Agencija za zaštitu osobnih podataka (AZOP) kaznila je s 2,265 milijuna eura agenciju za naplatu potraživanja B2 Kapital d.o.o. kao voditelja obrade podataka zbog utvrđenih povreda Opće uredbe o zaštiti podataka (GDPR), izvijestili su u četvrtak iz te  agencije.

“U konkretnom slučaju riječ je o kršenju više odredbi Opće uredbe o zaštiti podataka-GDPR i to od strane jedne od vodećih kompanija u području naplate potraživanja, a koja si nije smjela dopustiti da obrađuje osobne podatke velikog broja ispitanika na netransparentan i nesiguran način”, poručuju iz AZOP-a.

Tu upravnu novčanu kaznu su izrekli B2 Kapitalu jer taj voditelj obrade nije na jasan i točan način informirao svoje ispitanike o obradi njihovih osobnih podataka putem obavijesti o obradi osobnih podataka (politike privatnosti), a u pogledu pravne osnove kod povrata preplaćenih sredstava, što je protivno odredbi članka opće uredbe GDPR.

Time je došlo i do netransparentne obrade osobnih podataka ispitanika odnosno pogrešnog informiranja u pogledu pravne osnove obrade iz članka te uredbe, kojih je u trenutku provođenja nadzora bilo (najmanje) 132.652, a politika privatnosti ostala je nepromijenjena te povreda još nije otklonjena i traje od 25. svibnja 2018. do danas, navode iz AZOP-a.

“Protivno je uredbi i što voditelj obrade nije sklopio ugovor o obradi osobnih podataka s izvršiteljem obrade za uslugu praćenja jednostavnog stečaja potrošača”, dodaju iz AZOP-a, objašnjavajući da je time ugrožena sigurnost osobnih podataka 83.896 ispitanika (OIB), budući da je sklapanje ugovora s izvršiteljem obrade jedna od svojevrsnih sigurnosnih poluga koja osigurava da su jasno ugovorena pravila obrade osobnih podataka.

Utvrđeno je i da je navedena povreda trajala od prihvata ponude za pružanje usluge praćenja jednostavnog stečaja potrošača, odnosno od 14. veljače 2019. do 26. veljače 2021. kada je došlo do prekida poslovne suradnje.

Iz AZOP-a navode i da taj voditelj obrade nije poduzimao odgovarajuće tehničke i organizacijske mjere zaštite kod obrade osobnih podataka, što je također protivno uredbi, a time je došlo i do kršenja sigurnosti osobnih podataka svih ispitanika, njih najmanje 132 652 u trenutku nadzora.

Riječ je o podacima poput imena i prezimena, datumima rođenja, OIB-u, ali i drugih koji su zavedeni u sustavima pohrane agencije za naplatu potraživanja, a koji su financijske prirode te na taj način i prilično osjetljivi.

U postupku nadzora AZOP je utvrdio i da povreda uredbe traje najmanje od 2019. i da još nije otklonjena, a sve uslijed nepoduzimanja odgovarajućih mjera zaštite.

U AZOP-u su o tome zaprimili u prosincu 2022. anonimnu predstavku, u kojoj je navedeno kako je došlo do neovlaštene obrade većeg broja osobnih podataka fizičkih osoba-dužnika od strane agencije za naplatu potraživanja te je priložen i USB stick na kojemu se nalaze osobni podaci u strukturi ime i prezime, datum rođenja te OIB za ukupno 77.317 fizičkih osoba, koje su imale nepodmireno dugovanje prema kreditnim institucijama, a koje je temeljem ugovora o cesiji otkupila agencija za naplatu potraživanja.

Tada je AZOP na temelju službene dužnosti pokrenuo i nadzor u kojemu su utvrđene spomenute povrede uredbe zbog nemarnog postupanja od strane voditelja obrade (agencije za naplatu potraživanja).

“Voditelj obrade najveći stupanj odgovornosti snosi zbog nepoduzimanja tehničkih mjera zaštite, budući da je upravo zbog manjkavosti u takvom sustavu sigurnosti došlo do nesigurne obrade većeg broja osobnih podataka. AZOP je izgubio potpuni nadzor nad kretanjem osobnih podataka njihovih ispitanika te se nije moglo objasniti uzroke neovlaštene eksfiltracije (izvlačenja) osobnih podataka”, kažu iz AZOP-a.

Bilo je, kažu iz AZOP-a, i otegotnih okolnosti u provedenom upravnom postupku zbog manjkavosti kod suradnje, jer na više poslanih dopisa tom voditelju obrade odgovarao je pred zadnje dane postavljenog roka te slao dopise za potrebe produženja roka i pojašnjenja zatraženih okolnosti. To je u određenoj mjeri utjecalo na odugovlačenje postupka, kao i to što na višekratna traženja AZOP-a određene dokumentacije (izlist sistemskih zapisa), voditelj obrade to nije dostavio.

Također, B2 Kapital do današnjeg dana nije obavijestio AZOP da je poduzeo dodatne mjere zaštite koje bi prevenirali buduće rizike od utvrđenih povreda, a nije ni prilagodio politiku privatnosti dostupnu na njihovim mrežnim stranicama.

“Ističemo da je u konkretnom slučaju riječ o mogućoj individualnoj kaznenopravnoj odgovornosti, odnosno počinjenju kaznenog djela, a što je u nadležnosti Ministarstva unutarnjih poslova, koje provodi kriminalističko istraživanje u okviru svojih nadležnosti”, zaključuju iz AZOP-a.