Pravo na zaštitu osobnih podataka jedno je od temeljnih prava svakog čovjeka. Svrha zaštite osobnih podataka je zaštita privatnog života i ostalih ljudskih prava i temeljnih sloboda u prikupljanju, obradi i korištenju osobnih podataka. Od svibnja 2018. godine u EU na snazi je GDPR (General Data Protection Regulation), odnosno Opća uredba o zaštiti podataka, koja je pretočena i u naše zakonodavstvo.

No, sve je više slučajeva curenja osobnih podataka korisnika i postavlja se pitanje kako se štite podaci u Hrvatskoj i koliko smo u tom pogledu zaštićeni. Digitalizacija je sve prisutnija u našim životima i sve je više  naših podataka u opticaju i ne znamo gdje sve oni mogu završiti. Već smo imali dosta slučajeva da su javno procurili podaci velikog broja građana, što znači da podaci baš i nisu sigurni i zaštićeni i s pravom su građani sve zabrinutiji oko toga. Prema rezultatima istraživanja Europske komisije –  Consumer conditions survey   2025.–  75 % potrošača u RH je zabrinuto oko prikupljanja njihovih osobnih podataka bez njihovog pristanka i znanja.

Najnoviji slučaj curenja podataka je onaj HEP-Toplinarstva. U svim slučajevima utvrdi se odgovornost tvrtki, one plate kaznu, no hoće li i kako iz naučenih pogrešaka tvrtke poboljšati i jamčiti sigurnost i privatnost korisnika, odnosno hoće li korisnici biti zaštićeni od zloupotrebe?

U nastavku donosimo par primjera i situacija iz posljednjih godina u kojima su podaci korisnika ozbiljno bili ugroženi, a radi se imenima, datumima rođenja, OIB-u, adresama, broju telefona, te osobnom e-mailu, karticama i računima –  dakle, sve podaci koji vrlo lako mogu biti zlouporabljeni.

1. HEP – Toplinarstvo – zloupotreba podataka

Nadzor je pokrenut nakon prijave korisnika koji je, prilikom pokušaja izmjene zaboravljene lozinke za portal Moj račun, putem e-pošte zaprimio svoju posljednju postavljenu lozinku, umjesto nove privremene šifre. Daljnjom analizom utvrđeno je da su sve lozinke – njih gotovo 16.000 bile pohranjene bez ikakve enkripcije, što predstavlja ozbiljno kršenje odredbi Opće uredbe o zaštiti podataka (GDPR).

Agencija za zaštitu osobnih podataka (AZOP) izrekla je HEP-Toplinarstvu kaznu od 320.000,00 EUR, a druga kazna, u iznosu od 50.000,00 EUR, izrečena je informacijsko-komunikacijskoj tvrtki nakon što su osobni podaci korisnika bili izloženi hakerskom napadu. Istragom je utvrđeno da tvrtka nije pravodobno implementirala tehničke mjere zaštite koje bi spriječile ili ublažile štetu nastalu napadom. Napadač je, jednom kada je ušao u sustav, neometano pristupao poslužiteljima i kompromitirao osobne podatke.

2. Hrvatski ured za osiguranje (HUO) – curenje baze podataka

Nakon anonimne prijave u 2024. godini da je došlo do „curenja“ osobnih podataka više od milijun vlasnika vozila iz Evidencije registriranih vozila na području Hrvatske, Agencija za zaštitu osobnih podataka (AZOP) provela je nadzorna postupanja kod više voditelja obrade osobnih podataka – Hrvatski ured za osiguranje, Centar za vozila Hrvatske, Ministarstvo unutarnjih poslova Republike Hrvatske, kao i drugih pravnih subjekata koji su se povezivali s incidentom.

Utvrđeno je da se struktura podataka koja je dostavljena Agenciji na USB sticku – podaci o vlasniku vozila (ime i prezime, datum rođenja, OIB, JMBG, adresa prebivališta), podaci o vozilu (vrsta vozila, registarske oznake, broj šasije) i podaci o osiguranju (naziv osiguranja, broj police i datum važenja) i podaci o umanjenju osiguranja (bonusi/malusi), podudara s bazom Hrvatskog ureda za osiguranje, te da je isti voditelj obrade osobnih podataka.

S obzirom na to da je HUO pravna osoba s javnim ovlastima, izrečena im je novčana kazna u iznosu od 101.000,00 EUR, a incident je ocijenjen kao najveći sigurnosni incident u povijesti RH prema broju pogođenih osoba.

3. Grad Zagreb – bug kod prijave štete za nevrijeme

Obrazac na koji građani Zagreba u srpnju 2023. godine prijavljivali štetu od razorne oluje imao je bug te su objavljeni svi njihovi osobni podaci. Procurili su imena i prezimena, brojevi telefona, OIB-ovi, adrese, fotografije… Modul je bio privremeno isključen, a slučaj je bio prijavljen Povjereniku za zaštitu osobnih podataka u skladu sa zakonom.

4. EOS Matrix – curenje podataka dužnika

Agencija za zaštitu osobnih podataka izrekla je novčanu kaznu u iznosu od 5.470.000,00 EUR tvrtki EOS Matrix (licencirana agencija za naplatu potraživanja) zbog curenja više od 181.000 osobnih podataka (uključujući 294 maloljetnika) u ožujku 2023. godine.

5. Afera B2 Kapital – curenje podataka dužnika

Agencija za naplatu potraživanja B2 Kapital doživjela je u 2022. godini veliki incident u kojem su procurili osobni podaci otprilike 77.317 fizičkih osoba, koji sadržavaju ime i prezime, OIB, datum rođenja, adresu stanovanja, naziv i OIB poslodavca, dugovanje prema B2 Kapitalu, iznos glavnice, iznos zateznih kamata, te što je bilo posebno sporno, broj mobitela i osobni e-mail. Agencija za zaštitu osobnih podataka (AZOP) izrekla je upravnu novčanu kaznu agenciji B2 Kapital u iznosu od 2.265.000,00 EUR.

6. Hakerski napad na A1 – krađa podataka

A1 Hrvatska tijekom 2022. godine objavio je da je došlo do krađe podataka korisnika mreže. Navodno je bila riječ o podacima manje od 10 posto korisnika, a u ukradene podatke nisu bile uključene informacije o bankovnim karticama i računima.

S obzirom na učestalost i količinu curenja podataka s pravom je 75% građana zabrinuto oko prikupljanja njihovih podataka, jer tko zna gdje su sve ovi podaci koji su procurili u konačnici i završili.

Foto: Pixabay