AZOP se oglasio o curenju podataka više od milijun vlasnika vozila, otkrili odakle su došli
Nadzornim postupanjem Agencije za zaštitu osobnih podataka utvrđen je voditelj obrade osobnih podataka, vlasnika vozila, koji su nedavno "procurili" izvan ovlaštenih krugova
Krajem svibnja doznalo se da je bilo došlo do "curenja" osobnih podataka više od milijun fizičkih osoba iz Republike Hrvatske. Radilo se o vlasnicima vozila registriranih na području države, a Agencija za zaštitu osobnih podataka reagirala je na to pokretanjem postupka. Ovog tjedna stižu i nove službene informacije o tom incidentu.
Otkriveno odakle podaci potječu
Iz AZOP-a su priopćili da su proveli nadzorna postupanja kod Centra za vozila Hrvatske, Ministarstva unutarnjih poslova Republike Hrvatske, kao i ostalih pravnih subjekata, koji su se povezivali s predmetnom povredom propisa o zaštiti podataka. Tim je nadzornim aktivnostima utvrđeno da navedeni poslovni subjekti ne raspolažu sa svim podacima sadržanim unutar sporne datoteke, dostavljene posredno od strane medija Agenciji na USB sticku, niti imaju mogućnosti raspolaganja takvom strukturom osobnih podataka.
Nadzornim postupanjem dalje je utvrđeno da se struktura podataka, koja je dostavljena Agenciji, podudara s evidencijom kojom raspolaže Hrvatski ured za osiguranje kao voditelj obrade osobnih podataka.
"Agencija, kao i druga nadležna tijela, provodi daljnje nadzorno postupanje u cilju utvrđenja svih relevantnih okolnosti iznošenja osobnih podataka iz baze Hrvatskog ureda za osiguranje te će po okončanju postupanja dodatno izvijestiti javnost", poruka je iz AZOP-a.
Ujedno su istaknuli i da po trenutno raspoloživim informacijama osobni podaci nisu dostupni široj javnosti, već su isti dostavljeni nadležnim tijelima koja provode postupanja iz svoje nadležnosti. Podsjetimo, ovdje se radi o povredi propisa Opće uredbe o zaštiti podataka (GDPR). Propisane kazne ovise o visini i vrsti prekršaja, pa mogu biti izrečene u iznosima do najviše 20.000.000 € ili u slučaju poduzetnika do 4% ukupnog godišnjeg prometa.
Hrvatskom uredu za osiguranje poslali smo upit, pa ćemo objaviti njihovu službenu izjavu, ako se odluče referirati na današnji nalaz AZOP-a.
NADOPUNA: Stiglo je i službeno očitovanje HUO-a, koje prenosimo u cijelosti:
Sukladno Zakonu o obveznim osiguranjima u prometu te Zakonu o osiguranju, Hrvatski ured za osiguranje prikuplja podatke o registarskim oznakama i druge informacije o vozilima i policama obveznog osiguranja od automobilske odgovornosti. Podaci koji se odnose na automobilsku odgovornost koriste se za formiranje baza podataka Informacijskog centra Hrvatskog ured za osiguranje, koji je uspostavljen kako bi se oštećenim osobama omogućilo da zatraže naknadu štete nastale u prometnim nesrećama (čl. 52. Zakona o obveznim osiguranjima u prometu).
Hrvatski ured za osiguranje doista prikuplja i obrađuje podatke koji su predmet nadzora i istrage AZOP-a, koja je utvrdila samo podudarnost podataka s podacima iz baza HUO-a, a ne okolnosti iznošenja podataka iz baze. Međutim, temeljem internih pregleda i istraga koje su provedene i od strane neovisnih stručnjaka, Hrvatski ured za osiguranje smatra da nije odgovoran za pojavu predmetnih podataka kod osoba koje nisu ovlaštene, te da predmetne podatke, pored HUO-a, imaju i druga tijela.
Naime, temeljem službenih zahtjeva i naloga, HUO je predmetne podatke dostavljao drugim nadležnim tijelima, primjerice radi povećanja razine sigurnosti u prometu na cestama. Napominjemo da je HUO obvezan surađivati s nadležnim tijelima, što uključuje i postupanje po službenim zahtjevima za dostavom podataka.
Očekujemo da AZOP, kroz daljnje nadzorne aktivnosti, utvrdi kako su predmetni podaci došli do neovlaštenih osoba.
Vezano uz predmetni slučaj, Hrvatski ured za osiguranje u potpunosti surađuje s AZOP-om i drugim tijelima, te provodi dodatne interne istrage kako bi se u cijelosti utvrdilo činjenično stanje, te zaštitila sigurnost osobnih podataka kojima raspolaže.