Rekordna kazna agenciji za utjerivanje dugova koja je izgubila privatne podatke građana
U javnost su procurili osobni podaci o 77.317 fizičkih osoba
Zbog curenja podataka, agenciji za naplatu potraživanja izrečena je upravna novčana kazna u iznosu od 2,26 milijuna eura. Agenciji B2 Kapital d.o.o. novčanu kaznu izrekla je Agencija za zaštitu osobnih podataka (AZOP).
Podsjetimo, iz agencije B2 Kapital, koja se bavi naplatom dugova, u javnost su procurili osobni podaci o 77.317 fizičkih osoba, uključujući njihove OIB-e, datume rođenja, dugove prema B2 Kapitalu. O velikom curenju podataka pisao je Index krajem prošle godine.
Agencija za zaštitu osobnih podataka je u prosincu 2022. godine zaprimila anonimnu dojavu u kojoj je navedeno kako je došlo do neovlaštene obrade većeg broja osobnih podataka fizičkih osoba – dužnika od strane agencije za naplatu potraživanja te je priložen USB stick na kojemu se nalaze osobni podaci 77.317 fizičkih osoba, a koji su imali nepodmireno dugovanje prema kreditnim institucijama.
Nesigurna obrada osobnih podataka
Temeljem službene dužnosti, Agencija je pokrenula nadzorno postupanje u prosincu prošle godine te provela postupak u kojemu su utvrđene tri povrede zbog nemarnog postupanja od strane voditelja obrade (agencije za naplatu potraživanja).
Voditelj obrade najveći stupanj odgovornosti snosi zbog nepoduzimanja tehničkih mjera zaštite, budući da je upravo zbog manjkavosti u takvom sustavu sigurnosti došlo do nesigurne obrade većeg broja osobnih podataka, obrazložili su iz Agencije za za zaštitu osobnih podataka. U postupku je utvrđeno kako povreda traje najmanje od 2019. godine te još nije otklonjena, a sve uslijed nepoduzimanja odgovarajućih mjera zaštite.
‘Manjkavosti u suradnji’
Agencija za naplatu potraživanja je izgubila potpuni nadzor nad kretanjem osobnih podataka njihovih ispitanika te nije mogla objasniti uzroke neovlaštene eksfiltracije (izvlačenja) osobnih podataka, navodi se u obrazloženju. Uz to, kao otegotna okolnost navode se određene “manjkavosti kod suradnje”.
Nakon više dopisa poslanih od strane Agencije u svrhu traženja dodatnog očitovanja ili dokumentacije od strane voditelja obrade, odnosno agencije B2 Kapital, na iste je odgovarao pred zadnje dane postavljenog roka te slao dopise za potrebe produženja roka i pojašnjenja zatraženih okolnosti, iako je isto mogao zatražiti i prije. To je, navodi se, u određenoj mjeri utjecalo na odugovlačenje postupka.
Također, na višekratna traženja Agencije za zaštitu osobnih podataka određene dokumentacije (izlista sistemskih zapisa), voditelj obrade ih nije dostavio.
Individualna kaznenopravna odgovornost
Navodi se i kako voditelj obrade vjerojatno ne bi nikada ni uočio curenje osobnih podataka da Agencija za zaštitu osobnih podataka nije zaprimila anonimnu prijavu te provela nadzorne aktivnosti.
“Do današnjeg dana, voditelj obrade nije razjasnio sve okolnosti nastale povrede, odnosno iznošenja određenog opsega osobnih podataka izvan njihovog sustava pohrane, a što dodatno govori o neodgovarajućim mjerama zaštite od strane voditelja obrade”, piše u obrazloženju.
Ističe se i kako je u konkretnom slučaju riječ o “mogućoj individualnoj kaznenopravnoj odgovornosti, odnosno počinjenju kaznenog djela, a što je u nadležnosti Ministarstva unutarnjih poslova, koje provodi kriminalističko istraživanje u okviru svojih nadležnosti”.