DOBILI PO PRSTIMA
Agencija za zaštitu osobnih podataka (AZOP) izrekla je upravnu novčanu kaznu voditelju obrade – agenciji za naplatu potraživanja B2 Kapital u iznosu od 2.265.000,00 eura, piše Dnevno.hr.
U priopćenju se navodi kako voditelj obrade nije na jasan i točan način informirao svoje ispitanike o obradi njihovih osobnih podataka putem obavijesti o obradi osobnih podataka (politike privatnosti), a u pogledu pravne osnove kod povrata preplaćenih sredstava, čime je došlo do netransparentne obrade osobnih podataka ispitanika kojih je u trenutku provođenja nadzora bilo (najmanje) 132 652, a politika privatnosti ostala je nepromijenjena te povreda još nije otklonjena, odnosno traje od 25. svibnja 2018. do danas.
“Voditelj obrade nije sklopio ugovor o obradi osobnih podataka s izvršiteljem obrade za uslugu praćenja jednostavnog stečaja potrošača te je time ugrožena sigurnost osobnih podataka 83 896 ispitanika (OIB), budući da je sklapanje ugovora s izvršiteljem obrade jedna od svojevrsnih sigurnosnih poluga koja osigurava da su jasno ugovorena pravila obrade osobnih podataka, njihov tijek u poslovnom odnosu između voditelja i izvršitelja obrade te kako bi se voditelj obrade osigurao da izvršitelj obrade zadovoljava tehničke i organizacijske mjere zaštite kod obrade osobnih podataka velikog broja ispitanika. Utvrđeno je kako je navedena povreda trajala od prihvata ponude za pružanje usluge praćenja jednostavnog stečaja potrošača, odnosno od 14. veljače 2019. do 26. veljače 2021. kada je došlo do prekida poslovne suradnje”, navodi se u njihovom priopćenju.
Dobili anonimnu prijavu
Zbog toga što voditelj obrade nije poduzimao odgovarajuće tehničke i organizacijske mjere zaštite kod obrade osobnih podataka došlo je do kršenja sigurnosti osobnih podataka svih ispitanika (najmanje 132 652 u trenutku nadzora), odnosno njihovih osnovnih identifikacijskih podataka te posljedično i svih osobnih podataka koji su zavedeni u sustavima pohrane agencije za naplatu potraživanja, a koji su financijske prirode te su na taj način prilično osjetljivi. U postupku je utvrđeno kako povreda traje najmanje od 2019. godine te još nije otklonjena, a sve uslijed nepoduzimanja odgovarajućih mjera zaštite.
Naime, Agencija za zaštitu osobnih podataka je u prosincu 2022. godine zaprimila anonimnu predstavku u kojoj je navedeno kako je došlo do neovlaštene obrade većeg broja osobnih podataka fizičkih osoba – dužnika od strane agencije za naplatu potraživanja te je priložen USB stick na kojemu se nalaze osobni podaci u strukturi ime i prezime, datum rođenja te OIB za ukupno 77.317 fizičkih osoba, a koji su imali nepodmireno dugovanje prema kreditnim institucijama, a koje je temeljem ugovora o cesiji otkupila agencija za naplatu potraživanja.
Temeljem službene dužnosti Agencija je pokrenula nadzorno postupanje u prosincu 2022. te provela postupak u kojemu su utvrđene tri prethodno opisane povrede zbog nemarnog postupanja od strane voditelja obrade (agencije za naplatu potraživanja). Voditelj obrade najveći stupanj odgovornosti snosi zbog nepoduzimanja tehničkih mjera zaštite, budući da je upravo zbog manjkavosti u takvom sustavu sigurnosti došlo do nesigurne obrade većeg broja osobnih podataka. Agencija za naplatu potraživanja je izgubila potpuni nadzor nad kretanjem osobnih podataka njihovih ispitanika te nije mogla objasniti uzroke neovlaštene eksfiltracije (izvlačenja) osobnih podataka.
Manjak suradnje
Kao otegotna okolnost u provedenom upravnom postupku utvrđene su određene manjkavosti kod suradnje. Naime, nakon više dopisa poslanih od strane Agencije u svrhu traženja dodatnog očitovanja ili dokumentacije od strane voditelja obrade, na iste je odgovarao pred zadnje dane postavljenog roka te slao dopise za potrebe produženja roka i pojašnjenja zatraženih okolnosti, iako je isto mogao zatražiti i prije, a što je u određenoj mjeri utjecalo na odugovlačenje postupka. Također, na višekratna traženja Agencije za zaštitu osobnih podataka određene dokumentacije (izlista sistemskih zapisa), voditelj obrade iste nije dostavio.
Također, kao dodatna otegotna okolnost uzeta je u obzir i činjenica kako voditelj obrade do današnjeg dana nije obavijestio Agenciju da je poduzeo dodatne mjere zaštite koje bi prevenirale buduće rizike od utvrđenih povreda te kako do danas nije prilagodio politiku privatnosti dostupnu na njihovim mrežnim stranicama.
U konkretnom slučaju riječ o mogućoj individualnoj kaznenopravnoj odgovornosti, odnosno počinjenju kaznenog djela, a što je u nadležnosti Ministarstva unutarnjih poslova, koje provodi kriminalističko istraživanje u okviru svojih nadležnosti.
Važna obavijest:
Sukladno članku 94. Zakona o elektroničkim medijima, komentiranje članaka na web portalu PDN dopušteno je samo registriranim korisnicima.
Svaki korisnik koji želi komentirati članke obvezan je prethodno se upoznati s Pravilima komentiranja na web portalu PDN te sa zabranama propisanim stavkom 2. članka 94. Zakona.