Pritom je Hrvatskom uredu za osiguranje (HUO) izrečena kazna u iznosu od 101.000 eura. Naime, iz AZOP-a objašnjavaju kako je nakon anonimne prijave došlo do "curenja“ osobnih podataka više od milijun vlasnika vozila iz Evidencije registriranih vozila na području RH. AZOP je, navodi se u priopćenju, proveo nadzorna postupanja kod više voditelja obrade osobnih podataka – HUO-a, Centra za vozila Hrvatske, Ministarstva unutarnjih poslova RH, kao i drugih pravnih subjekata koji su se povezivali s incidentom.

Utvrđeno je da se struktura podataka koja je dostavljena Agenciji na USB "sticku" - podaci o vlasniku vozila (ime i prezime, datum rođenja, OIB, JMBG, adresa prebivališta), podaci o vozilu (vrsta vozila, registarske oznake, broj šasije) i podaci o osiguranju (naziv osiguranja, broj police i datum važenja) i podaci o umanjenju osiguranja (bonusi/malusi), podudara s bazom HUO-a te da je taj ured voditelj obrade osobnih podataka, navodi se u priopćenju Agencije.

Agencija je utvrdila kako HUO kao voditelj obrade nije poduzeo odgovarajuće organizacijske i tehničke mjere zaštite osobnih podataka ispitanika, te da je uslijed nepoduzimanja odgovarajućih mjera zaštite ugrožena sigurnost sigurnosnog sustava s osobnim podacima ispitanika, a što je omogućilo lakšu dostupnost osobnih podataka ispitanika neovlaštenim osobama.

Sportskoj kladionici kazna od 175.000 eura

Nadalje, jednoj je sportskoj kladionici, zbog nepoduzimanja tehničkih mjera zaštite osobnih podataka te nepropisnog čuvanja osobnih podataka korisnika, izrečena kazna u iznosu od 175.000 eura.

Agencija je, pojašnjeno je, zaprimila prijavu kako sportska kladionica za verifikaciju računa korisnika na internet stranici traži da korisnici putem e-maila pošalju kopiju osobne iskaznice čime ne omogućava siguran način slanja dokumenata za verifikaciju zbog čega je Agencija pokrenula postupak po službenoj dužnosti zbog visokog rizika za prava i slobode ispitanika (igrača, korisnika usluge).

Utvrđeno je da je voditelj obrade obrađivao osobne podatke svojih korisnika s osobne iskaznice, bez da je poduzeo odgovarajuće tehničke mjere zaštite s obzirom na rizike.

Između ostaloga, pojedini zaposlenici voditelja obrade koriste lozinke koje nisu dovoljno snažne, odnosno lozinke koje imaju svega tri znaka, što nije dovoljna mjera zaštite, obzirom da se s računala određenih zaposlenika može pristupiti e-mail adresi koja sadrži e-mailove s osobnim podacima i preslikama osobnih iskaznicama velikog broja korisnika. Isto tako, utvrđeno je da se djelatnici u administratorski dio programa platforme za klađenje spajaju nesigurnom HTTP vezom.

Isto tako, voditelj obrade, uz ostalo, nije osigurao brisanje osobnih podataka ispitanika nakon proteka roka u kojem se isti moraju čuvati, a utvrđeno je i da svjesno ne radi sigurnosnu kopiju podataka pozivajući se na previsoki trošak u uspostavi takve sigurnosne mjere zaštite osobnih podataka.

Naposljetku, Agencija je izrekla još šest upravnih novčanih kazni voditeljima obrade zbog kršenja opće uredbe o zaštiti podataka i Zakona o provedbi opće uredbe o zaštiti podataka i to u iznosima od 2.500 eura do 35.000 eura.