Agencija za zaštitu osobnih podataka je po službenoj dužnosti donijela rješenje kojim se zaštitarskom društvu sa sjedištem u Zagrebu (dalje u tekstu: društvo) kao izvršitelju obrade, izriče upravna novčana kazna zbog povrede članka 32. stavka 1. točke b) i d) te stavka 2. i 4. Opće uredbe o zaštiti podataka, točnije zbog nepoduzimanja odgovarajućih tehničkih mjera sigurnosti obrade osobnih podataka, što je dovelo do neovlaštene obrade osobnih podataka ispitanika njihovom javnom objavom na društvenim mrežama i u medijima, odnosno do neovlaštenog otkrivanja osobnih podataka ispitanika.
Naime, Agenciji za zaštitu osobnih podataka obratio se voditelj obrade, sukladno članku 33. stavku 1. Opće uredbe o zaštiti podataka s prijavom povrede osobnih podataka ispitanika koja je nastala u njihovoj poslovnici, na način da je zaposlenik društva izvršitelja obrade, koje temeljem ugovora obavlja poslove tehničke i fizičke zaštite u poslovnici, snimio mobilnim uređajem snimku videonadzora s nadzornog ekrana te je podijelio s trećom osobom, nakon čega je snimka dospjela na društvene mreže i u medije.
Agencija je provela postupak u kojemu je utvrdila da je društvo, zbog nepoduzimanja odgovarajućih tehničkih mjera sigurnosti, omogućilo svojem zaposleniku stvaranje snimke videonadzornog monitora mobilnim uređajem. Tijekom postupka je utvrđeno da izvršitelj obrade nije poduzeo odgovarajuće tehničke mjere sigurnosti, niti prije, a niti nakon incidenta, koje su trebale spriječiti ili svesti rizik iste ili slične povrede na najmanju moguću razinu, zbog čega je Agencija odlučila izreći upravnu novčanu kaznu.
Nakon detaljnog razmatranja raspoloživih korektivnih mjera iz članka 58. stavka 2. Opće uredbe o zaštiti podataka te uzimajući u obzir utvrđene okolnosti, kao i da svaka korektivna mjera mora biti učinkovita, proporcionalna i odvraćajuća, Agencija je odlučila izreći upravnu novčanu kaznu. Pri odlučivanju o izricanju upravne novčane kazne, kao i njenom iznosu, Agencija se vodila kriterijima propisanim člankom 83. stavak 2. Opće uredbe o zaštiti podataka.
Pritom je utvrđeno da izvršitelj obrade krši obveze o provedbi odgovarajućih tehničkih mjera sigurnosti obrade osobnih podataka više od dvije i pol godine te ono traje i dalje, jer nakon spornog incidenta izvršitelj obrade nije predvidio niti implementirao odgovarajuće tehničke mjere zaštite. Također, obrađivani su osobni podaci jednog ispitanika na način da je snimka dospjela na društvene mreže i u medije te je posljedično ispitanik bio izložen uvredama, podsmjehu i izrugivanju u javnosti, što je moglo prouzročiti određenu nematerijalnu štetu, odnosno utjecati na njegov duševni integritet. Društvo nije poduzelo nikakve radnje kako bi se sporna snimka uklonila s društvenih mreža, odnosno iz medija te je ista ostala javno dostupna.
Agencija je kao otegotnu okolnost uzela i činjenicu da izvršitelj obrade nije ispunio svoju zakonsku obvezu obavještavanja voditelja obrade o predmetnom incidentu kako ga obvezuje članak 33. stavak 2. Opće uredbe, već je očitovanje o istom dostavio voditelju obrade na njihovo traženje nakon zaprimljenog prigovora ispitanika.
Također, kao otegotna okolnost je uzeta i činjenica da je osnovna djelatnost društva pružanje fizičke i tehničke zaštite, koje uključuje primjenu i uporabu videonadzora te je društvo jedno od vodećih u Republici Hrvatskoj u navedenoj djelatnosti. Stoga bi društvo kao takvo, trebalo biti relevantni subjekt u davanju mišljenja, smjernica, savjeta i predlagati rješenja voditeljima obrade o uporabi videonadzornog sustava te istovremeno davati primjer svojim radom i pridavati veću pažnju tome od drugih.