Den kroatiska dataskyddsmyndigheten Agencija za zaštitu osobnih podataka (AZOP) har bötfällt ett detaljhandelsföretag med 675 000 HRK för överträdelse av artikel 32 i dataskyddsförordningen (GDPR).
Av beslutet framgår att detaljhandelsföretaget anmält en personuppgiftsincident till AZOP varpå de informerade om att företagets anställda spelat in en övervakningsfilm via mobiltelefoner, vilket var obehörigt och stred mot företagets interna regler och instruktioner. Inspelningen offentliggjordes genom att den läckte ut på sociala medier och därefter på andra medier.
AZOP ansåg efter en genomgång av ärendet att detaljhandelsföretaget inte vidtagit tillräckliga åtgärder för att hindra sina anställda från att skapa materialet. Även om företaget vidtagit vissa åtgärder, till exempel som att anta interna regler om tillgång till kamerabevakningsmaterial, utbilda anställda och teckna sekretessförbindelser, fastställde AZOP att företaget, varken före eller efter offentliggörandet av det obehöriga materialet, implementerat lämpliga organisatoriska och tekniska säkerhetsåtgärder för att minimera risken för sådana eller liknande dataintrång.
Därutöver ansåg AZOP att detaljhandelsföretaget inte regelbundet övervakat eller kontrollerat effektiviteten av de tekniska och organisatoriska åtgärder som vidtagits för att upprätthålla konfidentialitet, integritet och tillgänglighet för personuppgifter som behandlades i verksamheten.
AZOP ålade därför detaljhandelsföretaget böter på 675 000 HRK för underlåtenhet att vidta lämpliga tekniska åtgärder och klargjorde att dessa böter även bör ha allmänpreventiva effekter och öka medvetenheten hos personuppgiftsansvariga och personuppgiftsbiträden om deras skyldigheter vid behandling av personuppgifter.