DPO On Demand

Hrvaška: Nadzorni organ kaznoval obdelovalca videonadzora

Agencija za varstvo osebnih podatkov (AZOP) je po uradni dolžnosti izdala odločbo o naložitvi upravne globe varnostnemu podjetju s sedežem v Zagrebu kot obdelovalcu videonazdornega sistema zaradi kršitve točke b) in d) prvega odstavka 32. člena GDPR in odstavka 2. in 4 tega člena.
Nadzornik je ugotovil, da obdelovalec ni sprejel uztreznih tehničnih varnostnih ukrepov za obdelavo osebnih podatkov, kar je privedlo do nepooblaščene obdelave osebnih podatkov prijavitelja z njihovo javno objavo v družbenih omrežjih in medijih, gre torej za nepooblaščeno razkritje osebnih podatkov vprašanih. Agencijo za varstvo osebnih podatkov je namreč v skladu s 1. odstavkom 33. člena GDPR (Kršitev varnosti podatkov) obvestil upravljavec, ki je najel to podjetje za obdelovalca. Po objavi na družbenih omrežjih je namreč ugotovil, da je zaposleni pri obdelovalcu v svoji pisarni, kjer je imel dostop do monitorjev z nadzornimi kamerami, posnel enega od kupcev v trgovini prek videonadzornega posnetka z mobilnim telefonom, ga delil s tretjo osebo, nato pa je posnetek prišel še na družbena omrežja in medije. Agencija je izvedla postopek, v katerem je ugotovila, da je družba zaradi nesprejetja ustreznih tehničnih varnostnih ukrepov svojemu zaposlenemu dovolila, da z mobilno napravo izvede snemanje videonadzornega monitorja. Med postopkom je bilo ugotovljeno, da obdelovalec niti pred niti po incidentu ni sprejel ustreznih tehničnih varnostnih ukrepov, ki naj bi preprečili ali zmanjšali tveganje za isto ali podobno kršitev, zaradi česar se je agencija odločila, da mu naloži upravno globo. Po podrobni preučitvi razpoložljivih korektivnih ukrepov iz člena 58 (2) GDPR in ob

Vsebina članka je dostopna članom DPO Kluba.