Zbog curenja više od 77 tisuća osobnih podataka građana Agencija za zaštitu osobnih podataka kaznila je agenciju za naplatu potraživanja B2 Kapital s više od dva milijuna eura. Riječ je o podacima poput imena i prezimena, datumima rođenja, OIB-u, ali i drugim podacima koji su zavedeni u sustavima pohrane agencije, a koji su financijske prirode te tako i prilično osjetljivi.
AZOP je izrekao rekordnu novčanu kaznu od 2,26 milijuna eura B2 Kapitalu kao voditelju obrade podataka zbog utvrđenih povreda Opće uredbe o zaštiti podataka (GDPR). Nadzorom je utvrđeno da ta tvrtka, koja se bavi naplatom potraživanja, nije dovoljno dobro informirala svoje klijente o obradi njihovih osobnih podataka, putem obavijesti o obradi osobnih podataka (politike privatnosti), a u pogledu pravne osnove kod povrata preplaćenih sredstava, što je protivno odredbi članka opće uredbe GDPR.
Upravo to je najveći krimen, najveća nesukladnost, zato što je riječ o tvrtki koja za osnovu poslovanja ima analizu i korištenje osobnih podataka osoba koje su u nekakvom dugovanju, rekao je zamjenik ravnatelja AZOP-a Igor Vulje.
“Time je došlo i do netransparentne obrade osobnih podataka ispitanika odnosno pogrešnog informiranja u pogledu pravne osnove obrade iz članka te uredbe, kojih je u trenutku provođenja nadzora bilo (najmanje) 132.652, a politika privatnosti ostala je nepromijenjena te povreda još nije otklonjena i traje od 25. svibnja 2018. do danas”, navode iz AZOP-a.
Osim toga, B2 kapital sa svojim podizvođačima nije sklopio ugovore koji preciziraju način obrade i čuvanja osobnih podataka klijenata. Time je ugrožena sigurnost osobnih podataka 83.896 ispitanika (OIB), budući da je sklapanje ugovora s izvršiteljem obrade jedna od svojevrsnih sigurnosnih poluga koja osigurava pravila obrade osobnih podataka budu jasno ugovorena.
Navedena povreda trajala je od prihvata ponude za pružanje usluge praćenja jednostavnog stečaja potrošača, odnosno od 14. veljače 2019. do 26. veljače 2021. kada je došlo do prekida poslovne suradnje.
S obzirom na to da prilikom obrade osobnih podataka nisu provedene ni odgovarajuće tehničke i organizacijske mjere zaštite, sve istražuje policija. Istraga je proširena i na banke koje su dugove s podacima prodale agenciji B2 Kapital.
“Radi se o većem broju kreditnih institucija i svaki pojedini slučaj potrebno je provjeriti”, dodao je Vulje.
Iz agencije B2 Kapital pak tvrde kako su “neovisni stručnjaci proveli ekstenzivnu forenzičku internu istragu” i da su utvrdili da “u sustavima B2 Kapitala nije došlo do curenja podataka te da B2 Kapital nije bio izložen hakerskom napadu”. Tvrde da “predmetni podaci nisu sadržavali podatke o financijskom stanju klijenta niti o stanju duga”, te da je to potvrđeno rješenjem AZOP-a.
Odluku AZOP-a poštuju, ali se u pretežitom dijelu ne slažu s obrazloženjem, a izrečenu kaznu smatraju previsokom.
U dva incidenta iz dvije najveće agencije za naplatu potraživanja, EOS Matrix i B2 Kapital, iscurilo je oko 200 tisuća osobnih podataka građana. Odluka AZOP-a o incidentu u EOS Matrixu tek se očekuje.