Agencija za zaštitu osobnih podataka priopćila je da je izrekla osam novih upravnih novčanih kazni u ukupnom iznosu od 350.500 eura zbog kršenja odredbi Opće uredbe o zaštiti podataka i Zakona o provedbi Opće uredbe o zaštiti podataka (GDPR). Od tih kazni vjerojatno će javnosti biti najzanimljivija ona koja se tiče podataka više od milijun vlasnika vozila registriranih u Hrvatskoj.

HUO kažnjen zbog "curenja" podataka

Nakon lanjske anonimne prijave da je došlo do "curenja" osobnih podataka vlasnika vozila iz Evidencije registriranih vozila na području Republike Hrvatske, Agencija za zaštitu osobnih podataka provela je nadzorna postupanja kod više voditelja obrade osobnih podataka. Pod nadzorom su tako bili Hrvatski ured za osiguranje, Centar za vozila Hrvatske, Ministarstvo unutarnjih poslova Republike Hrvatske, kao i drugi pravni subjekti koji su se povezivali s incidentom.

Utvrđeno je da se struktura podataka koja je dostavljena Agenciji na USB sticku – podaci o vlasniku vozila (ime i prezime, datum rođenja, OIB, JMBG, adresa prebivališta), podaci o vozilu (vrsta vozila, registarske oznake, broj šasije) i podaci o osiguranju (naziv osiguranja, broj police i datum važenja) i podaci o umanjenju osiguranja (bonusi/malusi), podudara s bazom Hrvatskog ureda za osiguranje (HUO) te da je isti voditelj obrade osobnih podataka.

Pritom je Agencija utvrdila kako HUO kao voditelj obrade nije poduzeo odgovarajuće organizacijske i tehničke mjere zaštite osobnih podataka, time ugrozio sigurnost sustava s osobnim podacima, a što je omogućilo lakšu dostupnost tih podataka neovlaštenim osobama. Utvrđeno je više kršenja odredbi GDPR-a, pa je Hrvatskom uredu za osiguranje izrečena upravna novčana kazna u iznosu od 101.000 eura.

Kazna od 175.000 sportskoj kladionici zbog slabih lozinki

Istaknuli su i drugi značajniji slučaj kažnjavanja. Agencija je zaprimila prijavu kako sportska kladionica za verifikaciju računa korisnika na svojoj Internet stranici traži da korisnici putem e-maila pošalju kopiju osobne iskaznice, čime ne omogućava siguran način slanja dokumenata za verifikaciju. Zbog toga je Agencija pokrenula postupak po službenoj dužnosti.

Utvrđeno je da je voditelj obrade obrađivao osobne podatke svojih korisnika bez da je poduzeo odgovarajuće tehničke mjere zaštite s obzirom na rizike. Između ostaloga, pojedini zaposlenici voditelja obrade koriste lozinke koje nisu dovoljno snažne, odnosno lozinke koje imaju svega 3 znaka, što nije dovoljna mjera zaštite, obzirom da se s računala određenih zaposlenika može pristupiti e-mail adresi koja sadrži e-mailove s osobnim podacima i preslikama osobnih iskaznicama velikog broja korisnika. Isto tako, utvrđeno je da se djelatnici u administratorski dio programa platforme za klađenje spajaju nesigurnom vezom (HTTP).

Nadalje, voditelj obrade nije osigurao brisanje osobnih podataka nakon proteka roka u kojem se isti moraju čuvati. Utvrđeno je i da voditelj obrade svjesno ne radi sigurnosnu kopiju podataka pozivajući se na previsoki trošak. Zbog nepoduzimanja tehničkih mjera zaštite osobnih podataka te nepropisnog čuvanja osobnih podataka korisnika, voditelju obrade, odnosno sportskoj kladionici u ovom slučaju, izrečena je kazna u iznosu od 175.000 eura.