Agencija za zaštitu osobnih podataka (AZOP) novčanom kaznom od 2.15 milijuna kuna kaznila je A1 zbog nepoduzimanja odgovarajućih tehničkih i organizacijskih mjera sigurnosti obrade osobnih podataka. Smatraju da je ovakav propust doveo do neovlaštenog pristupa osobnim podacima od strane napadača za oko 100.000 ljudi.

Nadalje, AZOP je utvrdio da voditelj obrade, odnosno A1 nije poduzeo potrebne mjere za postizanje odgovarajuće mjere sigurnosti sukladno postojećim predvidivim rizicima, čije je postupio protivno  članku 25. stavku 1. te članku 32. stavku 1. točke b) i d) i stavku 2. Opće uredbe o zaštiti podataka. Navodi se i da je za hakerski napad AZOP saznao od strane voditelja obrade putem zaprimljenog izvješća o povredi osobnih podataka, te da je ujedno izvijestio i korisnike svojih usluga o navedenom incidentu. 

HAKER IDE U OSNOVNU ŠKOLU? Policija o hakerskom napadu na A1: 'Maloljetniku je pomagao još jedan čovjek iz inozemstva'

Bez obzira na to, utvrđeno je da A1 provodi organizacijske i tehničke mjere pri obradi osobnih podataka, no da te mjere nisu bile dovoljne. Također AZOP navodi da je A1 imao višestruke propuste prilikom dizajniranja sustava obrade, uključujući ograničavanje pristupa, nadzor, izvješćivanje, pravovremeno reagiranje i uključivanje korektivnih akcija u sustavu te te izvršavanje propisanih organizacijskih mjera sadržanih u postojećim internim aktima te konačno i izmjena istih sukladno utvrđenjima u predmetnoj povredi.

- Za navedena kršenja, Opća uredba o zaštiti podataka propisuje izricanje upravne novčane kazne sukladno članku 83. stavku 4. točke a), odnosno upravne novčane kazne do 10 000 000 eura ili u slučaju poduzetnika do 2% ukupnog godišnjeg prometa na svjetskoj razini za prethodnu financijsku godinu, ovisno što je veće - naveli su u priopćenju pa dodali da kao otegotnu okolnost pronašli u činjenici da je A1 jedan od vodećih pružatelja telekomunikacijskih usluga u Hrvatskoj.

NA PODRUČJU SLAVONSKOG BRODA Policija našla hakera: U A1 je upao maloljetnik. Za podatke korisnika tražio 500.000 dolara

- Bilo je za očekivati da će zbog velikog opsega osobnih podataka koje obrađuje primijeniti složenije organizacijske i tehničke mjere zaštite prije početka, kao i tijekom same obrade, uzimajući u obzir najnovija dostignuća, trošak provedbe te prirodu, opseg, kontekst i svrhe obrade, kao i rizike različitih razina vjerojatnosti i ozbiljnosti za prava i slobode pojedinaca koji proizlaze iz obrade podataka, a posebice nakon predmetne povrede, što je isto društvo propustilo učiniti. Slijedom na utvrđene okolnosti, Agencija je sukladno svojim ovlastima iz članka 58. stavka 2. točke i Opće uredbe o zaštiti podataka izrekla upravnu novčanu kaznu, a sve u skladu s uvjetima za njezino izricanje iz članka 83. Opće uredbe i članka 44., 45. i 46. Zakona o provedbi Opće uredbe o zaštiti podataka - naveli su iz Agencije.