Kladionica nepropisno spremala kopije kartica, kažnjeni su s 380 tisuća eura

Agencija za zaštitu osobnih podatka (AZOP) je izrekla svoju 14. upravnu novčanu kaznu zbog nepropisnog postupanja s osobnim podacima u smislu Opće uredbe o zaštiti podataka – GDPR.

Sa 380.000 eura kaznili su jednu domaću sportsku kladionicu, nakon istrage pokrenute na osnovu podneska građanina o prikupljanju obostrane preslike bankovne kartice putem e-pošte.

Pokazalo se da je kladionica od lipnja do prosinca 2022. pružala dodatnu uslugu isplate premije dobitnicima na Visa karticu, pri čemu su prikupljali podatke s tih kartica tako što su tražili da im se preslike obje strane bankovne kartice pošalju e-mailom.

Prema AZOP-u, kladionica je nezakonito obrađivala preslike bankovnih kartica primjenom neadekvatnih sredstava obrade, a pohranila ih je bez primjene odgovarajućih tehničkih i organizacijskih mjera.

Korisnici nisu bili obaviješteni o obradi podataka na način kako to propisuje GDPR. U njihovoj Izjavi o mjerama zaštite osobnih podataka koja čini dio Politike privatnosti izričito je bilo navedeno da kladionica ne pohranjuje brojeve bankovnih kartica te da brojevi nisu dostupni neovlaštenim osobama.

Međutim, istraga je utvrdila da su njihovi zaposlenici imali pristup do 655 preslika bankovnih kartica, na kojima je bio vidljiv pun opseg podataka, od ukupno prikupljenih 2078 preslika bankovnih kartica.

Takva obrada rezultirala je visokorizičnom povredom trećine ukupno obrađenih podataka, a pri čemu ispitanici nisu bili ni svjesni da se ti podaci pohranjuju u bazama podataka, kaže AZOP ističući da se financijski podaci smatraju osjetljivom kategorijom osobnih podataka.