AZOP izrekao kaznu B2 Kapitalu: Zbog curenja podataka kažnjeni s 2.2 milijuna eura

Foto: Shutterstock, Index

AGENCIJA za zaštitu osobnih podataka (AZOP) izrekla je upravnu novčanu kaznu voditelju obrade – agenciji za naplatu potraživanja B2 Kapital u iznosu od 2.265.000,00 eura. Riječ je i o mogućem počinjenju kaznenog djela, što je u nadležnosti Ministarstva unutarnjih poslova, koje će provesti kriminalističko istraživanje. 

>> Index Istrage: Procurili osobni podaci 77 tisuća građana, njihovi OIB-ovi i dugovi

Podsjetimo, iz agencije B2 Kapital, koja se bavi naplatom dugova, izašli su podaci 77.317 fizičkih osoba, koji sadržavaju ime i prezime, OIB, datum rođenja, adresu stanovanja, naziv i OIB poslodavca, dugovanje prema B2 Kapitalu, iznos glavnice te iznos zateznih kamata, kao i, što je posebno sporno, broj mobitela i osobni e-mail. O tome je detaljno i prvi pisao Index. 

Naglasimo kako smo upozorili AZOP da smo u posjedu tipiziranog ugovora o prodaji potraživanja (ugovor o cesiji) između banaka i agencije, iz kojeg je razvidno kako banke agencijama koje se bave utjerivanjem dugova dostavljaju i broj telefona svojih bivših i aktualnih klijenata. Iz odgovora AZOP-a koji smo dobili bilo je razvidno da su banke davale podatke koje nisu smjele pa se istraga proširila. 

Četiri najveće banke koje posluju u Hrvatskoj, Hrvatska udruga banaka i Hrvatska narodna banaka, koja obavlja nadzor nad ugovorima o prodaji potraživanja između banaka i agencija, nisu htjele odgovoriti što banke predaju utjerivačima dugova kada prodaju loša potraživanja. 

Kazna od 2.26 milijuna eura

AZOP je sada izrekao kaznu od 2.26 milijuna eura, i to zato što voditelj obrade nije na jasan i točan način informirao svoje ispitanike o obradi njihovih osobnih podataka putem obavijesti o obradi osobnih podataka. Također, nisu sklopili ugovor o obradi osobnih podataka s izvršiteljem obrade za uslugu praćenja jednostavnog stečaja potrošača i nisu poduzimali odgovarajuće tehničke i organizacijske mjere zaštite pri obradi osobnih podataka. 

U obrazloženju se navodi da je Agencija pokrenula nadzorno postupanje u prosincu 2022. te provela postupak u kojem su utvrđene tri prethodno opisane povrede zbog nemarnog postupanja voditelja obrade (agencije za naplatu potraživanja). 

Voditelj obrade najveći stupanj odgovornosti snosi zbog nepoduzimanja tehničkih mjera zaštite budući da je upravo zbog manjkavosti u takvom sustavu sigurnosti došlo do nesigurne obrade većeg broja osobnih podataka. Agencija za naplatu potraživanja izgubila je potpuni nadzor nad kretanjem osobnih podataka njihovih ispitanika i nije mogla objasniti uzroke neovlaštene eksfiltracije (izvlačenja) osobnih podataka.

Nisu surađivali

Isto tako, kao otegotna okolnost u provedenom upravnom postupku utvrđene su određene manjkavosti u suradnji. Naime, na više dopisa koje je poslala Agencija tražeći dodatno očitovanje ili dokumentaciju od voditelja obrade on je odgovarao pred zadnje dane postavljenog roka i slao dopise za potrebe produženja roka i pojašnjenja zatraženih okolnosti iako je isto mogao zatražiti i prije, što je u određenoj mjeri utjecalo na odugovlačenje postupka. 

Također, na višekratna traženja Agencije za zaštitu osobnih podataka određene dokumentacije (izlista sistemskih zapisa), voditelj obrade iste nije dostavio. Također, kao dodatna otegotna okolnost uzeta je u obzir i činjenica da voditelj obrade do današnjeg dana nije obavijestio Agenciju da je poduzeo dodatne mjere zaštite koje bi prevenirale buduće rizike od utvrđenih povreda i do danas nije prilagodio politiku privatnosti dostupnu na njihovim mrežnim stranicama.

Prijava predana policiji 

Zaključno, u konkretnom slučaju riječ je o kršenju više odredbi Opće uredbe o zaštiti podataka, i to od strane jedne od vodećih kompanija u području naplate potraživanja, koja si nije smjela dopustiti da obrađuje osobne podatke velikog broja ispitanika na netransparentan i nesiguran način. 

Također, voditelj obrade vjerojatno ne bi nikada ni uočio eksfiltraciju osobnih podataka velikog broja ispitanika, najmanje za njih 77.317 iz njihovog sustava, da Agencija za zaštitu osobnih podataka nije zaprimila anonimnu prijavu i provela nadzorne aktivnosti. 

"Do današnjeg dana, voditelj obrade nije razjasnio sve okolnosti nastale povrede, odnosno iznošenja određenog opsega osobnih podataka izvan njihovog sustava pohrane, a što dodatno govori o neodgovarajućim mjerama zaštite od strane voditelja obrade", stoji u obrazloženju odluke AZOP-a. 

U obrazloženju stoji i kako je riječ o mogućoj individualnoj kaznenopravnoj odgovornosti, odnosno počinjenju kaznenog djela, što je u nadležnosti Ministarstva unutarnjih poslova, koje provodi kriminalističko istraživanje u okviru svojih nadležnosti.

 

Komentare možete pogledati na ovom linku.

Pročitajte više

 
Komentare možete pogledati na ovom linku.