Pogrešno kuvertirali i slali izvode, kažnjeni po GDPR-u sa 17.500 eura
Jedna je domaća štedionica izložila osobne podatke svojih klijenata tako što je, uslijed ljudske pogreške, došlo do pogrešnog strojnog umetanja listova izvoda u kuverte. AZOP je kaznio izvođača radova
Ljudska pogreška jedan je od vodećih uzroka povreda osobnih podataka. Sustavne, dokumentirane i testirane sigurnosne mjere, posebno u procesima koji uključuju masovnu obradu podataka i distribuciju dokumenata ključne su za sprječavanje incidenata i zaštitu privatnosti, a najnoviji primjer iz Hrvatske pokazuje što se dogodi kad one ne postoje ili se ne poštuju.
Dokumenti na krivim adresama
Agencija za zaštitu osobnih podataka (AZOP) izrekla je, naime, još jednu novčanu kaznu domaćoj kompaniji, za koju je utvrđeno da je povrijedila privatnost podataka, čime je došlo do povrede članka 32. Opće uredbe o zaštiti podataka (GDPR). Kako pišu iz Agencije, tijekom ispisa i kuvertiranja godišnjih izvoda računa za klijente došlo je do pogrešnog umetanja listova izvoda u kuverte, što je rezultiralo neovlaštenim otkrivanjem osobnih podataka 1.649 ispitanika.
Pojednostavljeno rečeno – klijentima su na adrese stizali tuđi godišnji izvodi, za što je odgovornim proglašeno poduzeće koje je ispisivalo i pakiralo te dokumente u kuverte. Ključni nalazi AZOP-a kažu da tijekom kuvertiranja dokumenata nisu provedene odgovarajuće tehničke i organizacijske mjere zaštite, unatoč ugovornim obvezama. Izostale su pisane procedure kontrole, a one su se umjesto toga provodile "ad hoc". Ključno, nije provedeno testiranje nakon prebacivanja posla na drugi stroj za kuvertiranje.
"Utvrđeno je da je kod prebacivanja posla na drugi stroj za kuvertiranje i učitavanje konfiguracije postavki stroja, operater kuvertirki nepažnjom učitao pogrešni modul, što je rezultiralo pogrešnim čitanjem barkoda na dokumentima i pogrešnim grupiranjem, odnosno insertiranjem dokumenata u kuverte, na način da je zadnji list izvoda koji glasi na jednog ispitanika insertiran kao prvi list u novu kuvertu zajedno sa izvodima slijedećeg kredita, odnosno ugovora i tako nizom do kraja", stoji u rješenju AZOP-a.
Podaci koji su otkriveni uključivali su ime, prezime, adresu, broj ugovora i podatke o prometu po računu. Agencija je kao olakotnu okolnost uzela u obzir da dio klijenata nije zaprimio pogrešne izvode te da su poduzete mjere obavještavanja i ublažavanja štete. Na temelju svega, AZOP je izvršitelju obrade, dakle kompaniji zaduženoj za kuvertiranje dokumenata, izrekao upravnu novčanu kaznu od 17.500 eura.
