Agencija za zaštitu osobnih podataka (dalje u tekstu: AZOP) je u ožujku 2022. g. izrekla upravnu novčanu kaznu u iznosu od 675.000,00 kuna trgovačkom društvu kao voditelju obrade zbog nepoduzimanja odgovarajućih mjera sigurnosti obrade osobnih podataka.
Naime, zbog nepoduzimanja odgovarajućih mjera sigurnosti obrade došlo je do neovlaštene obrade osobnih podataka ispitanika, i to javnom objavom istih na društvenim mrežama i u medijima.
Zaposlenici trgovačkog društva su neovlašteno i protivno internim aktima voditelja obrade, mobitelom snimili snimku videonadzora, te je ista nadalje javno objavljena na društvenim mrežama i u medijima.
AZOP je utvrdio da voditelj obrade nije poduzeo sve zaštitne mjere kojima bi rizik nastanka predmetne i/ili slične povrede sveo na najmanju moguću razinu, te da je postupio protivno članku 32. stavku 1. točke b) i d) te stavku 2. i 4. GDPR-a.
Naime, voditelj obrade je poduzeo određene organizacijske mjere zaštite kao što su edukacija zaposlenika, usvajanje internih akata kojima se propisuje pravo pristupa video zapisima te potpisivanje izjava o povjerljivosti za zaposlenike, međutim nije poduzeo sve odgovarajuće organizacijske i tehničke mjere sigurnosti. Također, voditelj obrade nije redovito nadzirao provedbu postojećih tehničkih i organizacijskih mjera, niti je testirao učinkovitost istih.