Home

Alcune aziende che ci hanno scelto

Privacy Officer e consulente privacy
Schema CDP secondo la norma ISO/IEC 17024:2012
European Privacy Auditor
Schema di Certificazione ISDP©10003 secondo la norma ISO/IEC 17065:2012
Valutatore Privacy
Secondo la norma UNI 11697:2017
Lead Auditor ISO/IEC 27001:2022
Secondo la norma ISO/IEC 17024:2012
Data Protection Officer
Secondo la norma ISO/IEC 17024:2012
Anti-Bribery Lead Auditor Expert
Secondo la norma ISO/IEC 17024:2012
ICT Security Manager
Secondo la norma UNI 11506:2017
IT Service Management (ITSM)
Secondo l’Ente ITIL Foundation
Ethical Hacker (CEH)
Secondo l’Ente EC-Council
Network Defender (CND)
Secondo l’Ente EC-Council
Computer Hacking Forensics Investigator (CHFI)
Secondo l’Ente EC-Council
Penetration Testing Professional (CPENT)
Secondo l’Ente EC-Council

Qualifiche professionali

Rimani aggiornato sulle notizie dal mondo!

Seleziona gli argomenti di tuo interesse:

News

Home / News
/
AUTORITÀ DI CONTROLLO CROATA: Sanzione comminata a Zagreb Holding

AUTORITÀ DI CONTROLLO CROATA: Sanzione comminata a Zagreb Holding

L’Agenzia per la protezione dei dati personali ha inflitto al titolare del trattamento, Zagrebački holding doo, una sanzione amministrativa dell’importo di EUR 25.000,00 (HRK 188.362,50) per le seguenti violazioni del Regolamento generale sulla protezione dei dati:

  • Il titolare del trattamento non ha informato adeguatamente gli utenti del servizio sulla base giuridica del trattamento dei dati personali e sul periodo di conservazione dei dati personali al momento della raccolta di una copia di un documento di identificazione personale a causa dell’emissione di una copia della fattura via e-mail, quindi agire in contrasto con quanto previsto dall’art. 13, comma 1, lettera c) e art. 13. comma 2. (a), (e) del Regolamento Generale sulla protezione dei dati. Conformemente alle disposizioni sopra richiamate, e qualora vengano raccolti dati personali presso i rispondenti, il titolare del trattamento è tenuto al momento della raccolta a fornire ai rispondenti tutte le informazioni relative al trattamento dei loro dati personali (ad esempio, informarli delle finalità e degli aspetti legali) base del trattamento dei dati personali, il periodo in cui i dati personali saranno conservati, ecc.) in forma concisa, comprensibile e facilmente accessibile, utilizzando un linguaggio chiaro e semplice
  • Il responsabile del trattamento non ha adottato misure tecniche e organizzative adeguate durante il trattamento dei dati personali allo scopo di identificare gli utenti del servizio a causa dell’emissione di trascrizioni di fatture via e-mail, violando così le disposizioni dell’art. 25, comma 2 del Regolamento Generale sulla Protezione dei Dati.

L’Agenzia per la protezione dei dati personali ha infatti ricevuto la testimonianza di un cittadino secondo cui la Zagrebački Holding doo chiede agli utenti del servizio una copia della carta d’identità prima di emettere una copia della fattura (tassa per il trattamento dell’acqua e tassa per le utenze) via e-mail. Si precisava inoltre che per lo stesso servizio, ai fini dell’identificazione, era precedentemente sufficiente fornire nome, cognome, indirizzo, OIB, numero di sistema dell’impianto e numero di sistema del soggetto pagatore.

Nel procedimento, è stato accertato che il titolare del trattamento non ha prescritto regole per l’identificazione dell’utente del servizio che richiede l’invio di copia della fattura via posta elettronica, e che ha raccolto copie del documento di identificazione dell’utente tramite posta elettronica -mail solo in caso di sospetta frode. In particolare, l’azienda Zagrebački ha richiesto una copia del documento di identificazione personale agli utenti che utilizzano un indirizzo di posta elettronica che nella sua struttura ha un nome diverso dal nome e cognome dell’utente del servizio, cioè se il nome e cognome del servizio l’utente che ha richiesto una copia via e-mail dell’account non corrispondeva alla struttura dell’indirizzo e-mail a cui ha richiesto una copia dell’account. La stessa costruzione del nome dell’indirizzo di posta elettronica, che contiene il nome e il cognome appropriati, non costituisce una misura di tutela tale da fornire al titolare del trattamento una garanzia sufficiente che la richiesta sia stata avanzata dall’effettivo utente del servizio. In conseguenza di quanto sopra, è stato accertato che il titolare del trattamento non ha adottato misure di protezione tecniche e organizzative adeguate, ovvero non ha organizzato il processo di trattamento allo scopo di identificare gli utenti del servizio che hanno richiesto copia della fattura via posta elettronica, in tal modo agire in contrasto con l’art. 25, comma 2 del Regolamento Generale sulla Protezione dei Dati.

Il titolare del trattamento avrebbe dovuto elaborare i processi aziendali di identificazione tramite posta elettronica in modo tale da garantire che il processo di identificazione degli utenti del servizio sia lo stesso per tutti gli utenti, indipendentemente dalla struttura dell’e-mail. Con la suddetta procedura non è possibile per gli utenti del servizio, che non presentino nome e cognome nella struttura del proprio indirizzo di posta elettronica, comunicare a distanza senza presentare un documento personale di identificazione, ovvero richiedere copia della fattura tramite e-mail.

Inoltre, questo metodo di identificazione ha comportato un trattamento non sicuro sotto forma di raccolta di copie di documenti di identificazione personale, mentre gli intervistati a cui è stato chiesto di presentare documenti di identificazione senza fornire tutte le informazioni pertinenti hanno avvertito anche un senso di perdita di controllo sui propri dati personali.

Il responsabile del trattamento non ha inoltre informato in modo trasparente gli utenti del servizio circa la base giuridica per la raccolta di dati personali (copie di carte d’identità) a fini di identificazione. Le informazioni sull’oggetto non sono state rese disponibili agli intervistati né attraverso i documenti pubblicati relativi al trattamento dei dati personali sul sito web ufficiale del titolare del trattamento, né dopo che gli intervistati hanno richiesto direttamente informazioni sul trattamento via e-mail, il che è contrario a quanto previsto dall’art. . 13, comma 1, lettera c) e art. 13. comma 2. (a), (e) del Regolamento Generale sulla protezione dei dati.

https://azop.hr/izrecena-upravna-novcana-kazna-zagrebackom-holdingu/

Suggeriti per te

Ricerca Avanzata