Agencija za zaštitu osobnih podataka izrekla je upravnu novčanu kaznu voditelju obrade – agenciji za naplatu potraživanja B2 Kapital d.o.o. u iznosu od 2.265.000,00 eura (17.065.642,50 kuna) zbog sljedeće utvrđenih povreda Opće uredbe o zaštiti podataka:
- Voditelj obrade nije na jasan i točan način informirao svoje ispitanike o obradi njihovih osobnih podataka putem obavijesti o obradi osobnih podataka (politike privatnosti), a u pogledu pravne osnove kod povrata preplaćenih sredstava, što je protivno odredbi članka 13. stavka 1. Opće uredbe o zaštiti podataka. Time je došlo do netransparentne obrade osobnih podataka ispitanika (odnosno pogrešnog informiranja u pogledu pravne osnove obrade iz članka 6. stavka 1. Opće uredbe o zaštiti podataka) kojih je u trenutku provođenja nadzora bilo (najmanje) 132 652, a politika privatnosti ostala je nepromijenjena te povreda još nije otklonjena, odnosno traje od 25. svibnja 2018. do danas.
2. Protivno odredbi članka 28. stavka 3. Opće uredbe o zaštiti podataka, voditelj obrade nije sklopio ugovor o obradi osobnih podataka s izvršiteljem obrade za uslugu praćenja jednostavnog stečaja potrošača te je time ugrožena sigurnost osobnih podataka 83 896 ispitanika (OIB), budući da je sklapanje ugovora s izvršiteljem obrade jedna od svojevrsnih sigurnosnih poluga koja osigurava da su jasno ugovorena pravila obrade osobnih podataka, njihov tijek u poslovnom odnosu između voditelja i izvršitelja obrade te kako bi se voditelj obrade osigurao da izvršitelj obrade zadovoljava tehničke i organizacijske mjere zaštite kod obrade osobnih podataka velikog broja ispitanika. Utvrđeno je kako je navedena povreda trajala od prihvata ponude za pružanje usluge praćenja jednostavnog stečaja potrošača, odnosno od 14. veljače 2019. do 26. veljače 2021. kada je došlo do prekida poslovne suradnje.
3. Voditelj obrade nije poduzimao odgovarajuće tehničke i organizacijske mjere zaštite kod obrade osobnih podataka, što je protivno članku 32. stavku 1. točke b) i d) i stavku 2. Opće uredbe o zaštiti podataka. Nepoduzimanjem odgovarajućih mjera došlo je do kršenja sigurnosti osobnih podataka svih ispitanika (najmanje 132 652 u trenutku nadzora), odnosno njihovih osnovnih identifikacijskih podataka (najmanje u strukturi: ime i prezime, datum rođenja i OIB) te posljedično i svih osobnih podataka koji su zavedeni u sustavima pohrane agencije za naplatu potraživanja, a koji su financijske prirode te su na taj način prilično osjetljivi. U postupku je utvrđeno kako povreda traje najmanje od 2019. godine te još nije otklonjena, a sve uslijed nepoduzimanja odgovarajućih mjera zaštite.
Naime, Agencija za zaštitu osobnih podataka je u prosincu 2022. godine zaprimila anonimnu predstavku u kojoj je navedeno kako je došlo do neovlaštene obrade većeg broja osobnih podataka fizičkih osoba – dužnika od strane agencije za naplatu potraživanja te je priložen USB stick na kojemu se nalaze osobni podaci u strukturi ime i prezime, datum rođenja te OIB za ukupno 77.317 fizičkih osoba, a koji su imali nepodmireno dugovanje prema kreditnim institucijama, a koje je temeljem ugovora o cesiji otkupila agencija za naplatu potraživanja.
Temeljem službene dužnosti Agencija je pokrenula nadzorno postupanje u prosincu 2022. te provela postupak u kojemu su utvrđene tri prethodno opisane povrede zbog nemarnog postupanja od strane voditelja obrade (agencije za naplatu potraživanja). Voditelj obrade najveći stupanj odgovornosti snosi zbog nepoduzimanja tehničkih mjera zaštite, budući da je upravo zbog manjkavosti u takvom sustavu sigurnosti došlo do nesigurne obrade većeg broja osobnih podataka. Agencija za naplatu potraživanja je izgubila potpuni nadzor nad kretanjem osobnih podataka njihovih ispitanika te nije mogla objasniti uzroke neovlaštene eksfiltracije (izvlačenja) osobnih podataka.
Isto tako, kao otegotna okolnost u provedenom upravnom postupku utvrđene su određene manjkavosti kod suradnje. Naime, nakon više dopisa poslanih od strane Agencije u svrhu traženja dodatnog očitovanja ili dokumentacije od strane voditelja obrade, na iste je odgovarao pred zadnje dane postavljenog roka te slao dopise za potrebe produženja roka i pojašnjenja zatraženih okolnosti, iako je isto mogao zatražiti i prije, a što je u određenoj mjeri utjecalo na odugovlačenje postupka. Također, na višekratna traženja Agencije za zaštitu osobnih podataka određene dokumentacije (izlista sistemskih zapisa), voditelj obrade iste nije dostavio.
Također, kao dodatna otegotna okolnost uzeta je u obzir i činjenica kako voditelj obrade do današnjeg dana nije obavijestio Agenciju da je poduzeo dodatne mjere zaštite koje bi prevenirale buduće rizike od utvrđenih povreda te kako do danas nije prilagodio politiku privatnosti dostupnu na njihovim mrežnim stranicama.
Zaključno navodimo kako je u konkretnom slučaju riječ o kršenju više odredbi Opće uredbe o zaštiti podataka i to od strane jedne od vodećih kompanija u području naplate potraživanja, a koja si nije smjela dopustiti da obrađuje osobne podatke velikog broja ispitanika na netransparentan i nesiguran način. Također, voditelj obrade vjerojatno ne bi nikada ni uočio eksfiltraciju osobnih podataka velikog broja ispitanika, najmanje za njih 77 317 iz njihovog sustava da Agencija za zaštitu osobnih podataka nije zaprimila anonimnu prijavu te provela nadzorne aktivnosti. Do današnjeg dana, voditelj obrade nije razjasnio sve okolnosti nastale povrede, odnosno iznošenja određenog opsega osobnih podataka izvan njihovog sustava pohrane, a što dodatno govori o neodgovarajućim mjerama zaštite od strane voditelja obrade.
Također ističemo kako je u konkretnom slučaju riječ o mogućoj individualnoj kaznenopravnoj odgovornosti, odnosno počinjenju kaznenog djela, a što je u nadležnosti Ministarstva unutarnjih poslova, koje provodi kriminalističko istraživanje u okviru svojih nadležnosti.
