AZOP izrekao do sada najveću kaznu zbog curenja privatnih podataka
Kaznu od čak 2,26 milijuna eura morat će platiti agencija za naplatu potraživanja, koja je svojim neadekvatnim postupanjem prema podacima skrivila njihovoj ogromno "curenje" u javnost
Krajem prošle godine dogodilo se najveće curenje privatnih podataka u Hrvatskoj, otkako se takve stvari prate i reguliraju europskom Općom uredbom o zaštiti podataka (GDPR). Tom su prigodom u javnosti završili privatni podaci o čak 77.317 osoba, hrvatskih građana. Među podacima našli su se imena i prezimena, OIB-i, datumi rođenja, adrese, nazivi i OIB-i poslodavaca, brojevi mobitela i osobne e-mail adrese. Kako su podaci došli iz agencije za naplatu potraživanja B2 Kapital, sadržavali su i iznose dugovanja (glavnice i zateznih kamata).
Rekordno curenje, rekordna kazna
Sve to prijavljeno je Agenciji za zaštitu osobnih podataka, koja je danas izrekla i upravnu novčanu kaznu voditelju obrade – agenciji za naplatu potraživanja B2 Kapital d.o.o. u iznosu od čak 2.265.000 eura. Najveća je to pojedinačna kazna do sada izrečena u Hrvatskoj na temelju GDPR-a, a iz AZOP-a su ponudili i njezino detaljno objašnjenje.
Voditelj obrade, kažu, nije na jasan i točan način informirao svoje ispitanike o obradi njihovih osobnih podataka putem obavijesti o obradi osobnih podataka. Nadalje, nije sklopio ugovor o obradi osobnih podataka s izvršiteljem obrade za uslugu praćenja jednostavnog stečaja potrošača, a nije niti poduzimao odgovarajuće tehničke i organizacijske mjere zaštite kod obrade osobnih podataka. Sve to je u suprotnosti s odredbama Opće uredbe o zaštiti podataka.
Voditelj obrade najveći stupanj odgovornosti snosi zbog nepoduzimanja tehničkih mjera zaštite, budući da je upravo zbog manjkavosti u takvom sustavu sigurnosti došlo do nesigurne obrade većeg broja osobnih podataka, pojašnjavaju dalje iz AZOP-a. Agencija za naplatu potraživanja, naime, izgubila je potpuni nadzor nad kretanjem osobnih podataka njihovih ispitanika te nije mogla objasniti uzroke neovlaštene eksfiltracije (izvlačenja) osobnih podataka.
Brojne otegotne okolnosti
Kao otegotne su im okolnosti uzete manjkavosti kod suradnje, kad je riječ o dostavi podataka Agenciji u svrhe istražnih radnji, što je AZOP protumačio kao odugovlačenje postupka. Određene tražene podatke spomenuta kompanija nije niti dostavila. Kao dodatna otegotna okolnost uzeta je u obzir i činjenica da voditelj obrade do današnjeg dana nije obavijestio Agenciju da je poduzeo dodatne mjere zaštite koje bi prevenirale buduće rizike od utvrđenih povreda te kako do danas nije prilagodio politiku privatnosti dostupnu na njihovim mrežnim stranicama.
Jedna od vodećih kompanija u području naplate potraživanja nije si smjela dopustiti da obrađuje osobne podatke velikog broja ispitanika na netransparentan i nesiguran način. Voditelj obrade vjerojatno ne bi nikada ni uočio "curenje" osobnih podataka velikog broja građana, da o tome nije obaviješten AZOP. Iz Agencije su zaključno poručili kako je ovdje moguće i riječ o počinjenju kaznenog djela, što je, pak, u nadležnosti Ministarstva unutarnjih poslova.
