Jedan domaći telekom kažnjen s 2,15 milijuna kuna zbog nedostatne sigurnosti podataka
Agencija za zaštitu osobnih podataka izrekla je upravnu novčanu kaznu jednom telekomunikacijskom operateru zbog nepoduzimanja odgovarajućih mjera zaštite osobnih podataka
Agencija za zaštitu osobnih podataka objavila je danas kako je izrekla upravnu novčanu kaznu u iznosu od 2,15 milijuna kuna voditelju obrade – pružatelju telekomunikacijskih usluga zbog nepoduzimanja odgovarajućih tehničkih i organizacijskih mjera sigurnosti obrade osobnih podataka. Takvo je ponašanje dovelo do neovlaštene obrade osobnih podataka cca 100.000 korisnika, odnosno neovlaštenog pristupa osobnim podacima od strane napadača, pojasnio je AZOP.
Najvjerojatnije je riječ o A1
S obzirom da je jedini domaći telekom, koji je nedavno bio metom napada i kojem su ukradeni podaci otprilike 100.000 korisnika, bio A1 Hrvatska, za pretpostaviti je da su upravo oni sada zbog toga i kažnjeni. Podsjetimo, ovom telekomu je u veljači ove godine iz baze bila ukradena veća količina privatnih podataka koji se odnose na njihove korisnike, a ukradeni podaci sastojali su se od imena i prezimena, adresa, OIB-a te brojeva telefona. Kao napadač ubrzo je bila identificirana maloljetna osoba s područja Slavonskog Broda.
Voditelj obrade, nastavlja AZOP, nije poduzeo potrebne mjere za postizanje odgovarajuće mjere sigurnosti sukladno postojećim predvidivim rizicima, čime je postupio protivno odradbama Opće uredbe o zaštiti podataka (GDPR).
Nedovoljna zaštita
Za predmetnu povredu Agencija je saznala od strane voditelja obrade putem zaprimljenog Izvješća o povredi osobnih podataka. Također, voditelj obrade izvijestio je i korisnike svojih usluga o predmetnom incidentu, kažu iz Agencije.
Agencija je utvrdila je da voditelj obrade proveo određene organizacijske i tehničke mjere pri obradi osobnih podataka, ali isto tako je zaključila i da one u konkretnom slučaju one nisu bile dovoljne. Voditelj obrade učinio je, kažu, višestruke propuste prilikom dizajniranja sustava obrade. Oni uključuju ograničavanje pristupa, nadzor, izvješćivanje, pravovremeno reagiranje i uključivanje odgovarajućih korektivnih akcija u sustavu te izvršavanje propisanih organizacijskih mjera sadržanih u postojećim internim aktima te konačno i izmjenu istih sukladno utvrđenjima u predmetnoj povredi.
Kazna prema GDPR-u
Za navedena kršenja, Opća uredba o zaštiti podataka (GDPR) propisuje izricanje upravne novčane kazne do 10.000.000 eura ili u slučaju poduzetnika do 2% ukupnog godišnjeg prometa na svjetskoj razini za prethodnu financijsku godinu, ovisno što je veće.
Otegotnu okolnost AZOP nalazi u činjenici da je voditelj obrade jedno od vodećih društava pružatelja telekomunikacijskih usluga u Republici Hrvatskoj te je bilo za očekivati da će zbog velikog opsega osobnih podataka koje obrađuje primijeniti složenije organizacijske i tehničke mjere zaštite prije početka, kao i tijekom same obrade. No, to su propustili učiniti.
