Teleoperater A1 dobio milijunsku kaznu; ni nakon hakerskog napada nisu poboljšali zaštitu podataka svojih korisnika
Novčanu kaznu od 2,15 milijuna kuna A1 mora uplatiti u državni proračun
Agencija za zaštitu osobnih podataka (AZOP) izrekla je telekomunikacijskoj kompaniji A1 kaznu od 2,15 milijuna kuna zbog lanjskog hakerskog napada u kojem su im kompromitirani podaci oko 100 tisuća korisnika. Utvrđeno je da A1 nije poduzeo ni odgovarajuće tehničke ni organizacijske mjere sigurnosti obrade osobnih podataka, čak ni nakon samog hakerskog napada. Na taj je način prekršeno više odredbi Opće uredbe o zaštiti podataka, stoji u priopćenju AZOP-a.
Radi se o poznatom incidentu iz veljače ove godine kada je A1 hakiran, te je tražena otkupnina u zamjenu za neobjavljivanje osobnih podataka.
Kompromitirani podaci korisnika
Utvrđeno je da su osobni podaci ipak kompromitirani što je prošli mjesec utvrdio i HAKOM. I dok je ta agencija zaprijetila A1 kaznom od 75 tisuća kuna ukoliko ne podigne razinu zaštite ne bi li u buduće spriječila sigurnosne incidente, AZOP je milijunsku novčanu kaznu ipak izrekao.
Doduše, A1 još ima pravo žaliti se na nju, budući da ionako od početka tvrdi da sigurnosni incident i nije bio toliko ozbiljan. Uvjeravaju da se radilo o incidentu u kojem, prema njihovom stavu, nije bilo ugrožen veliki broj osobnih podataka, pa zato sukladno propisima nisu ga ni ocijenili posebno bitnim.
AZOP: ‘A1 je ozbiljno pogriješio’
No, AZOP je utvrdio da je A1 zakasnio sa slanjem službenog izvješća o incidentu, jer je ono Agenciji poslano nakon što su već svi mediji objavili da je telekom hakiran. “Nakon što su izvijestili nas obavijestili su i korisnike. No utvrdili smo da u ovom slučaju određene organizacijske i tehničke mjere pri obradi osobnih podataka nisu bile dovoljne, iako se provode”, stoji u odluci AZOP-a.
Sasvim precizno, AZOP je utvrdio da je voditelj obrade osobnih podataka u A1 napravio višestruke propuste prilikom dizajniranja sustava obrade. Manjkavosti je bilo, tvrdi AZOP, i u ograničavanju pristupa, nadzoru, izvješćivanju, pravovremenom reagiranju, te uključivanju odgovarajućih korektivnih akcija u sustavu. Osim toga, nisu, utvrdio je dalje AZOP, izvršene ni propisane organizacijske mjera sadržane u postojećim internim aktima, niti su oni nakon ovog hakerskog napada promijenjeni.
Zašto je kazna tako visoka?
“Za navedena kršenja, Opća uredba o zaštiti podataka propisuje izricanje upravne novčane kazne do 10 milijuna eura ili u slučaju poduzetnika do dva posto ukupnog godišnjeg prometa na svjetskoj razini za prethodnu financijsku godinu, ovisno što je veće”, objašnjavaju zašto je A1 dobio baš kaznu od 2,15 milijuna kuna. Ističu kako je otegotna okolnost bila činjenica da je A1 jedno od vodećih društava pružatelja telekomunikacijskih usluga u Republici Hrvatskoj.
“Bilo je za očekivati da će zbog velikog opsega osobnih podataka koje obrađuje primijeniti složenije organizacijske i tehničke mjere zaštite prije početka, kao i tijekom same obrade, uzimajući u obzir najnovija dostignuća, trošak provedbe te prirodu, opseg, kontekst i svrhe obrade, kao i rizike različitih razina vjerojatnosti i ozbiljnosti za prava i slobode pojedinaca koji proizlaze iz obrade podataka, a posebice nakon ove povrede, što je društvo propustilo učiniti”, zaključuju iz AZOP-a.