Više je pitanja nego odgovora i kao pravna država moramo dobiti odgovore na sva ta pitanja, poručuje stručnjak za informacijsku sigurnost Lucijan Carić komentirajući izrečenu kazni agenciji za naplatu dugova
'Obzirom na sve, pitanje je ima li za njih mjesta na tržištu. Ima tu još posla za MUP i DORH'
Izrečena kazna je velika, ali je mogla biti i veća kad se uzme u obzir što je sve objavljeno i kakav niz prekršaja su počinili. Obzirom na to, pitanje je i ima li mjesta za njih više na tržištu, kaže nam stručnjak za informacijsku sigurnost Lucijan Carić komentirajući rekordnu kaznu koju je Agencija za zaštitu osobnih podataka "odrezala" EOS Matrixu, agenciji za naplatu potraživanja.
Podsjetimo, moraju platiti 5,57 milijuna eura zbog curenja više od 180.000 podataka dužnika. Najveća je to kazna do sada u Hrvatskoj.
Ima tu još, naglašava Carić, posla za MUP i DORH.
- Jer je pitanje što će agenciji koja se bavi utjerivanjem dugova podaci o zdravstvom stanju, ne vidim zašto bi oni imali te podatke, kao i o posebno osjetljivoj populaciji, maloljetnima. Da se nekoj bolnici to dogodilo, OK, oni mogu imati te podatke, ali ovi ne. I već sama ta činjenica govori da nešto tu nije u redu i da bi se tome trebalo ozbiljno pristupiti. Nedostaje i odgovor odakle im zdravstveni podaci, da li su sami prikupljali ili im je netko ustupio. Ako im je netko ustupio, onda tu imamo posla i za USKOK. Pitanje je i kako su dobili podatke građana pa je tu i pitanje sudjelovanja banaka u nedozvoljenoj obradi podataka - navodi Carić sve neodgovorene nejasnoće.
'Još uvijek nemamo odgovor kako je do curenja podataka uopće došlo'
Naglašava i kako još uvijek nemamo odgovor kako je do curenja podataka uopće došlo.
- AZOP kaže da nisu imali dovoljno dobru zaštitu obrade osobnih podataka, ali ostaje pitanje o tehnološkim propustima. Koliko god vama djelovalo da ste sami i radite sami, nikad to ne radite sami, koristite cijeli niz usluga trećih strana - osiguranje podataka od trećih strana, pohrana podataka, komunikacijske usluge, obrada podataka od trećih strana... i ovdje ostaje neodgovoreno u kojoj se mjeri to događalo i tko su bile treće strane. Plakanje Matrixa kako je netko drugi to napravio, to nije i ne može biti izlika. Ako vas je netko provalio i izdao povjerenje, to je isključivo vaš problem. Nema AZOP tu dovoljno ljudi i kompetencija za to istražiti, ali MUP tu može provesti adekvatnu istragu. Obzirom o kojem se broju ljudi radi čiji su podaci iscurili, ispada da se radi o sustavnom prikupljanju podataka i kao pravna država moramo dobiti odgovore na ta pitanja - poručuje Carić.
'Od EOS Matrixa zatražite pristup svojim osobnim podacima'
AZOP je uputio građane još u ožujku kome se mogu obratiti građani i saznati jesu li njihovi podaci procurili u javnost.
- Upućujemo građane da od predmetnog voditelja obrade (EOS Matrix d.o.o.), sukladno pravima koje im jamči Opća uredba o zaštiti podataka, zatraže pristup svojim osobnim podacima i dostavu informacije jesu li njihovi osobni podaci i u kojem opsegu obuhvaćeni povredom osobnih podataka - poručili su.
Agencija za zaštitu osobnih podataka, podsjetimo, u ožujku je zaprimila anonimnu predstavku u kojoj se navodi kako je došlo do neovlaštene obrade većeg broja osobnih podataka fizičkih osoba (dužnika) od strane EOS Matrix. Stoga su proveli nadzor nad tom tvrtkom i u priopćenju naveli šest točaka utvrđenih povreda Opće uredbe o zaštiti podataka zbog kojih su im izrekli ovu drakonsku kaznu.
EOS Matrix, s druge strane, odbacuje mogućnost neovlaštenog iznošenja osobnih podataka iz vlastite baze.
- Forenzička ispitivanja provedena od strane neovisne informatičke tvrtke utvrdila su kako se podaci dostavljeni AZOP-u značajno razlikuju od podataka koji se nalaze u EOS Matrix d.o.o. bazi podataka. Podaci koji su anonimno dostavljeni AZOP-u sadrže tri kategorije podatka - ime i prezime, datum rođenja i OIB te ne sadrže financijske ili bilo kakve druge podatke vezane isključivo uz poslovne procese EOS Matrixa. To potvrđuje da EOS Matrix nije izvor podataka koji su bili predmetom nadzora AZOP-a. Provedene kontrole sustava i poslovnih procesa pokazale su kako nema dokaza da su podaci neovlašteno izneseni upravo iz sustava EOS Matrixa - poručili su u priopćenju nakon izrečene kazne.
'Nisu podaci iz naše baze izneseni, poduzet ćemo sve pravne radnje'
Ističu i kako su s ciljem utvrđivanja stvarnog izvora podataka dostavljenih AZOP-u i okolnosti vezanih uz navodno neovlašteno iznošenje osobnih 5. svibnja 2023. podnijeli kaznenu prijavu Općinskom državnom odvjetništvu u Zagrebu protiv nepoznatog počinitelja zbog osnovane sumnje u počinjenje teških kaznenih djela protiv računalnih sustava, programa i podataka, kao i za nedozvoljenu uporabu osobnih podataka.
- Od početka nadzora EOS Matrix u potpunosti je surađivao s AZOP-om na transparentan način i dostavio AZOP-u svu traženu dokumentaciju u punom opsegu i u zadanim rokovima te je bio na raspolaganju za sva potrebna pojašnjenja i dostavljanje dodatnih podataka. EOS Matrix provodi opsežne organizacijske i tehničke mjere zaštite osobnih podataka. Visoko razvijeni standardi sigurnosti i zaštite osobnih podataka ispitanika predstavljaju osnovne preduvjete za postupak naplate duga - tvrde uz naglasak kako je njihova tvrtka od 2018. godine nositelj certifikata informacijske sigurnosti.
- Slijedom navedenoga, nakon detaljnog razmatranja AZOP-ovog rješenja, namjeravamo iskoristiti sve pravne lijekove koje imamo na raspolaganju radi zaštite vlastitih legitimnih interesa te poduzeti sve ostale pravne radnje u cilju očuvanja svojih prava, zaštite reputacije društva i svih naših dionika - poručili su.