Agencija za zaštitu osobnih podataka (AZOP) izrekla je upravnu novčanu kaznu Agenciji za naplatu potraživanja B2 Kapital u iznosu od 2.265.000 eura.
Riječ je o slučaju curenja osobnih podataka iz agencije B2 Kapital, koja je bavi naplatom dugova, a iz koje je izašlo ukupno 77.317 podataka fizičkih osoba krajem prošle godine.
Podaci sadržavaju ime i prezime, OIB, datum rođenja, adresu stanovanja, naziv i OIB poslodavca, dugovanje prema B2 Kapitalu, iznos glavnice te iznos zateznih kamata, kao i, što je posebno sporno, broj mobitela i osobni e-mail. Mediji su to opisivali kao najveći slučaj curenja osobnih podataka u Hrvatskoj dosad.
Osim kršenja odredbi GDPR-a, iz AZOP-a kažu da se čak sumnja i u počinjenje kaznenog djela, a što je u nadležnosti Ministarstva unutarnjih poslova, koje provodi kriminalističko istraživanje u okviru svojih nadležnosti.
Kazna od 2.26 milijuna eura
AZOP je sada izrekao kaznu od 2.26 milijuna eura, i to zato što voditelj obrade nije na jasan i točan način informirao svoje ispitanike o obradi njihovih osobnih podataka putem obavijesti o obradi osobnih podataka. Također, nisu sklopili ugovor o obradi osobnih podataka s izvršiteljem obrade za uslugu praćenja jednostavnog stečaja potrošača i nisu poduzimali odgovarajuće tehničke i organizacijske mjere zaštite pri obradi osobnih podataka.
“U konkretnom slučaju riječ o kršenju više odredbi Opće uredbe o zaštiti podataka i to od strane jedne od vodećih kompanija u području naplate potraživanja, a koja si nije smjela dopustiti da obrađuje osobne podatke velikog broja ispitanika na netransparentan i nesiguran način”, stoji u odgovoru AZOP-a
U obrazloženju se navodi da je Agencija pokrenula nadzorno postupanje u prosincu 2022. te provela postupak u kojem su utvrđene tri prethodno opisane povrede zbog nemarnog postupanja voditelja obrade (agencije za naplatu potraživanja).
Voditelj obrade najveći stupanj odgovornosti snosi zbog nepoduzimanja tehničkih mjera zaštite budući da je upravo zbog manjkavosti u takvom sustavu sigurnosti došlo do nesigurne obrade većeg broja osobnih podataka. Agencija za naplatu potraživanja izgubila je potpuni nadzor nad kretanjem osobnih podataka njihovih ispitanika i nije mogla objasniti uzroke neovlaštene eksfiltracije (izvlačenja) osobnih podataka.
Utjerivači nisu surađivali
Isto tako, kao otegotna okolnost u provedenom upravnom postupku utvrđene su određene manjkavosti u suradnji. Naime, na više dopisa koje je poslala Agencija tražeći dodatno očitovanje ili dokumentaciju od voditelja obrade on je odgovarao pred zadnje dane postavljenog roka i slao dopise za potrebe produženja roka i pojašnjenja zatraženih okolnosti iako je isto mogao zatražiti i prije, što je u određenoj mjeri utjecalo na odugovlačenje postupka.
Također, na višekratna traženja Agencije za zaštitu osobnih podataka određene dokumentacije (izlista sistemskih zapisa), voditelj obrade iste nije dostavio. Također, kao dodatna otegotna okolnost uzeta je u obzir i činjenica da voditelj obrade do današnjeg dana nije obavijestio Agenciju da je poduzeo dodatne mjere zaštite koje bi prevenirale buduće rizike od utvrđenih povreda i do danas nije prilagodio politiku privatnosti dostupnu na njihovim mrežnim stranicama.
Prijava predana policiji
Zaključno, u konkretnom slučaju riječ je o kršenju više odredbi Opće uredbe o zaštiti podataka, i to od strane jedne od vodećih kompanija u području naplate potraživanja, koja si nije smjela dopustiti da obrađuje osobne podatke velikog broja ispitanika na netransparentan i nesiguran način.
Također, voditelj obrade vjerojatno ne bi nikada ni uočio eksfiltraciju osobnih podataka velikog broja ispitanika, najmanje za njih 77.317 iz njihovog sustava, da Agencija za zaštitu osobnih podataka nije zaprimila anonimnu prijavu i provela nadzorne aktivnosti.
“Do današnjeg dana, voditelj obrade nije razjasnio sve okolnosti nastale povrede, odnosno iznošenja određenog opsega osobnih podataka izvan njihovog sustava pohrane, a što dodatno govori o neodgovarajućim mjerama zaštite od strane voditelja obrade”, stoji u obrazloženju odluke AZOP-a.
U obrazloženju stoji i kako je riječ o mogućoj individualnoj kaznenopravnoj odgovornosti, odnosno počinjenju kaznenog djela, što je u nadležnosti Ministarstva unutarnjih poslova, koje provodi kriminalističko istraživanje u okviru svojih nadležnosti.
Inače, cijeli je slučaj do AZOP-a došao putem anonimne prijave u kojoj se tvrdi da je došlo do neovlaštene obrade većeg broja osobnih podataka fizičkih osoba.
AZOP-u je uz dojavu priložen i USB stick na kojemu se nalaze osobni podaci u strukturi ime i prezime, datum rođenja te OIB za ukupno 77.317 fizičkih osoba, a koji su imali nepodmireno dugovanje prema kreditnim institucijama, a koje je temeljem ugovora o cesiji otkupila agencija za naplatu potraživanja.
M.M. /Foto: B2Kapital
Poštarica Ines (36) te je noći bila toliko žedna da je odlučila provaliti u restoran…
Chef Tomica Đukić, glavni kuhar hrvatske reprezentacije, koji našim nogometašima kuha još od Eura 2016.…
Podravkin logističko-distributivni centar u Koprivnici, vrijedan 48 milijuna eura, koji se prostire na 26.000 četvornih…
Komentiraj