Ogroman skandal: Agenciji za naplatu potraživanja ukradeni podaci 77.000 građana, nisu imali pojma dok ih nije upozorio AZOP

Agencija istražuje što se dogodilo

Iz agencije ističu kako su AZOP-u dali uvid u sve informacije, kao i da surađuju s nadležnim institucijama. “Proveli smo i dodatnu žurnu i neovisnu forenzičku istragu kako bi se utvrdilo jesu li ti podaci i na koji način neovlašteno izneseni iz B2 Kapitala”, napominju.

U priopćenju se navodi kako B2 Kapital još uvijek nema cjelovit uvid u listu klijenata čiji su osobni podatci otuđeni. “Intenzivno radimo na utvrđivanju informacija o kojim se klijentima i kojim osobnim podacima se radi te ćemo, nakon što utvrdimo u odnosu na koje klijente je došlo do potencijalnog ugrožavanja osobnih podataka, bez odgađanja obavijestiti klijente”, obećaju.

U zaključku priopćenja B2 Kapital ističe kako svi u agenciji ozbiljno shvaćaju incident, te su Policijskog upravi zagrebačkoj i nadležnom Državnom odvjetništvu podnijeli kaznenu prijavu protiv nepoznatog počinitelja. “Blisko ćemo surađivati sa svim nadležnim institucijama kako bi se utvrdilo na koji su način i od kuda osobni podatci klijenata neovlašteno otuđeni”, jamče na kraju.

Ukradeni podaci više od 77 tisuća ljudi

Više detalja o ovoj krađi donosi Index.hr, koji piše kako su procurili podaci koji sadržavaju ime i prezime, OIB, datum rođenja, adresu stanovanja, naziv i OIB poslodavca, broj telefona/mobitela, e-mail, dugovanje prema B2 Kapitalu, iznos glavnice te iznos zateznih kamata. Navodno su kompromitirani osobni podaci o 77.317 fizičkih osoba. Ako je taj podatak točan, riječ o dosad najvećem curenju osobnih podataka u Hrvatskoj, ističe Index.

Osim toga što je ugrožena privatnost velikog broja građana, u ovoj je priči problematična i činjenica da je agencija za naplatu potraživanja raspolagala telefonskim brojevima i emailovima svojih klijenata. Nije jasno kako je B2 Kapital došao do tih podataka, budući da ih banaka nisu imali razloga dijeliti.

Jesu li banke davale podatke koje nisu trebale?

Naime, banka agencijama prilikom prodaje naplate potraživanja daje i podatke o svojim korisnicima kredita, odnosno ugovore o kreditima u kojima se nalaze podaci kao što su adresa stanovanja ili tekući račun. No, u ugovorima o kreditu nema podataka kao što su e-mailovi ili brojevi mobitela.

Agencija te podatke nije mogla dobiti ni od Hrvatskog zavoda za mirovinsko osiguranje (HZMO) od kojeg, prema Ovršnom zakonu, može dobiti neke informacije o građanima čija je zaduženja kupila. Iz toga proizlazi kako je B2 Kapital brojeve telefona ili mobitela te email adrese klijenata mogao dobiti samo od banaka. Mnoge banke raspolažu tim podacima budući da uvjetuju izdavanje kredita otvaranjem računa, pri čemu uzimaju podatke o broju mobitela i e-mailu.

No, zasad nije jasno zašto bi banke te podatke predale agenciji. Priču dodatno komplicira i činjenica da AZOP nedovoljno precizno odgovara na pitanje koje točno podatke banka smije podijeliti s agencijom za naplatu potraživanja. “Obrada osobnih podataka od strane agencije za naplatu potraživanja odnosno novog vjerovnika je zakonita”, kažu iz AZOP-a, te dodaju kako agencija mora voditi brigu o opsegu osobnih podataka te obrađivati “samo osobne podatke koji su nužni u odnosu na svrhe u koje se obrađuju.”

Moguća povreda bankarske tajne

Krađu podataka komentirao je za N1 televiziju Lucijan Carić, stručnjak za internetsku sigurnost. Carić je potvrdio kako se radi o najvećem incidentu te vrste u povijesti Hrvatske. “Među pogođenima se gotovo sigurno, uz privatne, nalaze i javne te politički izložene osobe. Slijedom Opće uredbe o zaštiti podataka u ovom slučaju, po svemu sudeći, odgovorne su i banke koje su prepustile podatke o dužnicima”, kazao je stručnjak i dodao:

“Ovo je zapravo težak skandal koji pokazuje kako se krčmi osobnim podacima građana, te ujedno lijepo ilustrira snagu velebnog GDPR-a, te svih njegovih instrumenata uključivši i regulatora. Ponašanje banaka posebna je priča, jer je ovdje po svemu sudeći došlo i do povrede bankarske tajne.”