Agencija za zaštitu osobnih podataka (AZOP) izrekla je osam novih upravnih novčanih kazni u ukupnom iznosu od 350.500 eura, a najteže su prošli Hrvatski ured za osiguranje (HUO) i jedna sportska kladionica.
HUO je kažnjen s 101.000 eura zbog sigurnosnog propusta koji je doveo do “curenja” osobnih podataka više od milijun vlasnika vozila. Prema nalazima Agencije, na USB sticku se nalazila cijela struktura baze s imenima, adresama, OIB-om, JMBG-om, podacima o vozilu, policama osiguranja i bonusima, prenose agencije.
Agencija je utvrdila da HUO nije poduzeo adekvatne sigurnosne mjere niti je imao jasno propisane rokove čuvanja podataka, što je protivno pravilima EU uredbe o zaštiti osobnih podataka (GDPR). Policija također istražuje slučaj.
Podsjetimo, riječ je o dosad najvećem curenju osobnih podataka u Hrvatskoj. Početkom svibnja 2024., u javnost su počele izlaziti informacije o tome da su podaci više od milijun vlasnika vozila u Hrvatskoj dospjeli u ruke neovlaštenih osoba. Riječ je o vrlo osjetljivim informacijama iz Evidencije registriranih vozila, uključujući ime i prezime, adresu, OIB, JMBG, podatke o vozilu (registarske oznake, broj šasije) i informacije o policama osiguranja, bonusima i malusima.
Kako je Index pisao, iz sadržaja koji je stigao do medija vidjelo se da se baza podataka gotovo u potpunosti poklapa s podacima koje vodi Hrvatski ured za osiguranje (HUO). Ti su se podaci inače koristili u okviru Informacijskog centra HUO-a, koji vodi evidenciju o svim vozilima, prometnim nesrećama i policama osiguranja u Hrvatskoj.
Zbog sumnje da je došlo do curenja iz tog sustava, Agencija za zaštitu osobnih podataka (AZOP) pokrenula je nadzor nad više institucija: osim HUO-a, obuhvaćeni su i Centar za vozila Hrvatske te Ministarstvo unutarnjih poslova. AZOP se o svemu oglasio tek nakon dva mjeseca, zaključivši da HUO nije poduzeo odgovarajuće tehničke i organizacijske mjere zaštite, zbog čega su osobni podaci postali lako dostupni neovlaštenim osobama.
Još veću kaznu, od 175.000 eura, dobila je jedna sportska kladionica zbog niza propusta u postupanju s osobnim podacima svojih korisnika.
Kladionica je od korisnika tražila da šalju kopiju osobne iskaznice e-mailom, bez ikakvog sigurnog kanala. Utvrđeno je da su neki zaposlenici koristili lozinke od svega tri znaka, a s tih računala se moglo pristupiti e-mail adresama s osobnim podacima i preslikama iskaznica više od 70.000 korisnika.
Dodatno, podaci se nisu brisali nakon isteka roka čuvanja, sustav se nije redovno backupirao jer je “previše koštalo”, a platforma se održavala preko nesigurne HTTP veze.
Agencija je izrekla još šest kazni u rasponu od 2.500 do 35.000 eura raznim voditeljima obrade koji su kršili GDPR.
