La Autoridad de Protección de Datos Personales ha impuesto dos nuevas sanciones administrativas por infracciones del Reglamento General de Protección de Datos y de la Ley sobre la aplicación del Reglamento General de Protección de Datos.
Sanción administrativa por falta de adopción de medidas técnicas y organizativas
Debido a la falta de medidas técnicas de seguridad adecuadas para el tratamiento de datos personales por parte de la empresa para la prestación de servicios de información por parte de Zagreb (en lo sucesivo, la empresa), como controlador de datos, ha ocurrido una violación de seguridad que ha traído al procesamiento de datos personales de 28.085 entrevistados como un acceso no autorizado por los hackers. La empresa no ha adoptado las medidas necesarias para alcanzar un nivel de seguridad adecuado en cumplimiento de los riesgos existentes y ha actuado infringiendo el artículo 32, apartado 1, letras b) y d) y el apartado 2 del Reglamento General de Protección de Datos.
El accidente ha sido denunciado a AZOP, y la empresa de telecomunicaciones también ha informado por escrito a los usuarios de sus servicios de la posible violación de datos personales.
Durante el tratamiento de datos personales, la empresa está obligada a adoptar medidas técnicas adecuadas para garantizar la confidencialidad continua del sistema, así como el proceso de verificación, la evaluación y la evaluación periódica de la eficacia de las medidas técnicas y organizativas para garantizar los riesgos del intercambio no autorizado de información personal. Dado que la empresa, según la información disponible, presta servicios de tecnología de la información a otros operadores móviles, bancos e instituciones gubernamentales en la República de Croacia, pero también a empresas extranjeras (EE.UU., Gran Bretaña, Países Bajos, etc.) será importante para emitir dictámenes, directrices, proponer soluciones a los controladores de datos en las realizaciones de aplicaciones web, y así con el fin de realizar e implementar medidas técnicas adecuadas para proteger el procesamiento de datos personales.
En consecuencia, en cumplimiento de las facultades que le confiere el párrafo 2 del artículo 58 del GDPR, la Agencia ha impuesto una sanción administrativa, en cumplimiento de las condiciones para su imposición de conformidad con el artículo 83 del GDPR y los artículos 44, 45, y 46 de la Ley de Implementación del GDPR.
Sanción administrativa por no haber marcado el objeto bajo videovigilancia
La Agencia de Protección de Datos Personales, sin previo aviso, ha llevado a cabo una supervisión directa del tratamiento y la aplicación de la protección de datos personales, el recuerdo sobre el tratamiento de datos llevado a cabo por el sistema de videovigilancia y ha establecido que la compañía de seguros de Zagreb (en lo sucesivo, la empresa) no ha indicado que la estructura corporativa (en los que se realizan inspecciones técnicas y las matriculaciones de vehículos y se externalizan servicios de seguros) y la superficie externa de la estructura de la empresa son objeto de vigilancia por vídeo. Por lo tanto, el controlador de datos, que es la compañía de seguros, ha actuado en contraste con el artículo 27, párrafo 1, de la Ley de Implementación del GDPR.
De conformidad con el artículo 51, párrafo 1, párrafo 1, de la Ley, ha sido sancionado por falta de una estructura bajo vigilancia por vídeo.
La agencia considera que las medidas correctoras como sanción son efectivas, proporcionadas y disuasorias y se ajustan plenamente a las circunstancias de ambas multas.