Une entreprise de vente au détail, c'est-à-dire le responsable du traitement, a signalé la violation de données personnelles à la DPA en l'informant que ses employés avaient enregistré des images de vidéosurveillance via un téléphone portable, ce qui n'était pas autorisé et contraire aux actes et instructions internes de l'entreprise. L'enregistrement a été rendu public par une fuite sur les réseaux sociaux et par conséquent sur d'autres médias. La DPA a déterminé que le responsable du traitement des données n'avait pas pris les mesures adéquates pour empêcher ses employés de créer les images. Bien que l'entreprise ait pris certaines mesures telles que l'adoption d'actes internes sur l'accès aux images de vidéosurveillance, l'éducation des employés et la mise en œuvre de déclarations de confidentialité, la DPA a déterminé que l'entreprise n'avait pas assuré - ni avant ni après la divulgation des images non autorisées - des mesures organisationnelles et techniques appropriées. des mesures de sécurité dans le but de minimiser le risque de telles violations de données ou de violations de données similaires. En outre, le responsable du traitement n'a pas régulièrement contrôlé ou inspecté l'efficacité des mesures techniques et organisationnelles mises en œuvre dans le but de maintenir la confidentialité, l'intégrité et l'accessibilité des données personnelles. Ainsi, la DPA a infligé une amende de 675 000,00 HRK pour le non-respect des mesures techniques appropriées et a précisé que cette amende devrait également avoir des effets préventifs généraux et sensibiliser les responsables du traitement et le sous-traitant aux obligations concernant le traitement des données.