Izrekli kazne teške 528.370 eura
Tome što se u pet godina promijenilo po pitanju jednog od temeljnih prava građana
dataka putem kolačića i informiranost ispitanika o takvoj vrsti obrade osobnih podataka, čiji voditelj obrade ima nastan u Hrvatskoj. Ovisno o težini nepravilnosti i sukladno utvrđenjima voditeljima obrade kod kojih se uoče nepravilnosti, izreći će se odgovarajuća korektivna mjera - od najblažih, preko opomena, pa do izricanja upravnih novčanih kazni.
Kakva je situacija u javnom sektoru, ima li tu povreda i kazni?
Što se tiče javnog sektora dosad nismo imali povrede koje bi se okarakterizirale kao veća ugroza za prava i slobode pojedinaca. Povrede su se većinom odnosile na objavu osobnih podataka ispitanika u prekomjernom opsegu na mrežnim stranicama ili oglasnim pločama, kao što je objava osobnih podataka u natječajnom postupku, objava različitih dokumenata koji sadrži prekomjeran opseg osobnih podataka sukladno posebnom zakonu i slično. U nekim slučajevima, nakon zaprimljenih prijava građana, istraga je utvrdila da se radi o neosnovanim optužbama i tvrdnjama za kršenje odredbi Opće uredbe o zaštiti podataka. Do sada nismo izrekli niti jednu upravnu novčanu kaznu u javnom sektoru, već su izrečene druge korektivne mjere; izdana su upozorenja, službene opomene, naređeno je brisanje osobnih podataka i slično. No, tijelu javne vlasti u smislu Zakona o provedbi Opće uredbe o zaštiti podataka, konkretno tijelima državne uprave i drugim državnim tijelima, jedinicama lokalne i područne (regionalne) samouprave Agencija ne može izreći upravnu novčanu kaznu, što ne znači da oni ne moraju poštivati odredbe Opće uredbe o zaštiti podataka i Zakona o provedbi opće uredbe o zaštiti podataka jer Agencija ima ovlasti izreći druge korektivne mjere.
Koliko su podaci građana danas u digitalno doba sigurni? Što su najveći rizici ?
Treba naglasiti da na sigurnost utječu sami građani koji objavljuju i ostavljaju svoje osobne podatke na raznim mjestima, svjesno ili nesvjesno. Osobni podaci građana su njihova imovina i tako se prema njima moraju odnositi. Građani trebaju biti svjesni gdje su objavili ili ostavili svoje osobne podatke, kome su ih učinili dostupni odnosno za koju svrhu ih daju pri čemu je to posebno važno razumjeti kod društvenih mreža i online objava kada su oni učinjeni dostupni neograničenom broju ljudi. Kokazne izrečeno je lani telekom kompaniji, što je dosad najveća pojedinačna kazna u Hrvatskoj
liko su podaci građana u digitalno doba sigurni, ako govorimo isključivo o odgovornosti voditelja obrade koji ih je prikupio i obrađuje, onda sigurnost ovisi o već primijenjenim odgovarajućim organizacijskim i tehničkim mjerama sigurnosti pri čemu se ne očekuje apsolutna zaštita jer ona ne postoji, već maksimiziranje sigurnosnih mjera, posebice preventivnih, kako bi se rizik od sigurnosnog incidenata sveo na minimum. Svaki sustav koji čuva i štiti osobne podatke građana, jak je koliko je jaka njegova najslabija karika. Naše iskustvo je pokazalo da je u najvećem broju incidenta koje je Agencija obradila ljudski faktor i dalje jedna od najslabijih karika, što dovodi do zaključka da je i dalje nedovoljna educiranost zaposlenika kod voditelja obrade o potencijalnim mogućnostima ugroze osobnih podataka s kojima rade i načina na koji ih mogu što je najbolje moguće štititi.
Svako malo imamo incident s curenjem podataka. Posljednji je onaj kompanije za naplatu potraživanja B2 Kapital kada su navodno iscurili podaci više od 77 tisuća građana. U kojoj je fazi istraga i što ste utvrdili?
Prvenstveno treba pojasniti razliku između pojmova curenje podataka i neovlaštenog pristupa, odnosno hakerskog napada. Curenje podataka se odnosi na situaciju kada je ovlaštena osoba koja ima pristup podacima zlouporabom prava i ovlasti pristupa podatke iznijela izvan sustava i dala na uvid trećim neovlaštenim osobama. Kod neovlaštenog pristupa sustavu, odnosno hakerskog napada, nepoznata osoba je kompromitacijom korisničkog računa voditelja obrade, ostvarila pristup u sustav istog voditelja obrade i neovlašteno izvezla podatke van.
U konkretnom slučaju vezanom uz B2 Kapital, nadzorna postupanja su i dalje u tijeka, stoga ne možemo davati informacije sve do završetka istrage.
Koje će sankcije slijediti ako se utvrde propusti B2 Kapitala te što je s podacima koji su iscurili? Kako se oni čiji su podaci iscurili mogu zaštititi?
Ako se utvrdi odgovornost voditelja obrade, društva B2 Kapital, odnosno kršenje odredbi Opće uredbe o zaštiti prava Agencija će izreći jednu od mjera koje su joj na raspolaganju.
U slučajevima kada osobni podaci poput imena i prezimena, e-mail adrese ili broja telefona završe u rukama nepoznatih osoba, pa i zlonamjernika, osobitu pažnju građani trebaju obratiti na e-mailove i poruke koje će dobivati, jer postoji mogućnost da će napadač pokušati doći i do drugih osobnih podataka, kao što su primjerice podaci s bankovne kartice.
Koliko smo curenja podataka imali u posljednje dvije godine?
U posljednje dvije godine Agencija je u svom postupanju imala dva slučaja neovlaštene objave osobnih podataka odnosno objava video zapisa koji sadrže osobne podatke fizičkih osoba, a učinjene su od strane ovlaštenih osoba za pristup sustavu. U tim slučajevima, koje možemo klasificirati kao curenje podataka, izrečene su upravne novčane kazne voditeljima obrade zbog nepoduzimanja odgovarajućih organizacijskih i tehničkih mjera zaštite.
Također, imali smo dva velika sigurnosna incidenta koji su klasificirani kao neovlašteni pristup osobnim podacima tj. hakerski napad te je nakon provedena istrage Agencija izrekla upravne novčane kazne voditeljima odnosno izvršiteljima obrade zbog nepoduzimanje odgovarajućih organizacijskih i tehničkih mjera zaštite.
U zaštiti osobnih podataka najvažniju ulogu u svim organizacijama imaju službenici za zaštitu podataka, odnosno voditelji obrada. Koliko su u tome uspješni?
Službenik za zaštitu podataka ima važnu ulogu, odgovornu, ali ne i odlučujuću. Oni su ključne osobe u sustavu zaštite osobnih podataka, stoga smo i ovogodišnju konferenciju povodom Europskog dana zaštite osobnih podataka posvetili upravo njima. Prema našem iskustvu, voditelji obrade imaju imenovane službenike za zaštitu podataka koji ne samo da su maksimalno stručni u poslu koji obavljaju, već i imaju utjecaja na donošenje odluka važnih za sigurnost obrade osobnih podataka. S druge strane, imate službenike za zaštitu podataka koji su imenovani formalno i ne samo da ne razumiju problematiku zakonitosti obrade osobnih podataka, već nemaju niti utjecaja u donošenju važnih odluka vezano uz obradu osobnih podataka. ❖
milijuna kuna
‘Masni’ penali
Zbog kršenja prava na pristup podacima upravne novčane kazne mogu iznositi čak do 20 milijuna eura