni subjekt (voditelj/izvršitelj obrade) dužan je poduzeti sve dostupne mjere kako bi smanjio utjecaj incidenta na prava osobe čiji su podaci kompromitirani. To znači da je incident potrebno analizirati u odnosu na utjecaj koji ima na prava i slobode pojedinca, kako bi se poduzele adekvatne akcije za ublažavanje svih posljedica i pravovremeno poslala komunikacija prema voditelju, AZOP-u i ispitanicima – ovisno o težini i razmjerima incidenta).

U konkretnom primjeru bilo bi potrebno, između ostaloga, zatražiti uklanjanje snimke s društvenih mreža i obavijestiti one subjekte koji su takvu snimku dijelili da obavijeste svoje kontakte i zatraže uklanjanje sporne snimke i drugo.

Kada je riječ o izvršitelju obrade, isti je dužan neodgodivo obavijestiti voditelja obrade čije podatke obrađuje sa svim detaljima incidenta. S obzirom na prirodu incidenta, potrebno je izvršiti sve potrebne provjere da li su postojale primjerene mjere ili je riječ o propustu u proceduri, te poduzeti mjere kako bi se mogućnost ponavljanja minimizirala ili u potpunosti otklonila.

Pored navedenog, bitno je voditi računa da je za svaki odnos s vanjskim izvršiteljem, kao u ovom slučaju s zaštitarskim društvom koje provodi videonadzor poslovnog subjekta, sklopljen sporazum o obradi osobnih podataka ili drugi akt kojim su uređeni zahtjevi iz Opće uredbe, te da se periodički vrše provjere izvršitelja o sigurnosnim mjerama koje provodi kako bi se smanjili mogući incidenti.

Kada do incidenta i dođe kako bi se na ispravan način reagiralo i smanjio rizik za prava ispitanika te na taj način izbjegle moguće kazne i naknade šteta.

Sažetak:

• Neovlaštena objava na društvenim mrežama
• Nepostojeće odgovarajuće tehničke mjere zaštite
• Nepoduzimanje potrebnih aktivnosti kada je uočen incident
• Nije informiran voditelj obrade
• Nije obavješten AZOP
• Nije informiran oštećenik
• Nije zatraženo uklanjanje snimka sa društvenih mreža i iz medija

www.feralis.hr

Povezane vijesti

• Prvo veliko kršenje osobnih podataka ZAPOSLENIH I U JAVNOM SEKTORU GRADA PULE I POREČA
• Ines Bolkovac, direktorica hrvatskog Centra za zaštitu osobnih podataka "Feralis": POLITIČARI NISU JEDNAKO ZAŠTIĆENI KAO DRUGI GRAĐANI
• Mini vodič za samostalno uređenje web stranice U SKLADU S GDPR-om