Zbog hakerske krađe privatnih podataka korisnika Tele2, AZOP kaznio nadležnu informatičku tvrtku
Upravna novčana kazna zbog nepoduzimanja odgovarajućih tehničkih mjera, službeni je naziv kazne koju će platiti informatička tvrtka iz Zagreba, čiji klijent je bio žrtvom krađe podataka
Agencija za zaštitu osobnih podataka danas je izvijestila o novoj novčanoj kazni koja se izriče sukladno Općoj uredbi o zaštiti podataka (GDPR-u). Njihova objava odnosi se na, kako se neslužbeno doznaje, slučaj od prošle godine kada su hakeri neovlašteno upali u sustav Tele2, te imali pristup privatnim podacima određenog broja njihovih korisnika. Tada su iz ovog telekoma objavili da je sve prijavljeno nadležnim službama, no zbog propusta neminovno je bilo da će biti kažnjeni.
Hakeri pristupili osobnim podacima
AZOP je sada objavio sljedeće: "Zbog nepoduzimanja odgovarajućih tehničkih mjera sigurnosti obrade osobnih podataka od strane društva za pružanje informatičkih usluga iz Zagreba, kao izvršitelja obrade, došlo je do kršenja sigurnosti koje je dovelo do neovlaštene obrade osobnih podataka 28.085 ispitanika, odnosno dovelo je do neovlaštenog pristupa osobnim podacima od strane hakera. Izvršitelj obrade nije poduzeo potrebne mjere za postizanje odgovarajuće razine sigurnosti sukladno postojećim i predvidivim rizicima te je postupio protivno članku 32. stavku 1. točke b) i d) te stavku 2. Opće uredbe o zaštiti podataka."
Telekomunikacijska tvrtka iz Zagreba je, kažu, bila voditelj obrade podataka u ovom slučaju, a incident su bili prijavili AZOP-u. Isto tako ova je tvrtka pisanim putem izvijestila korisnike svojih usluga o potencijalnoj povredi osobnih podataka, o čemu smo izvještavali prošloga rujna. No, za propust će biti kažnjen izvršitelj obrade podataka, spomenuta informatička tvrtka iz Zagreba.
"Izvršitelj obrade prilikom obrade osobnih podataka dužan je poduzeti odgovarajuće tehničke mjere sigurnosti na način da treba osigurati trajnu povjerljivost sustava, kao i proces redovnog testiranja, ocjenjivanja i procjenjivanja učinkovitosti tehničkih i organizacijskih mjera za osiguravanje sigurnosti obrade, a prilikom procjene odgovarajuće razine sigurnosti posebno uzeti u obzir rizike neovlaštenog otkrivanja osobnih podataka", nastavljaju svoje pojašnjenje iz Agencije.
Kazne mogu biti višemilijunske
"Obzirom na to da društvo, prema javno dostupnim informacijama, pruža informatičke usluge i drugim mobilnim operaterima, bankama i državnim institucijama u Republici Hrvatskoj, ali i tvrtkama u inozemstvu, trebalo bi biti relevantni subjekt u davanju mišljenja, smjernica, predlagati rješenja voditeljima obrade o implementaciji web aplikacija, pa tako i osmišljavati i provoditi odgovarajuće tehničke mjere za zaštitu obrade osobnih podataka.
Slijedom navedenog, Agencija je sukladno svojim ovlastima iz članka 58. stavka 2. točke i Opće uredbe o zaštiti podataka izrekla upravnu novčanu kaznu."
Visina kazne koja je određena telekomu nije objavljena. Kazne, prema propisima GDPR-a, mogu iznositi sve do 20 milijuna eura ili do 4% ukupnog godišnjeg prometa tvrtke na svjetskoj razini (ovisno koji je iznos veći).
