Menu
Agencija za zaštitu osobnih podataka (AZOP) izrekla je upravnu novčanu kaznu u iznosu od 15.000,00 eura voditelju obrade hotelu (odnosno pravnoj osobi unutar koje posluje predmetni hotel), nakon što su od gostiju zatražili podatke o sigurnosnom broju bankovne kartice (CVC broj), kao i preslike osobnih dokumenata prilikom rezervacije smještaja u hotelu putem online obrasca hotela i putem emaila.
Agencija za zaštitu osobnih podataka zaprimila je prijavu građanina koji je naveo kako se prilikom rezervacije smještaja u predmetnom hotelu traži potvrda rezervacije slanjem CVC kreditne kartice (putem obrasca) i to potpuno nezaštićenim kanalima (putem elektroničke pošte). Isto tako, u zaprimljenoj prijavi navedeno je kako potencijalni gost nije informiran tko ima pristup njegovim osobnim podacima, tj. osobnom dokumentu koji je na traženje hotela dužan poslati kako bi se mogla teretiti kreditna kartica.
Naime, predmetni hotel imao je tri mogućnosti rezervacije smještaja – putem pružatelja usluge, online rezervacija putem web obrasca na internetskoj stranici hotela te putem e-pošte, uz napomenu kako se putem web obrasca i e-pošte vršila samo rezervacija, a ne i naplata.
Prilikom rezervacije putem web obrasca bilo je potrebno upisati osobne podatke gosta: ime, prezime, adresu e-pošte, adresu te financijske podatke (broj kartice, datum i godina do kada vrijedi kartica, CVC broj te ime vlasnika kartice), dok je za rezervaciju putem e-pošte bilo potrebno dostaviti navedene podatke te presliku valjanog identifikacijskog dokumenta s fotografijom, a sve iz razloga kako ne bi došlo do zlouporabe bankovne kartice od strane trećih osoba, kako je tvrdio hotel.
"U predmetnom slučaju, a uzimajući u obzir utvrđene povrede, Agencija se odlučila za izricanje upravne novčane kazne iz razloga postojanja visokog rizika za prava i slobode ispitanika, a koji je voditelj obrade bio dužan uzeti u obzir prije predmetne obrade osobnih podataka. Dakle, riječ je o voditelju obrade čije se poslovanje sastoji od obrade osobnih podataka te je navedenim postupanjem došlo do prikupljanja osobnih podataka bez postojanja odgovarajuće pravne osnove, a prikupljani su osobni podaci koji nisu nužni za svrhu u koju su se isti prikupljali od ispitanika prilikom rezervacije smještaja hotela. Također, Agencija smatra da će izricanje kazne dovesti do toga da voditelj obrade pravovremeno i odgovarajuće ispunjava svoje obveze u području zaštite osobnih podataka", poručili su iz AZOP-a.
