Agencija za zaštitu osobnih podataka (AZOP) odredila je dvije novčane kazne ukupnog iznosa od 2,18 milijuna kuna zbog propusta u zaštiti osobnih podataka, a većina tog iznosa ili 2,15 milijuna kuna odnosi se na kaznu "voditelju obrade-pružatelju telekomunikacijskih usluga", doznaje se iz AZOP-a.
Ne navodeći o kojem se pružatelju telekomunikacijskih usluga radi, iz AZOP-a ističu da je određena zbog nepoduzimanja odgovarajućih tehničkih i organizacijskih mjera sigurnosti obrade osobnih podataka, što je dovelo do neovlaštene obrade osobnih podataka oko 100 tisuća ispitanika, odnosno neovlaštenog pristupa osobnim podacima od strane napadača.
"Voditelj obrade nije poduzeo potrebne mjere za postizanje odgovarajuće mjere sigurnosti sukladno postojećim predvidivim rizicima, što je protivno Općoj odredbi o zaštiti podataka", kažu iz AZOP-a, dodajući da su za povredu odredbe saznali od voditelja obrade putem izvješća o povredi osobnih podataka, a voditelj obrade izvijestio je i korisnike usluga o tom incidentu.
Utvrdili su i da taj voditelj provodi određene organizacijske i tehničke mjere pri obradi osobnih podataka, ali u ovom slučaju nisu bile dovoljne, a voditelj obrade učinio je višestruke propuste prilikom dizajniranja sustava obrade, za što su predviđene upravne novčane kazne i do 10 milijuna eura, odnosno u slučaju poduzetnika do 2 posto ukupnog godišnjeg prometa na svjetskoj razini za prethodnu financijsku godinu, ovisi što je veće.
Kao otegotnu okolnost AZOP navodi i da je "voditelj obrade jedno od vodećih društava pružatelja telekomunikacijskih usluga u RH te je bilo za očekivati da će zbog velikog opsega osobnih podataka koje obrađuje primijeniti složenije organizacijske i tehničke mjere zaštite.
Druga kazna je znatno manjeg novčanog iznosa, od 30 tisuća kuna, a izrečena je zbog neoznačavanja objekta pod videonadzorom, što je AZOP utvrdio izravnim nenajavljenim nadzorom.
Utvrđeno je da voditelj obrade - prodajno-servisni centar automobila sa sjedištem u Zagrebu nije označio da su pojedine prostorije, kao i vanjske površine objekta pod videonadzorom, što je protivno Općoj uredbi o zaštiti podataka.
Iz AZOP-a još dodaju da se obje kazne uplaćuju u korist državnog proračuna.
Ranije izrečene upravne novčane kazne ove godine, početkom ožujka, u ukupnom iznosu od 1,6 milijuna kuna odnosile su se na kaznu od 940 tisuća kuna društvu iz društvu iz energetskog sektora, dok je 675 tisuća kuna kazne određeno trgovačkom lancu.
Ni tada, kao ni danas, iz AZOP-a nisu naveli nazive društava koji su dobili kaznu, tumačeći to provedbom Zakona o provedbi Opće uredbe o zaštiti podataka.
'Apsolutna zaštita ne postoji'
Večernji list dobio je reakciju od A1, kažnjenog teleoperatera. Odgovor prenosimo u cijelosti:
''A1 Hrvatska će naravno poštivati svaku pravomoćnu odluku regulatornog tijela, no kaznu koja nam je određena smatramo potpuno neprikladnom i nerazmjernom te ćemo podnijeti žalbu Upravnom sudu Republike Hrvatske.
U A1 Hrvatska primjenjujemo napredne sigurnosne mjere zaštite informacijskih sustava koje se kontinuirano revidiraju i unaprjeđuju sukladno najboljim praksama. U slučaju radi kojega nam je određena višemilijunska kazna reagirali smo odmah po otkrivanju prvih znakova sumnje na nedopušten pristup podacima, trenutačno i bez odlaganja, te poduzeli sve korake kako bismo zaštitili naše korisnike. Nakon što je sa sigurnošću utvrđen incident, nadležna tijela su informirana u najkraćem mogućem roku, a navedeni incident nije imao nikakav utjecaj na rad usluga koje A1 pruža krajnjim korisnicima.
S obzirom na promptnu reakciju i tehničko-organizacijske mjere koje su bile implementirane, kao i činjenicu da do incidenta nije došlo zbog manjkavosti sigurnosnog sustava već isključivo uslijed ljudskog faktora, odnosno manipulacijom ranjivosti pojedinca s ciljem pristupa podacima, u A1 Hrvatska držimo da se ne može govoriti o propustima na strani kompanije. Riječ je pritom bila isključivo o setu osnovnih osobnih podataka koji su dostupni i kroz neke javne izvore te se njima ne može naštetiti korisnicima. Informacije o bankovnim karticama i računima niti u jednom trenutku nisu bile kompromitirane. Apsolutna zaštita nažalost ne postoji, zbog čega su kompromitacije informacijskih sustava gotovo svakodnevne i nema značajnije kompanije ili institucije koja se nije s njima suočila. U posljednje su vrijeme štetu od socijalnog inženjeringa pretrpjeli i neki globalni ICT divovi poput Microsofta i Samsunga.
Kao dio globalne ICT zajednice, u A1 Hrvatska primjenjujemo i neprestano unaprjeđujemo vlastite sigurnosne protokole usklađujući ih s najvišim svjetskim standardima i to ćemo nastaviti činiti i dalje.''