Agencija za zaštitu osobnih podataka Republike Hrvatske (AZOP) kaznila je agenciju za naplatu potraživanja B2 Kapital s 2,3 milijna eura, priopćila je Agencija. AZOP je utvrdio kako je ta agencija za naplatu potraživanja prekršila čak tri odredbe Opće uredbe o zaštiti podataka. U cijeli slučaj uključio se i MUP koji provodi kriminalističko istraživanje, nakon ocjene AZOP-a da je u ovom slučaju riječ o mogućem počinjenju kaznenog djela.
AZOP je pokrenuo nadzor u prosincu 2022. te proveo postupak u kojemu su utvrđene tri povrede koje je počinio voditelj obrade agencije za naplatu potraživanja.
"Voditelj obrade najveći stupanj odgovornosti snosi zbog nepoduzimanja tehničkih mjera zaštite, budući da je upravo zbog manjkavosti u takvom sustavu sigurnosti došlo do nesigurne obrade većeg broja osobnih podataka. Agencija za naplatu potraživanja je izgubila potpuni nadzor nad kretanjem osobnih podataka njihovih ispitanika te nije mogla objasniti uzroke neovlaštenog izvlačenja osobnih podataka", ocijenio je AZOP.
Prekršene tri odredbe
AZOP je naveo koje tri odredbe Opće uredbe o zaštiti podataka je prekršio voditelj obrade podataka u B2 Kapitalu:
Prvo, nije na jasan i točan način informirao građane o obradi njihovih osobnih podataka te je time došlo do netransparentne obrade osobnih podataka najmanje 132.652 građana.
"Politika privatnosti ostala je nepromijenjena te povreda još nije otklonjena, odnosno traje od 25. svibnja 2018. do danas", kaže se u priopćenju.
Drugo, voditelj obrade nije sklopio ugovor o obradi osobnih podataka s izvršiteljem obrade za uslugu praćenja jednostavnog stečaja potrošača. Na taj način je ugrozio sigurnost osobnih podataka 83.896 građana (OIB). AZOP je utvrdio kako je navedena povreda trajala od 14. veljače 2019. do 26. veljače 2021., kada je došlo do prekida poslovne suradnje.
I treće, voditelj obrade nije poduzimao odgovarajuće tehničke i organizacijske mjere zaštite kod obrade osobnih podataka. U postupku je utvrđeno kako povreda traje najmanje od 2019. godine te još nije otklonjena, a sve uslijed nepoduzimanja odgovarajućih mjera zaštite.
Agencija za zaštitu osobnih podataka je u prosincu 2022. zaprimila anonimnu prijavu u kojoj je navedeno kako je došlo do neovlaštene obrade većeg broja osobnih podataka građana te im je bio priložen i USB stick na kojemu se nalaze osobni podaci za ukupno 77.317 fizičkih osoba, a koji su imali nepodmireno dugovanje prema kreditnim institucijama. Ta dugovanja je temeljem ugovora o cesiji otkupila agencija za naplatu potraživanja.
Otegotne okolnosti
AZOP je tijekom nadzora utvrdio i otegotne okolnosti za odgovorne u B2 Kapitalu. Tako je voditelj za obradu podataka odugovalačio nadzorni postupak tako da nije dostavljao traženu dokumentaciju ili je tražio produženje roka.
Također, kao dodatna otegotna okolnost uzeta je u obzir i činjenica kako voditelj obrade “do današnjeg dana nije obavijestio Agenciju da je poduzeo dodatne mjere zaštite koje bi prevenirale buduće rizike od utvrđenih povreda te kako do danas nije prilagodio politiku privatnosti dostupnu na njihovim mrežnim stranicama, ističu u AZOP-u.
“U konkretnom slučaju riječ o kršenju više odredbi Opće uredbe o zaštiti podataka i to od strane jedne od vodećih kompanija u području naplate potraživanja, a koja si nije smjela dopustiti da obrađuje osobne podatke velikog broja ispitanika na netransparentan i nesiguran način”, ističe se u priopćenju AZOP-a.
Uvjereni su da voditelj obrade B2 Kapitala vjerojatno nikada ne bi ni uočio neovlašteno preuzimanje osobnih podataka da agencija za zaštitu osobnih podataka nije zaprimila anonimnu prijavu te provela nadzorne aktivnosti.
Ističu da do današnjeg dana voditelj obrade nije razjasnio sve okolnosti curenja podataka, i da to dodatno govori o neodgovarajućim mjerama zaštite od strane voditelja obrade.