Za najveći informacijsko-sigurnosni incident ikad, u kojem su “iscurili” podaci o ukupno 1,195.052 građana – vlasnika svih vozila registriranih u Hrvatskoj, Agencija za zaštitu osobnih podataka izrekla je nakon više od godinu dana istrage kaznu Hrvatskom uredu za osiguranje! HUO mora platiti 101.000 eura, no kazna mu je, prema načinu na koji je rješenje sročio AZOP, izrečena nakon što su utvrdili da se kompromitirana baza podataka poklapa s njihovom te zato što nisu poduzeli odgovarajuće organizacijske i tehničke mjere zaštite osobnih podataka ispitanika. Zapravo ni u jednoj rečenici nije izrijekom navedeno da je AZOP utvrdio kako su baze podataka o vlasnicima svih vozila, među kojima su i štićene osobe i dužnosnici, iscurile upravo iz HUO-a! Nakon istrage koja je trajala mjesecima brojna pitanja ostaju neodgovorena.
Ugrožena sigurnost sustava
Aferu je otkrio Večernji list, a uslijedila je nakon anonimne prijave u kojoj su nam neupitni dokazi dostavljeni na USB sticku koji smo dostavili i AZOP-u. Podsjećamo, posrijedi su bili masivni podaci o vlasnicima svih registriranih vozila: imena i prezimena, datumi rođenja, OIB-i, JMBG-ovi, adrese prebivališta, podaci o vozilu (vrsta vozila, registarske oznake, broj šasije), podaci o osiguranju (naziv osiguranja, broj police i datum važenja) te o umanjenju osiguranja (bonusi/malusi). Također, u posjedu smo i dokaza prema kojima sumnja u kaznena djela ide u posve drugom smjeru, koje smo također proslijedili AZOP-u, MUP-u, SOA-i te DORH-u i Županijskom državnom odvjetništvu.
AZOP je, pak, zaključio da baza “pripada” HUO-u te obrazložio vrstu i visinu kazne: “S obzirom na to da je HUO pravna osoba s javnim ovlastima, u primjeni je članak 44. Zakona o provedbi Opće uredbe o zaštiti podataka koji propisuje ako se upravna novčana kazna izriče protiv pravne osobe s javnim ovlastima ili protiv pravne osobe koja obavlja javnu službu, izrečena upravna novčana kazna ne smije ugroziti obavljanje takve javne ovlasti ili javne službe, stoga je izrečena kazna u iznosu od 101.000 eura”. Iz toga se može zaključiti da bi kazna bila i veća s obzirom na težinu prekršaja, no da je izrečena, ugrozila bi im funkcioniranje. HUO je, pak, prije godinu dana, kad su prvi put nadležni uprli prst u njega, odbacio odgovornost i poručio da oni nisu krivi te da podatke kojima oni raspolažu imaju i druga tijela. Agencija je, međutim, utvrdila kako HUO kao voditelj obrade nije poduzeo odgovarajuće organizacijske i tehničke mjere zaštite osobnih podataka ispitanika, što je protivno odredbi članka 32. stavka 2. te stavku 4. Opće uredbe o zaštiti podataka.
– Uslijed nepoduzimanja odgovarajućih mjera zaštite, ugrožena je sigurnost sigurnosnog sustava s osobnim podacima ispitanika, što je omogućilo lakšu dostupnost osobnih podataka ispitanika neovlaštenim osobama. Također, utvrđeno je da HUO nije zasebno propisao maksimalne rokove čuvanja osobnih podataka ispitanika sadržanih u Registru podataka Informacijskog centra, a što je protivno odredbi članka 5. stavka 1. točki Opće uredbe o zaštiti podataka. Navedena kršenja posljedično su pridonijela mogućnosti iznošenja osobnih podataka iz baze HUO-a, a okolnosti tog događaja istražuje i Ministarstvo unutarnjih poslova – neodređeno je naveo regulator praktički prozvavši HUO samo za birokratsku nemarnost.
Otkrili su i da su proveli nadzorna postupanja kod više voditelja obrade osobnih podataka – osim u HUO-u, i u Centru za vozila Hrvatske, MUP-u, kao i drugim pravnim subjektima koji su se povezivali s incidentom.
Objavu kazne AZOP je “upakirao” u osam drugih izrečenih kazni drugim subjektima ukupne visine 350.500 eura, čija se težina prekršaja nikako ne može staviti u kontekst važnosti ovog incidenta koji je u Hrvatskoj bez presedana. Od HUO-a smo zatražili komentar, no oni tvrde da rješenje ne mogu komentirati jer ga još nisu dobili, iako regulator tvrdi da im je uručeno. Također, s obzirom na to da je podudaranje strukture podataka koji su iscurili s onima nad kojima se skrbi HUO AZOP utvrdio u roku od pet tjedana, postavlja se pitanje zašto je do donošenja rješenja i izricanja kazne prošlo još godinu dana. Također, iako su iz MUP-a potvrdili da provode kriminalističko istraživanje, dosad nisu izašli ni sa kakvim nalazom.
Crno tržište baza
Premda je AZOP u trenutku izbijanja afere poručio kako po tada raspoloživim informacijama osobni podaci nisu dostupni široj javnosti, već su dostavljeni nadležnim tijelima koja provode postupanja iz svoje nadležnosti, činjenica da su dostavljeni u poštanski sandučić autorice teksta koja po definiciji predstavlja “javnost” govori o fragilnosti te pretpostavke. Također, podacima su, logično, raspolagali i oni koji su ih na crnom tržištu kupili u komercijalne svrhe, kako se navodi u prijavi, kako bi kontaktirali osiguranike kojima su pred istekom police obveznog autoosiguranja i pokušali ih navesti da s njima sklope ugovore. Anonimna je prijava, podsjećamo, teretila i bivšeg zaposlenika Generali osiguranja Sandra Majcena, s optužbom da su sigurnosne kopije baza podataka kopirane iz sustava pohrane tvrdog diska njegova prijenosnog računala. Nakon dobivenih prijava kontaktirali smo i Hanfu kao regulatora osiguranja te su nam odgovorili da su dokumente o slučaju proslijedili nadležnim tijelima i institucijama, dok je Majcen odgovorio da nije kontaktiran ni od strane Hanfe, niti od MUP-a, kao ni ostalih nadležnih institucija. Nije nikakva tajna da se zaposlenici osiguranja godinama služe sličnim bazama, a to je jasno svima kojima su upućeni telefonski pozivi tempirani netom prije isteka polica. Nemoguće je da za takve prakse ne zna menadžment osiguravajućih društava, posebno onih koji se bore za veći tržišni udio. A porazno da ih ignorira i Hanfa.