Agencija za zaštitu osobnih podataka (AZOP) izvijestila je kako su izrekli novčanu kaznu agenciji za naplatu potraživanja B2 Kapital u iznosu od 2.2650.000 eura.
Podsjetimo, Index je otkrio kako su iz agencije B2 Kapital, koja se bavi naplatom dugova, izašli podaci čak 77.317 ljudi, koji sadržavaju ime, prezime, OIB, datum rođenja, adresu stanovanja, naziv i OIB poslodavca, dugovanje prema B2 Kapitalu, iznos glavnice i iznos zateznih kamata, kao i - broj mobitela i osobna e-mail adresa.
AZOP u priopćenju navodi kako su B2 Kapitalu izrekli novčanu kaznu zbog povreda Opće uredbe o zaštiti podataka.
Tri povrede
- Voditelj obrade nije na jasan i točan način informirao svoje ispitanike o obradi njihovih osobnih podataka putem obavijesti o obradi osobnih podataka - navode te dodaju kako je time došlo do "netransparentne obrade osobnih podataka ispitanika, odnosno pogrešnog informiranja u pogledu pravne osnove obrade".
Nadalje, AZOP navodi kako voditelj obrade nije sklopio ugovor o obradi osobnih podataka s izvršiteljem obrade za uslugu praćenja jednostavnog stečaja potrošača i tako je ugrožena sigurnost osobnih podataka za 83.896 ispitanika. Ističu i kako voditelj obrade nije poduzimao odgovarajuće tehničke i organizacijske mjere zaštite kod obrade osobnih podataka.
- Nepoduzimanjem odgovarajućih mjera došlo je do kršenja sigurnosti osobnih podataka svih ispitanika (najmanje 132 652 u trenutku nadzora), odnosno njihovih osnovnih identifikacijskih podataka (najmanje u strukturi: ime i prezime, datum rođenja i OIB) te posljedično i svih osobnih podataka koji su zavedeni u sustavima pohrane agencije za naplatu potraživanja, a koji su financijske prirode te su na taj način prilično osjetljivi. U postupku je utvrđeno kako povreda traje najmanje od 2019. godine te još nije otklonjena, a sve uslijed nepoduzimanja odgovarajućih mjera zaštite - objasnili su iz AZOP-a.
Agencija je navela kako su u prosincu prošle godine zaprimili anonimnu dojavu u kojoj je navedeno kako je došlo do neovlaštene obrade većeg broja osobnih podataka fizičkih osoba. Krenuli su u nadzorno postupanje i proveli postupak u kojem su utvrđene tri opisane povrede zbog nemarnosti agencije za naplatu potraživanja, odnosno voditelja obrade.
'Bilo je manjkavosti kod suradnje'
- Voditelj obrade najveći stupanj odgovornosti snosi zbog nepoduzimanja tehničkih mjera zaštite, budući da je upravo zbog manjkavosti u takvom sustavu sigurnosti došlo do nesigurne obrade većeg broja osobnih podataka. Agencija za naplatu potraživanja je izgubila potpuni nadzor nad kretanjem osobnih podataka njihovih ispitanika te nije mogla objasniti uzroke neovlaštene eksfiltracije (izvlačenja) osobnih podataka - objasnili su.
Kao otegotnu okolnost AZOP navodi i "manjkavosti kod suradnje" te objašnjavaju kako je voditelj obrade na dopise Agencije "odgovarao pred zadnje dane postavljenog roka te slao dopise za potrebe produženja roka i pojašnjenja zatraženih okolnosti, iako je isto mogao zatražiti i prije", a što je utjecalo na odugovlačenje postupka.
- Također, kao dodatna otegotna okolnost uzeta je u obzir i činjenica kako voditelj obrade do današnjeg dana nije obavijestio Agenciju da je poduzeo dodatne mjere zaštite koje bi prevenirale buduće rizike od utvrđenih povreda te kako do danas nije prilagodio politiku privatnosti dostupnu na njihovim mrežnim stranicama - poručili su iz AZOP-a.
'Ne bi ni uočili curenje podataka da AZOP nije zaprimio dojavu'
- Zaključno navodimo kako je u konkretnom slučaju riječ o kršenju više odredbi Opće uredbe o zaštiti podataka i to od strane jedne od vodećih kompanija u području naplate potraživanja, a koja si nije smjela dopustiti da obrađuje osobne podatke velikog broja ispitanika na netransparentan i nesiguran način. Također, voditelj obrade vjerojatno ne bi nikada ni uočio eksfiltraciju osobnih podataka velikog broja ispitanika, najmanje za njih 77 317 iz njihovog sustava da Agencija za zaštitu osobnih podataka nije zaprimila anonimnu prijavu te provela nadzorne aktivnosti. do današnjeg dana, voditelj obrade nije razjasnio sve okolnosti nastale povrede, odnosno iznošenja određenog opsega osobnih podataka izvan njihovog sustava pohrane, a što dodatno govori o neodgovarajućim mjerama zaštite od strane voditelja obrade.
Također ističemo kako je u konkretnom slučaju riječ o mogućoj individualnoj kaznenopravnoj odgovornosti, odnosno počinjenju kaznenog djela, a što je u nadležnosti Ministarstva unutarnjih poslova, koje provodi kriminalističko istraživanje u okviru svojih nadležnosti - zaključili su.