Agencija za zaštitu osobnih podataka (AZOP) izvijestila je u srijedu da je izrekla osam novih upravnih novčanih kazni u ukupnom iznosu od 350.500 eura zbog kršenja zakonskih odredbi o zaštiti osobnih podataka.

Pritom je Hrvatskom uredu za osiguranje (HUO) izrečena kazna u iznosu od 101.000 eura.

Procurili podaci o registracijama vozila

Naime, iz AZOP-a objašnjavaju kako je nakon anonimne prijave došlo do “curenja“ osobnih podataka više od milijun vlasnika vozila iz Evidencije registriranih vozila na području Hrvatske. AZOP je, navodi se u priopćenju, proveo nadzorna postupanja kod više voditelja obrade osobnih podataka – HUO-a, Centra za vozila Hrvatske, Ministarstva unutarnjih poslova, kao i drugih pravnih subjekata koji su se povezivali s incidentom.

Utvrđeno je da se struktura podataka koja je dostavljena Agenciji na USB sticku – podaci o vlasniku vozila (ime i prezime, datum rođenja, OIB, JMBG, adresa prebivališta), podaci o vozilu (vrsta vozila, registarske oznake, broj šasije) i podaci o osiguranju (naziv osiguranja, broj police i datum važenja) i podaci o umanjenju osiguranja (bonusi/malusi), podudara s bazom HUO-a te da je taj ured voditelj obrade osobnih podataka, navodi se u priopćenju Agencije.

Agencija je utvrdila kako HUO kao voditelj obrade nije poduzeo odgovarajuće organizacijske i tehničke mjere zaštite osobnih podataka ispitanika, te da je uslijed nepoduzimanja odgovarajućih mjera zaštite ugrožena sigurnost sigurnosnog sustava s osobnim podacima ispitanika, a što je omogućilo lakšu dostupnost osobnih podataka ispitanika neovlaštenim osobama.

Sportska kladionica tražila dostavu e-mailom preslika osobne iskaznice

Nadalje, jednoj je sportskoj kladionici, zbog nepoduzimanja tehničkih mjera zaštite osobnih podataka te nepropisnog čuvanja osobnih podataka korisnika, izrečena kazna u iznosu od 175.000 eura.

Agencija je, pojašnjeno je, zaprimila prijavu kako sportska kladionica za verifikaciju računa korisnika na internet stranici traži da korisnici putem e-maila pošalju kopiju osobne iskaznice, čime ne omogućava siguran način slanja dokumenata za verifikaciju, zbog čega je Agencija pokrenula postupak po službenoj dužnosti zbog visokog rizika za prava i slobode ispitanika (igrača, korisnika usluge).

Utvrđeno je da je voditelj obrade obrađivao osobne podatke svojih korisnika s osobne iskaznice, a da nije poduzeo odgovarajuće tehničke mjere zaštite s obzirom na rizike.

Između ostalog, pojedini zaposlenici voditelja obrade koriste lozinke koje nisu dovoljno snažne, odnosno lozinke koje imaju svega tri znaka, što nije dovoljna mjera zaštite, obzirom da se s računala određenih zaposlenika može pristupiti e-mail adresi koja sadrži e-mailove s osobnim podacima i preslikama osobnih iskaznicama velikog broja korisnika. Također je utvrđeno da se djelatnici u administratorski dio programa platforme za klađenje spajaju nesigurnom HTTP vezom.

Isto tako, voditelj obrade, uz ostalo, nije osigurao brisanje osobnih podataka ispitanika nakon proteka roka u kojem se isti moraju čuvati, a utvrđeno je i da svjesno ne radi sigurnosnu kopiju podataka pozivajući se na previsoki trošak u uspostavi takve sigurnosne mjere zaštite osobnih podataka.

Agencija je izrekla još šest upravnih novčanih kazni voditeljima obrade zbog kršenja opće uredbe o zaštiti podataka i Zakona o provedbi opće uredbe o zaštiti podataka i to u iznosima od 2500 do 35.000 eura.

OPĆE PRANJE RUKU Iz HUO-a tvrde da podaci o vlasnicima vozila nisu iscurili od njih i upiru u druga tijela