Procurili podaci o svim vlasnicima vozila u Hrvatskoj, ICT stručnjak za Financije.hr: Tu ima posla za policiju i DORH

Nakon otkrića Večernjeg lista o dosad najvećem sigurnosnom propustu curenja osobnih podataka vlasnika svih registriranih vozila u Hrvatskoj, poznati ICT stručnjak za informacijsku sigurnost Lucijan Carić za Financije.hr je upozorio – kako su sporni podaci mogli jedino iscuriti iz dvije institucije u njihovom posjedu, a to su – Centar za vozila Hrvatske (CVH) i Ministarstvo unutarnjih poslova (MUP).

Podsjetimo, Večernji je objavio kako su iscurili osobni podaci vlasnika svih registriranih vozila u Hrvatskoj. Dnevni list je izvijestio kako je u posjedu prijave incidenta koja je podnesena SOA-i o curenju 2.444.587 zapisa o vozilima 1.195.052 fizičkih osoba. Podaci sadrže njihova imena, adrese, OIB-e, JMBG-e, datume rođenja, registracije i ostale podatke o vozilima i njihovim policama osiguranja.

„Samo su dvije institucije iz kojih su ovi ovi podaci mogli iscuriti – Centar za vozila Hrvatske (CVH) i Ministarstvo unutarnjih poslova (MUP). Niti jedna druga organizacija, a neki opseg podataka mogla bi imati osiguravajuća društva, ne može raspolagati ovako sveobuhvatnim podacima. Nadležna tijela, prvenstveno Agencija za zaštitu osobnih podataka (AZOP), moraju odgovoriti odakle su i kako ovi podaci iscurili. Tu, naravno, ima posla i za druge institucije kao što su MUP, DORH, obavještajnu zajednicu, a moguće i za regulatore poput HANFE.“, pojasnio je Carić.

Informacijski stručnjak, jedan od pionira informacijske i anti-virusne zaštite u Hrvatskoj – smatra da sve treba pomno istražiti i potom kazniti odgovorne – gubitkom licenci za rad, smjenama, ali i zatvorom.

„Ako su podaci iz CVH, firma treba izgubiti licencu i privilegiran položaj monopolista. Ako se radi o MUP-u, mislim kako se ministar već sutra treba javiti u prijevremenu političku mirovinu, a oni koji su izravno odgovorni trebaju ostati bez mirovine i završiti u zatvoru. U slučaju da ti podaci okolo “dilani” od strane onih koji su ih kupili, pod uvjetom da se radi o osiguravajućim društvima, trebaju izgubiti licence za rad u Hrvatskoj – permanentno, a sve odgovorne osobe iz svih organizacija uključenih u ovaj mega-skandal trebaju završiti u zatvoru.“, mišljenja je Carić.

Za njega je ovo dosad najveće curenje podataka u Hrvatskoj, a samim tim i najveći skandal za nadležne institucije, pogotovo one koje su prve o tome obavještene.

„Ako novinari na ovome rade mjesecima opravdano je pitati kada su odgovorni obaviješteni i što su u međuvremenu radili. Hrvatska ima možda 3,6 milijuna stanovnika, dakle procurili su podaci 1/3 svih stanovnika, po prilici polovice punoljetnih građana. To je 3-4 puta veće curenje podataka od najvećeg do sada poznatog u koje su bile uključene agencije za naplatu potraživanja.“, zaključio je Carić.

AZOP krenuo u akciju zbog curenja podataka

Agencija za zaštitu osobnih podataka zaprimila je informaciju kako je došlo do “curenja” osobnih podataka više od milijun fizičkih osoba vlasnika vozila i izvijestila u ponedjeljak kako je krenula u ‘nadzorno postupanje zbog povrede osobnih podataka vlasnika vozila‘.

„Javnost obavještavamo kako je u tijeku nadzorno postupanje nad svim relevantnim subjektima u konkretnom slučaju te se utvrđuju sve okolnosti, kao i stvarni voditelj obrade baze podataka u kojoj su sadržani predmetni osobni podaci. O svim daljnjim relevantnim informacijama obavještavat ćemo javnost redovito.“, izvijestila je agencija u vezi skandala.

Podsjetimo, prije ovog, kako je Carić istaknuo – najvećeg curenja podataka, AZOP je kaznio tvrtke za utjerivanje dugova zbog povrede osobnih podataka.

EOS Matrixu AZOP je odrezala 5,57 milijuna eura kazne, duplo veću kaznu od prethodne koja je probila rekord izrečen B2 Kapitalu kažnjenom s 2,26 milijuna eura.

Kazna je odrezana jer su u tvrtki obrađivali zdravstvene podatke dužnika u svojoj bazi, koji se tretiraju kao osobni podaci posebne kategorije, bez postojanja pravne osnove, što nisu na transparentan i propisani način informirali  ispitanike o obradi njihovih zdravstvenih podataka u politikama privatnosti, kao i za snimanje telefonskih razgovora s ispitanicima u razdoblju od 25. svibnja 2018. godine do 16. siječnja 2019. godine, za što nisu imali utvrđenu pravnu osnovu.

Dužnike nisu ni adekvatno informirali o snimanja telefonskih razgovora. Obrađivali su i osobne podatke osoba koje nisu dužnici (najčešće telefonski broj te ime i prezime i adresu stanovanja), niti zakonski zastupnici nasljednika u dužničko-vjerovničkim odnosima.

AZOP u rješenju navodi da je 22. ožujka 2023. godine zaprimio anonimnu predstavku u kojoj se navodi kako je došlo do neovlaštene obrade većeg broja osobnih podataka fizičkih osoba (dužnika) od strane EOS Matrixa. Predstavci je priložen USB stick na kojemu je bio 181.641 osobni podatak fizičkih osoba čija je dugovanja cesijom preuzeo EOS. Navedeno je i kako su u bazi podataka 294 fizičke osobe koje su u vremenu sastavljanja baze podataka bile maloljetne. Po zaprimljenoj prijavi, AZOP je tada krenuo u nadzor, kao i sada nakon otkrivanja do sada – najvećeg skandala curenja podataka u Hrvatskoj. CVH poriče da su sporni podaci iscurili iz njega, kao i MUP.