Agencija za zaštitu osobnih podatka izrekla je upravnu novčanu kaznu voditelju obrade – trgovačkom društvu za priređivanje igara na sreću – igara klađenja (sportskoj kladionici) u iznosu od 380.000,00 eura zbog sljedeće utvrđenih povreda Opće uredbe o zaštiti podataka koja se odnosni na to da je Voditelj obrade obrađivao je osobne podatke odnosno preslike bankovnih kartica ispitanika, a za čiju obradu nije dokazana pravna osnova čime je povrijeđen članak 6. stavak 1. Opće uredbe o zaštiti podataka.
Uz to kako sitiču drugi je razlog jer Voditelj obrade nije na adekvatan način obavijestio ispitanike o obradi osobnih podataka, odnosno o obradi podataka sadržanim na preslikama bankovnih kartica, čime je povrijeđen članak 13. stavak 1. i 2. Opće uredbe o zaštiti podataka.
Pritom, napominju iz AZOP-a, prilikom kreiranja novog poslovnog procesa za uslugu brze isplate na VISA bankovnu karticu, voditelj obrade nije implementirao odgovarajuće tehničke i organizacijske mjere, čime je povrijeđen članak 25. stavak 1. i 2. Opće uredbe o zaštiti podataka te Voditelj obrade nije primjenjivao tehničku mjeru enkripcije na osobne podatke ispitanika pohranjene u bazama podataka voditelja obrade te nije redovno procjenjivao učinkovitosti tehničkih i organizacijskih mjera za osiguravanje sigurnosti obrade, a čime je povrijeđen članak 32. stavak 1. točka a) i d) Opće uredbe o zaštiti podataka.
Naime, Agencija je zaprimila podnesak građanina o prikupljanju obostrane preslike bankovne kartice putem elektroničke pošte od strane predmetnog voditelja obrade. Sukladno ovlastima, Agencija je pokrenula postupak po službenoj dužnosti zbog visokog rizika za prava i slobode ispitanika (igrača, korisnika usluge).
U predmetnom slučaju utvrđeno je kako je voditelj obrade od lipnja do prosinca 2022. godine igračima pružao dodatnu uslugu isplate dobitnika na VISA karticu, a pored već postojećih mogućnosti isplate novčanih sredstava s korisničkog računa na bankovni račun.
„Utvrđeno je kako obrada odnosno prikupljanje preslika bankovnih kartica nije nužno radi poštovanja zakonskih obveza koje proizlaze iz Zakona o sprječavanju pranja novca, budući da se dubinska analiza igrača može provesti i bez prikupljanja obostranih preslika bankovnih kartica. Slijedom navedenog, voditelj obrade nezakonito je obrađivao preslike bankovnih kartica i to primjenom neadekvatnih sredstava obrade te je iste pohranio bez primjene odgovarajućih tehničkih i organizacijskih mjera“, ističu iz AZOP-a.
Također, voditelj obrade nije informirao ispitanike o predmetnoj obradi (pohrani preslika bankovnih kartica) sukladno načelu transparentnosti te su na taj način ispitanici bili zakinuti za osnovne informacije o obradi podataka kao što su pravna osnova, svrha i razdoblje pohrane. Naime, u Izjavi o mjerama zaštite osobnih podataka, koja čini dio Politike privatnost, izričito je bilo navedeno kako voditelj obrade ne pohranjuje brojeve bankovnih kartica te da brojevi nisu dostupni neovlaštenim osobama.
No, zaposlenici voditelja obrade u razdoblju lipanj – prosinac 2022. imali su pristup 655 preslika bankovnih kartica na kojima je bio vidljiv pun opseg podataka od ukupno prikupljenih 2078 preslika bankovnih kartica. Takva obrada rezultirala je visokorizičnom povredom trećine ukupno obrađenih podataka, a pri čemu ispitanici nisu bili ni svjesni da se ti podaci pohranjuju u bazama podataka.
S obzirom na to da se financijski podaci smatraju osjetljivom kategorijom osobnih podataka, koji ovisno o kontekstu i opsegu obrade mogu prouzročiti visok rizik za prava i slobode ispitanika, voditelj obrade bio je u obvezi s posebnom pozornošću paziti na sigurnost i zakonitost obrade, što je uzeto u obzir kao otegotna okolnost.
„Kao olakotna okolnost u konkretnom postupanju je stupanj odgovornosti koji je voditelj obrade pokazao nakon provedenog nadzora – na svoju inicijativu obavijestio Agenciju o načinu na koji planira uskladiti obradu s odredbama Opće uredbe o zaštiti podataka. Tako je voditelj obrade izvršio dodatna ulaganja u procese plaćanja na način da je sustav unaprijeđen i da se više ne traži dostava preslike bankovne kartice te kako su obrisane sve pohranjene preslike bankovnih kartice. Također, voditelj obrade naveo je kako je unaprijedio poslovne procese nadzora nad obradom osobnih podataka te educirao zaposlenike“, zaključuju u AZOP-u.