Dan nakon što je AZOP izrekao kaznu od 101.000 eura HUO-u u dosad najvećem slučaju curenja osobnih podataka, Večernjem listu dostavljeni su dokazi da je kompromitirana istovrsna baza, samo s podacima iz 2006., kada HUO nije imao ovlasti za čuvanje baze // AZOP: MUP provodi kriminalističko istraživanje kako bi se ustanovilo tko je neovlašteno iznio podatke i dostavio ih trećim osobama
Na dan kad je Agencija za zaštitu osobnih podataka objavila rješenje o upravnoj novčanoj kazni Hrvatskom uredu za osiguranje za “curenje” baze podataka o vlasnicima svih registriranih vozila u Hrvatskoj iz 2021., dostavljeni su nam dokazi da je kompromitirana istovrsna baza, samo s podacima iz 2006. Postoji “kvaka 22” - tada podatke nije čuvao HUO! On je ovlaštenje za to dobio tek 1. siječnja 2007.
”Tim se podacima trguje”
Otkud “curi” i tko je kriv za one situacije kad vam, netom prije isteka registracije, zazvoni mobitel koji nije u javnom adresaru, a zastupnik u osiguranju ponudi ugovaranje nove police. No to nije zastupnik društva u kojem imate obvezno autoosiguranje, nego posve drugi osiguravatelj, s kojim nikad niste imali nikakav pravni posao. Otkud mu vaši podaci? I kako zna da se bliži istek police?
– Svi znaju da se tim podacima trguje, oduvijek. I da su meta onih koji se bore za tržište autoosiguranja. Najveći ne smiju više rasti, zbog zaštite tržišnog natjecanja, a uglavnom imaju i stanice za tehnički pregled iz kojih mogu vući svoje baze. No svi drugi to kupuju – otvoreno govore ljudi iz osiguravateljne branše.
Ipak, postoji problem. GDPR. Njegovo je kršenje zakonom kažnjivo, s razlogom. Štite se osobni podaci, odnosno, u ovom slučaju – ne štite. Kako je takav modus operandi postao normalan? AZOP, MUP, Hanfa… svi spavaju? Za ovu vrstu zlouporabe osobnih podataka i baza do naše prijave AZOP-u i njegova rješenja – nikad nitko nije odgovarao!
No čini se da je nekome jako stalo da se takvu kriminalu stane na kraj. S poetskom preciznošću, na dan objave AZOP-ova rješenja, prema kojem kaznu izriču HUO-u jer se kompromitirana baza podataka poklapa s njihovom i zato što nisu poduzeli organizacijske i tehničke mjere zaštite osobnih podataka, dostavljena mi je anonimno nova baza podataka. Prema njezinu sadržaju, s jasnom intencijom da se dokaže da ona nema veze s HUO-om. Na sticku koji sam otvorila učitana je baza od 1.542.491 zapisa iz Evidencije o registriranim vozilima. U njoj su: brojevi šasija, registracije, JMBG-ovi i matični brojevi vlasnika vozila, imena i prezimena, adrese prebivališta, marke i tipovi vozila, datumi registracije, matični brojevi društava osiguravatelja, brojevi polica obveznog osiguranja, datumi početka polica obveznog osiguranja i njihova isteka, godine proizvodnje, zapremine i snaga motora te masa vozila.
Uvidom u datume početka i isteka polica moguće je utvrditi da su posrijedi vozila koja su osiguravana u razdoblju od 2006. do 2007. Ta je baza sad postala dokazni materijal za institucije, ponajprije za AZOP koji je, više od godinu dana nakon što smo mu ustupili prvi USB stick koji nam je dostavljen uz anonimnu kaznenu prijavu, taman donio rješenje. A sad ga ponovo čeka “isti” posao.
Budući da baza podataka u čijem smo posjedu datira iz razdoblja od 2006. do 2007., ona nije mogla potjecati iz Informacijskog centra HUO-a koji je započeo s radom tek 1. siječnja 2007. S obzirom na činjenicu da se police autoosiguranja ugovaraju u trajanju od jedne godine - prikupljanje i obrada podataka za potrebe poduzimanja radnji u nadležnosti HUO-a ne bi bila svrsishodna. U skladu s tadašnjom regulativom metodom eliminacije
Dan nakon što je AZOP izrekao kaznu od 101.000 eura HUO-u u slučaju najvećeg curenja osobnih podataka ikad, dostavljena nam je nova baza kompromitiranih podataka
jedino moguće mjesto curenja podataka bila bi Evidencija o registriranim vozilima pri Centru za vozila Hrvatske. CVH je, naime, Ugovorom o načinu i uvjetima obnašanja javne ovlasti organiziranja i jedinstvenog provođenja tehničkih pregleda, organiziranja poslova registracije vozila u stanicama za tehnički pregled i izdavanje pokusnih pločica 18. prosinca 1998. preuzeo sve ingerencije tehničkih pregleda vozila pa tako i vođenje evidencije o registriranim vozilima. HUO se još nije izjasnio o AZOP-ovoj kazni, no tijekom naše istrage potvrdili su da nisu obrađivali podatke prije 1. siječnja 2007. AZOP-u smo odmah poslali informaciju o svim činjenicama kojima raspolažemo te ih pitali može li se, u tom kontekstu, njihovo rješenje smatrati nepotpunim budući da nisu utvrđene sve činjenice i postoje dokazi da bi “curenje” moglo poticati iz druge pravne osobe koja je obrađivala podatke prije 2007. - iz CVH. S obzirom na to da se to pitanje postavljalo i početkom istrage, pitali smo ih i je li bilo institucionalnih ili izvaninstitucionalnih pritisaka tijekom provođenja nadzora, te, s obzirom na činjenicu da je CVH privatno trgovačko društvo s javnim ovlastima, a HUO pravna osoba za koju je upis propisan zakonom, je li postojala politička odluka da se rješenjem utvrdi da je HUO mjesto “curenja” podataka, kako bi se izbjeglo plaćanje višemilijunske administrativne kazne koja bi eventualno bila određena CVH, ako bi se utvrdilo da su podaci iscurili iz njihove baze. Ovako, HUO je platio simboličnu kaznu u odnosu na težinu prijestupa i sve ide dalje redovno - “business as usual”. Jer HUO se, naime, s obzirom na pravnoustrojbeni oblik i odnosu na odredbe GDPR-a, ne može kazniti materijalnom administrativnom kaznom. Pitali smo AZOP i kane li pokrenuti novi postupak nadzora nad CVH od kojeg smo također tražili očitovanje.
Podaci se poklapaju s HUO-vim
Regulator je odgovorio da je nadzor nedvojbeno utvrdio da su datoteke koje su dostavljene na USB sticku sačinjene unutar poslovnih postupaka HUO-a.
– Datoteke sadržavaju podatke koje se u potpunosti podudaraju jedino s podacima koje primarno unutar svojih sustava pohrane obrađuje HUO. Što se tiče odgovornosti i utvrđenja same osobe koja je neovlašteno iznijela podatke i dostavila trećim osobama, provodi se kriminalističko istraživanje od strane MUP-a. U slučaju zaprimanja dodatnih informacija koje ukazuju na kršenje odredbi Opće uredbe o zaštiti podataka, Agencija pokreće nadzorno postupanje po službenoj dužnosti – odvratili su te nas pozvali na dostavu dokaza kojima mi raspolažemo.
Poručuju i kako su neovisno nadzorno tijelo nadležno za nadzor provedbe GDPR uredbe te su sve odluke koje donose utemeljene isključivo na utvrđenjima nadzornih postupanja.
– Najodlučnije odbacujemo bilo kakve insinuacije o institucionalnim i izvaninstitucionalnim pritiscima u ovom predmetu – ističe AZOP. Na potezu je za – novi nadzor.