IZ tvrtke EOS Matrix, agencije za naplatu potraživanja, procurilo je više od 181 tisuće osobnih podataka, među kojima su i podaci par stotina maloljetnih osoba, otkrile su prije nekoliko dana Index istrage. Riječ je o drugom velikom curenju podataka nakon što je u prosincu 2022. otvorena istraga zbog curenja 77.000 osobnih podataka još jednog utjerivača dugova, odnosno agencije za naplatu potraživanja, firme B2 Kapital.
>> Otkrivamo: Od utjerivača dugova procurili osobni podaci stotina maloljetnika
Predsjednik Hrvatske udruge agencija za naplatu potraživanja (HUAN) Matija Arapović na HRT-u je rekao nije došlo do proboja informacija te naveo da se informacije nisu smjele dati na bilo koji način na tržište.
"Baratamo podacima koji ne mogu stvoriti imovinsku korist trećoj strani. Radi se o imenima članica, OIB-u i datumu rođenja te ne može doći do dodatne štete za osobe koje se nalaze na toj listi. Radi se osobnim podacima, ali vjerujemo da ne može nikakva šteta nastati iz toga", rekao je.
Njegovu izjavu je komentirao Lucijan Carić, stručnjak za informacijsku sigurnost i GDPR.
"Ako je podatak bezvrijedan - zašto ga onda imaju utjerivači?"
"Ovo postaje sve luđe i luđe. Šef udruge utjerivača dugova na Indexu tvrdi da ne vjeruje da iz curenja može nastati ikakva šteta. Jednadžba je suluda, ali nije neutemeljena.
Ako iz curenja podataka ne može nastati šteta, zašto onda imamo GDPR koji propisuje obavezu čuvanja osobnih podataka, ali i kazne u slučaju neuspjeha?
Nastavno, ako je podatak bezvrijedan, zašto ga onda imaju utjerivači? Njima podaci građana, naravno, nisu bezvrijedni, ali se prema tim podacima, izgleda, ponašaju kao da su upravo takvi.
Najmanje što su utjerivači pokazali jest da su nesposobni čuvati sigurnost i privatnost podataka koji su im povjereni. Sada je lako lakonski tvrditi kako u tome nema nikakve štete.
S druge strane, AZOP im za gubitak podataka može izreći drakonske kazne. Nekako sumLJam u to i mislim da bi se ozbiljno trebalo pozabaviti regulativnom sposobnošću AZOP-a i ozbiljno istražiti kako AZOP postupa po prijavama, u kojem roku i s kakvim rezultatima, jer sam već više puta naletio na primjedbe građana po kojima AZOP nastupa kao nekakav arbitar ili medijator, a ne regulator, čak i da navodno brani takvu svoju ulogu. Ako se to pokaže istinom, onda AZOP treba prijaviti EU zbog neprovođenja njene legislative.
"Svatko tko smatra da je pretrpio štetu može tražiti odštetu"
Jasna mi je i podloga ovako optimističnog stava udruge agencija o nepostojanju štete. Svatko tko smatra kako je pretrpio materijalnu ili nematerijalnu štetu kao posljedicu curenja podataka može tužiti i tražiti odštetu. U toj priči supsidijarno su odgovorne i banke, što prolazi iz odgovarajuće Uredbe HNB-a prema kojoj banke odgovaraju ako prijenosom plasmana potrošače stave u nepovoljniji položaj.
Međutim, to, kao i nastanak materijalne i nematerijalne štete, na sudu treba dokazati. Europska pravna praksa po pitaju odšteta građanima na temelju kompromitacije njihovih osobnih podataka nije mi previše poznata, ali nedavno sam naletio na informacije po kojima takva naknada štete nije baš previše poznata ni diljem velike voljene EU.
Naime, pravna praksa većine članica po pitanju odštete zbog curenja podataka je - nothing to see here, move along. Dakle, nikom ništa. Prema stavovima sudova nekih članica EU, 'puka neugodnost' nastala povredom privatnosti nije temelj za odštetu, a ionako većina članica EU ne poznaje institut kaznene odštete.
Netko bolji na tom području trebao bi se time pozabaviti, ali sve to skupa izgleda mi lagano blasfemično. S jedne strane, EU i države članice izriču drakonske kazne za kršenje famoznog GDPR-a, koje idu u stotine milijuna dolara.
"Nije li to sve skupa malo suludo?"
Ove godine Irska je, samo u jednom slučaju, izrekla kaznu od 390 milijuna dolara Meti zbog 'nepridržavanja općih pravila obrade podataka'. Jedno retoričko pitanje - kako su se neki koji su izgubili osobne podatke 77 i 181 tisuća građana pridržavali 'općih pravila obrade podataka'?
S druge strane ispada da građani - koji su posljedične žrtve zbog nepridržavanja GDPR-a - zapravo nemaju pravo na odštetu zbog toga što su im kompromitirani osobni podaci ili im je to pravo vrlo ograničeno. Nije li sve skupa malo suludo - s jedne strane izriču se drakonske kazne zbog povrede osobnih podataka koje prigrabi državni proračun, s druge strane građanima se ne priznaje pravo na osobnu kompenzaciju zbog istog razloga?" piše Carić na Facebooku.