Agencija za zaštitu osobnih podataka kaznila je sportsku kladionicu s 380.000 eura zbog povreda Opće uredbe o zaštiti podataka odnosno GDPR-a.
Kazna je izdana nakon istrage koja je uslijedila nakon što je neimenovani građanin AZOP-u prijavio kako Sportska kladionica prikuplja fotografije obiju strana bankovnih kartica putem emaila. Brojevi kartica navodno nisu bili zloupotrebljivani, a prikupljali su se radi dodatne usluge isplate novčanih stredstava s korisničkog računa na bankovni račun.
Utvrđeno je kako obrada odnosno prikupljanje preslika bankovnih kartica nije bila nužna radi poštovanja zakonskih obveza koje proizlaze iz Zakona o sprječavanju pranja novca, budući da se dubinska analiza igrača može provesti i bez prikupljanja obostranih preslika bankovnih kartica. Slijedom navedenog, voditelj obrade nezakonito je obrađivao preslike bankovnih kartica i to primjenom neadekvatnih sredstava obrade te je iste pohranio bez primjene odgovarajućih tehničkih i organizacijskih mjera.
AZOP navodi i kako voditelj obrade nije informirao ispitanike o tome da pohranjuje slike bankovnih kartica sukladno načelu transparentnosti te su na taj način ispitanici bili zakinuti za osnovne informacije o obradi podataka kao što su pravna osnova, svrha i razdoblje pohrane. Naime, u Izjavi o mjerama zaštite osobnih podataka, koja čini dio Politike privatnost, izričito je bilo navedeno kako voditelj obrade ne pohranjuje brojeve bankovnih kartica te da brojevi nisu dostupni neovlaštenim osobama.
No, zaposlenici voditelja obrade u razdoblju lipanj – prosinac 2022. imali su pristup 655 preslika bankovnih kartica na kojima je bio vidljiv pun opseg podataka od ukupno prikupljenih 2078 preslika bankovnih kartica. Takva obrada rezultirala je visokorizičnom povredom trećine ukupno obrađenih podataka, a pri čemu ispitanici nisu bili ni svjesni da se ti podaci pohranjuju u bazama podataka.
S obzirom na to da se financijski podaci smatraju osjetljivom kategorijom osobnih podataka, koji ovisno o kontekstu i opsegu obrade mogu prouzročiti visok rizik za prava i slobode ispitanika, voditelj obrade bio je u obvezi s posebnom pozornošću paziti na sigurnost i zakonitost obrade, što je uzeto u obzir kao otegotna okolnost.
Kao olakotna okolnost u konkretnom postupanju je stupanj odgovornosti koji je voditelj obrade pokazao nakon provedenog nadzora – na svoju inicijativu obavijestio Agenciju o načinu na koji planira uskladiti obradu s odredbama Opće uredbe o zaštiti podataka. Tako je voditelj obrade izvršio dodatna ulaganja u procese plaćanja na način da je sustav unaprijeđen i da se više ne traži dostava preslike bankovne kartice te kako su obrisane sve pohranjene preslike bankovnih kartice. Također, voditelj obrade naveo je kako je unaprijedio poslovne procese nadzora nad obradom osobnih podataka te educirao zaposlenike.
AZOP navodi četiri povrede:
- Voditelj obrade obrađivao je osobne podatke odnosno preslike bankovnih kartica ispitanika, a za čiju obradu nije dokazana pravna osnova čime je povrijeđen članak 6. stavak 1. Opće uredbe o zaštiti podataka;
- Voditelj obrade nije na adekvatan način obavijestio ispitanike o obradi osobnih podataka, odnosno o obradi podataka sadržanim na preslikama bankovnih kartica, čime je povrijeđen članak 13. stavak 1. i 2. Opće uredbe o zaštiti podataka;
- Prilikom kreiranja novog poslovnog procesa za uslugu brze isplate na VISA bankovnu karticu, voditelj obrade nije implementirao odgovarajuće tehničke i organizacijske mjere, čime je povrijeđen članak 25. stavak 1. i 2. Opće uredbe o zaštiti podataka;
- Voditelj obrade nije primjenjivao tehničku mjeru enkripcije na osobne podatke ispitanika pohranjene u bazama podataka voditelja obrade te nije redovno procjenjivao učinkovitosti tehničkih i organizacijskih mjera za osiguravanje sigurnosti obrade, a čime je povrijeđen članak 32. stavak 1. točka a) i d) Opće uredbe o zaštiti podataka.