Kazna! Obrtali njihove nekretnine, pa godinama čuvali podatke 11.887 klijenata bez osnove

Zaštita osobnih podataka nije samo formalnost, nego obveza koja, ako se zanemari, može skupo stajati. Agencija za zaštitu osobnih podataka kaznila je jednu agenciju za nekretnine sa 100.000 eura zbog nezakonitog čuvanja i obrade podataka gotovo 12 tisuća klijenata. Nadzor je otkrio predugo zadržavanje dokumentacije, obradu preslika osobnih isprava bez pravne osnove te ozbiljne propuste u internim kontrolama i edukaciji zaposlenika.

Zaštita osobnih podataka posljednjih je godina postala jedno od ključnih pitanja poslovne odgovornosti. A kada se ta pravila prekrše, posljedice uključuju i izdašne novčane kazne.

Tako je Agencija za zaštitu osobnih podataka (AZOP) izrekla upravnu novčanu kaznu u iznosu od 100.000,00 eura jednoj agenciji za nekretnine, u svojstvu voditelja obrade, zbog višestrukih povreda Opće uredbe o zaštiti podataka (GDPR). Utvrđene nepravilnosti odnose se na kršenje načela ograničenja pohrane i zakonitosti obrade, kao i na izostanak odgovarajućih tehničkih i organizacijskih mjera zaštite osobnih podataka. U nastavku donosimo pregled ključnih povreda koje su bile predmet nadzornog postupka.

Predugo čuvanje podataka

Tijekom nadzora u pisanoj arhivi voditelja obrade pronađeno je ukupno 11.887 obrazaca – uključujući ugovore o posredovanju pri kupnji i najmu/zakupu nekretnina te posredničke listove, zajedno s pripadajućom dokumentacijom. Riječ je o dokumentima sklopljenima u razdoblju od 23. rujna 2010. do 31. prosinca 2019. godine.

Utvrđeno je da su osobni podaci klijenata čuvani i nakon isteka svrhe obrade, čime je prekršeno načelo ograničenja pohrane iz članka 5. stavka 1. točke (e) GDPR-a. To načelo propisuje da se osobni podaci smiju čuvati u obliku koji omogućuje identifikaciju ispitanika samo onoliko dugo koliko je to nužno za ostvarenje svrhe radi koje su prikupljeni.

U konkretnom slučaju voditelj obrade nije dokazao postojanje zakonite osnove za daljnju pohranu podataka nakon završetka ugovornog odnosa, niti je imao jasno definirane rokove čuvanja dokumentacije. Time je došlo do prekomjernog i neopravdanog zadržavanja velike količine osobnih podataka gotovo 12 tisuća klijenata.

Obrada osjetljivih dokumenata

Posebno zabrinjavajućim ocijenjeno je postupanje vezano uz preslike osobnih dokumenata i bankovnih kartica. U arhiviranoj dokumentaciji pronađeno je ukupno 914 preslika različitih isprava, i to: 898 preslika osobnih iskaznica, 6 preslika putovnica, 2 preslike strane putovnice, 1 preslika zdravstvene iskaznice, 1 preslika osobne iskaznice malodobnog djeteta, 1 preslika dozvole boravka, 2 preslike vozačke dozvole te 3 preslike bankovnih kartica. Voditelj obrade nije dokazao postojanje pravne osnove za njihovu obradu, čime je prekršena odredba članka 6. stavka 1. u vezi s člankom 5. stavkom 1. točkom (c) GDPR-a, koja propisuje načelo zakonitosti i smanjenja količine podataka na najmanju moguću mjeru.

Dodatnu težinu slučaju daje činjenica da je direktor društva tijekom nadzora izjavio kako se preslike bankovnih kartica ne prikupljaju. Unatoč tome, preslike su pronađene kao sastavni dio dokumentacije o posredovanju između agencije i klijenata. Takvo postupanje ukazuje na ozbiljan nedostatak unutarnje kontrole i nadzora nad procesima obrade, ali i na manjak svijesti zaposlenika o rizicima obrade osobnih i financijskih podataka. S obzirom na to da obrada preslika osobnih isprava i bankovnih kartica predstavlja visok rizik za prava i slobode ispitanika, izostanak jasne pravne osnove i zaštitnih mjera posebno je problematičan.

Izostanak učinkovitog nadzora

U pogledu sigurnosti obrade, AZOP je utvrdio da voditelj obrade nije poduzeo odgovarajuće tehničke i organizacijske mjere kako bi osigurao da zaposlenici osobne podatke obrađuju isključivo prema njegovim uputama. Time je prekršena odredba članka 32. stavka 4. GDPR-a.

Utvrđeno je da su se edukacije o zaštiti osobnih podataka provodile neredovito i u nedovoljnom opsegu. Nije postojao sustavan nadzor nad zaposlenicima koji su imali pristup osobnim podacima klijenata, niti su postojali jasni interni protokoli vezani uz prikupljanje i pohranu dokumentacije.

Iako u konkretnom slučaju nije utvrđena izravna šteta za ispitanike, nadzorno tijelo zaključilo je da je riječ o neusklađenosti koja proizlazi iz nemarnog postupanja voditelja obrade. Ovaj slučaj još jednom potvrđuje da usklađenost s propisima o zaštiti osobnih podataka nije jednokratan administrativni zadatak, već trajna obveza koja zahtijeva jasno definirane procedure, kontinuiranu edukaciju zaposlenika i odgovorno upravljanje osobnim podacima.