Ne navodeći o kojem se pružatelju telekomunikacijskih usluga radi, iz AZOP-a ističu da je određena zbog nepoduzimanja odgovarajućih tehničkih i organizacijskih mjera sigurnosti obrade osobnih podataka, što je dovelo do neovlaštene obrade osobnih podataka oko 100 tisuća ispitanika, odnosno neovlaštenog pristupa osobnim podacima od strane napadača.
Voditelj obrade nije poduzeo potrebne mjere za postizanje odgovarajuće mjere sigurnosti sukladno postojećim predvidivim rizicima, što je protivno Općoj odredbi o zaštiti podataka, kažu iz AZOP-a, dodajući da su za povredu odredbe saznali od voditelja obrade putem izvješća o povredi osobnih podataka, a voditelj obrade izvijestio je i korisnike usluga o tom incidentu.
Utvrdili su i da taj voditelj provodi određene organizacijske i tehničke mjere pri obradi osobnih podataka, ali u ovom slučaju nisu bile dovoljne, a voditelj obrade učinio je višestruke propuste prilikom dizajniranja sustava obrade, za što su predviđene upravne novčane kazne i do 10 milijuna eura, odnosno u slučaju poduzetnika do 2 posto ukupnog godišnjeg prometa na svjetskoj razini za prethodnu financijsku godinu, ovisi što je veće.
Kao otegotnu okolnost AZOP navodi i da je voditelj obrade jedno od vodećih društava pružatelja telekomunikacijskih usluga u RH te je bilo za očekivati da će zbog velikog opsega osobnih podataka koje obrađuje primijeniti složenije organizacijske i tehničke mjere zaštite.
Iako AZOP nije spominjao ime teleoperatera, iz podataka koje su objavili bilo je moguće iščitati da se radi o A1 Hrvatska koji se našao na udaru hakera u veljači ove godine.
Nakon AZOP-ove oduke, oglasili su se i iz A1 Hrvatska. Njihov komentar odluke, za koji smo ih zamolili, prenosimo u cijelosti.
A1 Hrvatska će naravno poštivati svaku pravomoćnu odluku regulatornog tijela, no kaznu koja nam je određena smatramo potpuno neprikladnom i nerazmjernom te ćemo podnijeti žalbu Upravnom sudu Republike Hrvatske.
U A1 Hrvatska primjenjujemo napredne sigurnosne mjere zaštite informacijskih sustava koje se kontinuirano revidiraju i unaprjeđuju sukladno najboljim praksama. U slučaju radi kojega nam je određena višemilijunska kazna reagirali smo odmah po otkrivanju prvih znakova sumnje na nedopušten pristup podacima, trenutačno i bez odlaganja, te poduzeli sve korake kako bismo zaštitili naše korisnike. Nakon što je sa sigurnošću utvrđen incident, nadležna tijela su informirana u najkraćem mogućem roku, a navedeni incident nije imao nikakav utjecaj na rad usluga koje A1 pruža krajnjim korisnicima.
S obzirom na promptnu reakciju i tehničko-organizacijske mjere koje su bile implementirane, kao i činjenicu da do incidenta nije došlo zbog manjkavosti sigurnosnog sustava već isključivo uslijed ljudskog faktora, odnosno manipulacijom ranjivosti pojedinca s ciljem pristupa podacima, u A1 Hrvatska držimo da se ne može govoriti o propustima na strani kompanije. Riječ je pritom bila isključivo o setu osnovnih osobnih podataka koji su dostupni i kroz neke javne izvore te se njima ne može naštetiti korisnicima. Informacije o bankovnim karticama i računima niti u jednom trenutku nisu bile kompromitirane. Apsolutna zaštita nažalost ne postoji, zbog čega su kompromitacije informacijskih sustava gotovo svakodnevne i nema značajnije kompanije ili institucije koja se nije s njima suočila. U posljednje su vrijeme štetu od socijalnog inženjeringa pretrpjeli i neki globalni ICT divovi poput Microsofta i Samsunga.
Kao dio globalne ICT zajednice, u A1 Hrvatska primjenjujemo i neprestano unaprjeđujemo vlastite sigurnosne protokole usklađujući ih s najvišim svjetskim standardima i to ćemo nastaviti činiti i dalje, stoji u odgovoru koji su poslali na naš upit.
Problematičan videonadzor
Druga kazna je znatno manjeg novčanog iznosa, od 30 tisuća kuna, a izrečena je zbog neoznačavanja objekta pod videonadzorom, što je AZOP utvrdio izravnim nenajavljenim nadzorom.
Utvrđeno je da voditelj obrade - prodajno-servisni centar automobila sa sjedištem u Zagrebu nije označio da su pojedine prostorije, kao i vanjske površine objekta pod videonadzorom, što je protivno Općoj uredbi o zaštiti podataka.
Iz AZOP-a još dodaju da se obje kazne uplaćuju u korist državnog proračuna.
Ranije izrečene upravne novčane kazne ove godine, početkom ožujka, u ukupnom iznosu od 1,6 milijuna kuna odnosile su se na kaznu od 940 tisuća kuna društvu iz društvu iz energetskog sektora, dok je 675 tisuća kuna kazne određeno trgovačkom lancu.
Ni tada, kao ni danas, iz AZOP-a nisu naveli nazive društava koji su dobili kaznu, tumačeći to provedbom Zakona o provedbi Opće uredbe o zaštiti podataka.
