AZOP: B2 Kapitalu 2,26 mil. eura kazne zbog povrede GDPR uredbe

- U konkretnom slučaju, riječ je o kršenju više odredbi Opće uredbe o zaštiti podataka-GDPR, i to od strane jedne od vodećih kompanija u području naplate potraživanja, a koja si nije smjela dopustiti da obrađuje osobne podatke velikog broja ispitanika na netransparentan i nesiguran način, poručuju iz AZOP-a.

Tu upravnu novčanu kaznu AZOP je izrekao B2 Kapitalu jer taj voditelj obrade nije na jasan i točan način informirao svoje ispitanike o obradi njihovih osobnih podataka putem obavijesti o obradi osobnih podataka (politike privatnosti), a u pogledu pravne osnove kod povrata preplaćenih sredstava, što je protivno odredbi članka opće uredbe GDPR.

Kršenje sigurnosti osobnih podataka najmanje 132 652 ispitanika

-Time je došlo i do netransparentne obrade osobnih podataka ispitanika, odnosno pogrešnog informiranja u pogledu pravne osnove obrade iz članka te uredbe, kojih je u trenutku provođenja nadzora bilo (najmanje) 132.652, a politika privatnosti ostala je nepromijenjena te povreda još nije otklonjena i traje od 25. svibnja 2018. do danas, navode iz AZOP-a.

- Protivno je uredbi i to što voditelj obrade nije sklopio ugovor o obradi osobnih podataka s izvršiteljem obrade za uslugu praćenja jednostavnog stečaja potrošača, dodaju iz AZOP-a.

Objašnjavaju da je time ugrožena sigurnost osobnih podataka 83.896 ispitanika (OIB), budući da je sklapanje ugovora s izvršiteljem obrade jedna od svojevrsnih sigurnosnih poluga koja osigurava da su jasno ugovorena pravila obrade osobnih podataka.

Utvrđeno je i da je navedena povreda trajala od prihvata ponude za pružanje usluge praćenja jednostavnog stečaja potrošača, odnosno od 14. veljače 2019. do 26. veljače 2021. kada je došlo do prekida poslovne suradnje.

Iz AZOP-a navode i da taj voditelj obrade nije poduzimao odgovarajuće tehničke i organizacijske mjere zaštite kod obrade osobnih podataka, što je također protivno uredbi, a time je došlo i do kršenja sigurnosti osobnih podataka svih ispitanika, njih najmanje 132 652 u trenutku nadzora.

Riječ je o podacima poput imena i prezimena, datumima rođenja, OIB-u, ali i drugih koji su zavedeni u sustavima pohrane agencije za naplatu potraživanja, a koji su financijske prirode te na taj način i prilično osjetljivi.

U postupku nadzora AZOP je utvrdio i da povreda uredbe traje najmanje od 2019. i da još nije otklonjena, a sve uslijed nepoduzimanja odgovarajućih mjera zaštite.

AZOP u prosincu 2022. zaprimio anonimnu predstavku i pokrenuo nadzor  

U AZOP-u su o tome zaprimili u prosincu 2022. anonimnu predstavku, u kojoj je navedeno kako je došlo do neovlaštene obrade većeg broja osobnih podataka fizičkih osoba-dužnika od strane agencije za naplatu potraživanja te je priložen i USB stick na kojemu se nalaze osobni podaci u strukturi ime i prezime, datum rođenja te OIB za ukupno 77.317 fizičkih osoba, koje su imale nepodmireno dugovanje prema kreditnim institucijama, a koje je temeljem ugovora o cesiji otkupila agencija za naplatu potraživanja.

Tada je AZOP na temelju službene dužnosti pokrenuo i nadzor u kojemu su utvrđene spomenute povrede uredbe zbog nemarnog postupanja od strane voditelja obrade (agencije za naplatu potraživanja).

- Voditelj obrade najveći stupanj odgovornosti snosi zbog nepoduzimanja tehničkih mjera zaštite, budući da je upravo zbog manjkavosti u takvom sustavu sigurnosti došlo do nesigurne obrade većeg broja osobnih podataka. AZOP je izgubio potpuni nadzor nad kretanjem osobnih podataka njihovih ispitanika te se nije moglo objasniti uzroke neovlaštene eksfiltracije (izvlačenja) osobnih podataka, kažu iz AZOP-a.

Otegotne okolnosti - odugovlačenje postupka 

Bilo je, kažu iz AZOP-a, i otegotnih okolnosti u provedenom upravnom postupku zbog manjkavosti kod suradnje, jer na više poslanih dopisa tom voditelju obrade odgovarao pred zadnje dane postavljenog roka te slao dopise za potrebe produženja roka i pojašnjenja zatraženih okolnosti. To je u određenoj mjeri utjecalo na odugovlačenje postupka, kao i to što na višekratna traženja AZOP-a određene dokumentacije (izlist sistemskih zapisa), voditelj obrade to nije dostavio.

Također, B2 Kapital do današnjeg dana nije obavijestio AZOP da je poduzeo dodatne mjere zaštite koje bi prevenirali buduće rizike od utvrđenih povreda, a nije ni prilagodio politiku privatnosti dostupnu na njihovim mrežnim stranicama.

- Ističemo da je u konkretnom slučaju riječ o mogućoj individualnoj kaznenopravnoj odgovornosti, odnosno počinjenju kaznenog djela, a što je u nadležnosti Ministarstva unutarnjih poslova, koje provodi kriminalističko istraživanje u okviru svojih nadležnosti, zaključuju iz AZOP-a.

SDP i Možemo: HDZ i Plenković izlažu građane teroru agencija za utjerivanje dugova

Čelnici SDP-a i Možemo, koji već neko vrijeme inzistiraju na reguliranju rada agencija za utjerivanje dugova, ustvrdili su u četvrtak da kazna agenciji B2 Kapital od 2,2 milijuna eura nije dovoljna i ustvrdili da HDZ i Plenković izlažu građane teroru agencija za utjerivanje dugova.

Iz agencije B2 Kapital, koja se bavi naplatom dugova, izašli su podaci 77.317 fizičkih osoba, koji sadržavaju ime i prezime, OIB, datum rođenja, adresu stanovanja, naziv i OIB poslodavca, dugovanje prema B2 Kapitalu, iznos glavnice te iznos zateznih kamata, ali i broj mobitela i osobni e-mail dužnika, zbog čega ju je Agencija za zaštitu osobnih podataka (AZOP) kaznila s 2,2 milijuna eura.

- S jedne strane, to je nikad veća kazna, s druge strane nedovoljno za potencijalnu, a vjerojatno i stvarnu štetu koja je ljudima nanijeta. Sustav utjerivanja dugova u Hrvatskoj se mora regulirati, što HDZ i Plenković odbijaju. Ne žele da se pomogne hrvatskim građanima, s jedne strane ih maltretiraju, s druge strane njihove osobne podatke drže na ovakav način, ugrožavaju ljude i ne žele im pomoći, rekao je Peđa Grbin (SDP).

Ovoga mjeseca ćemo u Saboru raspravljati o utjerivačima dugova i zajedničkom prijedlogu SDP-a i Možemo, koji bi to trebao riješiti, pa ćemo vidjeti kako će se HDZ postaviti i kako će glasati. Vidjet ćemo hoće li opet glasati za banke, utjerivače, bogate i one koji imaju ili hrvatske građane koji su izloženi teroru, poručio je.

Najveće kršenje prava na privatnost u Hrvatskoj

I Sandra Benčić (Možemo) smatra da je kazna od 2,2 milijuna eura nedovoljna jer se radi o najvećem kršenju prava na privatnost uopće poznatom u Hrvatskoj.

- Ovo kršenja prava na privatnost građana je izravna posljedica odluke Andreja Plenkovića da neće regulirati agencije za naplatu potraživanja, i to nakon što smo u Saboru imali minimalno šest prijedloga kako da se to regulira za potrošače, rekla je.

Paradoksalno da tih 2,2 milijuna eura neće dobiti građani kojima je povrijeđeno pravo na privatnost, nego Vlada. No, građani sada na temelju te odluke imaju pravni temelj tražiti naknadu štete od agencije za naplatu potraživanja B2 Kapital.

Nadamo se da će ista odluka biti i u odnosu na agenciju EOS Matrix, odakle su također curili podaci, da građani traže naknadu ne samo realno nastale štete nego i zbog povrede prava osobnosti, kazala je.

- Taj problem će biti riješen tek kada Sabor izglasa da se potrošački dugovi ne mogu prodavati agencijama za naplatu potraživanja. Jer, čak i kada ih reguliramo, njihove prakse bit će takve da će se i dalje građanima gaziti njihovo dostojanstvo, poručila je Benčić.