Agencija za zaštitu osobnih podataka (AZOP) izvijestila je da je izrekla osam novih upravnih novčanih kazni u ukupnom iznosu od 350.500 eura zbog kršenja odredbi opće uredbe o zaštiti podataka i Zakona o provedbi opće uredbe o zaštiti podataka. Pritom je Hrvatskom uredu za osiguranje (HUO) izrečena kazna u iznosu od 101.000 eura.
Naime, iz AZOP-a objašnjavaju kako je nakon anonimne prijave, došlo do “curenja“ osobnih podataka više od milijun vlasnika vozila iz Evidencije registriranih vozila na području RH. AZOP je, navodi se u priopćenju, proveo nadzorna postupanja kod više voditelja obrade osobnih podataka – HUO-a, Centra za vozila Hrvatske, Ministarstva unutarnjih poslova RH, kao i drugih pravnih subjekata koji su se povezivali s incidentom.
Utvrđeno je da se struktura podataka koja je dostavljena Agenciji na USB “sticku” – podaci o vlasniku vozila (ime i prezime, datum rođenja, OIB, JMBG, adresa prebivališta), podaci o vozilu (vrsta vozila, registarske oznake, broj šasije) i podaci o osiguranju (naziv osiguranja, broj police i datum važenja) i podaci o umanjenju osiguranja (bonusi/malusi), podudara s bazom HUO-a te da je taj ured voditelj obrade osobnih podataka, navodi se u priopćenju Agencije koje prenosi Hina.
Agencija je utvrdila kako HUO, kao voditelj obrade, nije poduzeo odgovarajuće organizacijske i tehničke mjere zaštite osobnih podataka ispitanika, te da je uslijed nepoduzimanja odgovarajućih mjera zaštite ugrožena sigurnost sigurnosnog sustava s osobnim podacima ispitanika, a što je omogućilo lakšu dostupnost osobnih podataka ispitanika neovlaštenim osobama.
Nadalje, jednoj je sportskoj kladionici, zbog nepoduzimanja tehničkih mjera zaštite osobnih podataka te nepropisnog čuvanja osobnih podataka korisnika, izrečena kazna u iznosu od 175.000 eura.
Agencija je, kako je pojašnjeno, zaprimila prijavu kako sportska kladionica za verifikaciju računa korisnika na internet stranici traži da korisnici putem e-maila pošalju kopiju osobne iskaznice čime ne omogućava siguran način slanja dokumenata za verifikaciju zbog čega je Agencija pokrenula postupak po službenoj dužnosti zbog visokog rizika za prava i slobode ispitanika (igrača, korisnika usluge).
Utvrđeno je da je voditelj obrade obrađivao osobne podatke svojih korisnika s osobne iskaznice, bez da je poduzeo odgovarajuće tehničke mjere zaštite s obzirom na rizike.
Između ostaloga, pojedini zaposlenici voditelja obrade koriste lozinke koje nisu dovoljno snažne, odnosno lozinke koje imaju svega tri znaka, što nije dovoljna mjera zaštite, obzirom da se s računala određenih zaposlenika može pristupiti e-mail adresi koja sadrži e-mailove s osobnim podacima i preslikama osobnih iskaznicama velikog broja korisnika. Isto tako, utvrđeno je da se djelatnici u administratorski dio programa platforme za klađenje spajaju nesigurnom HTTP vezom.
Pročitajte još:
Isto tako, voditelj obrade, uz ostalo, nije osigurao brisanje osobnih podataka ispitanika nakon proteka roka u kojem se isti moraju čuvati, a utvrđeno je i da svjesno ne radi sigurnosnu kopiju podataka pozivajući se na previsoki trošak u uspostavi takve sigurnosne mjere zaštite osobnih podataka.
Naposljetku, Agencija je izrekla još šest upravnih novčanih kazni voditeljima obrade zbog kršenja opće uredbe o zaštiti podataka i Zakona o provedbi opće uredbe o zaštiti podataka i to u iznosima od 2.500 eura do 35.000 eura.
