Procurili lični podaci više od 70.000 Hrvata, stručnjak: Nije bitno ko je kriv, građani imaju pravo na tužbu

Prenosimo u celosti komentar Lucijana Carića, stručnjaka za bezbednost na Internetu, koji je objavljen na portalu Index.hr

Foto ilustracija: Shutterstock

Iz Agencije  za naplatu potraživanja B2 Kapital u javnost su procurili lični podaci o 77.317 fizičkih osoba u Hrvatskoj.

Reč je o dosad najvećem curenju ličnih podataka u Hrvatskoj. Naime, iz te firme izašli su podaci koji sadrže ime i prezime, OIB, datum rođenja, adresu stanovanja, naziv i OIB poslodavca, broj telefona/mobilnog telefona, mejla, dugovanje prema B2 Kapitalu, iznos glavnice i iznos zateznih kamata.

Ovaj slučaj sigurno je najveći bezbednosni incident vezan za informacione tehnologije u istoriji Hrvatske, bar onaj za koji se dosada zna.

U nastavku teksta prenosimo u celosti komentar Lucijana Carića, stručnjaka za bezbednost na Internetu, koji je objavljen na portalu Index.hr. 

Neovlašćeni odliv velike količine podataka sam je po sebi uvek bezbednosni incident, pogotovo kada se radi ličnim podacima građana. Čak i ako dozvolimo da je do sada možda bilo i većih kompromitovanja ličnih podataka građana, ova ih sve nadmašuje po strukturi podataka jer su kompromitovani i finansijski podaci pogođenih građana.

Traumatično iskustvo

Cijelu situaciju pogoršava to što se među onima čiji su financijski podaci kompromitovani vrlo izvesno nalaze javne i politički izložene osobe, kao i mnoge osobe koje pripadaju ranjivim populacijama. Sama situacija da imate dug koji ne možete da isplatite ili ga teško isplaćujete stresna je i čini vas ranjivijim već samo po toj osnovi, a saznanje da su ti vaši podaci kompromitovani i dostupni ko zna kome dodatno je traumatična.

Pored toga, tu je pitanje izvora podataka. Ako je agencija za naplatu potraživanja podatke pribavila od banaka, ti su podaci zapravo bankarska tajna. Ako su pribavljeni od poslovnih subjekata, onda su predstavljali poslovnu tajnu. Sama činjenica da su ti podaci javno dostupni teško je kršenje Opšte uredbe o zaštiti podataka, famoznog GDPR-a, ali moguće i drugih ličnih propisa.

Nebitno da li je reč o hakerskom napadu, odnosno kako su ukradeni

Naposletku, analizirajmo koliki je broj žrtava. Ne znamo o koliko građana agencije imaju osobne podatke, ukupno i pojedinačno. Međutim, javno je dostupan podatak kako je krajem novembra ove godine bilo blokirano 230.687 građana. Ako pretpostavimo da sve agencije ukupno raspolažu podacima o tom broju građana, samo u ovom incidentu, iz jedne jedine agencije, "iscurila" je trećina ukupnih podataka.

Samim tim, mislim da je lako pretpostaviti kako se radi o incidentu u kojem su podaci te agencije u potpunosti ili gotovo u potpunosti kompromitovani. S tim da sam način na koji je došlo do kompromitovanja podataka nije bitan.

Dakle, potpuno je nebitno kako je došlo do kompromitovanja podataka. Ako je to posledica hakerskog napada, kako se od takvih napada štitili? Ako su podaci ukradeni iznutra – kako ste to dozvolili?

Čak i ako su podaci kompromitovani kod neke treće strane, vi ste temeljem GDPR-a i dalje odgovorni. Najgora mogućnost je da se tim podacima "službeno" krčmi i da se "na crno", "na sivo" – ili najgore – "na belo" daju raznim povezanim ili "zainteresovanim" poslovnim subjektima i osobama.

Evropska praksa kažnjavanja

Ovde GDPR pretpostavlja odgovornost onog ko podatke poseduje i obrađuje. Štoviše, odgovorni su svi u tom lancu, onaj ko je vama podatke predao, npr. banka ili telekom, kao i oni kojima ste ih vi u okviru svoje funkcije predali pa su ih oni eventualno kompromitovali. Pored toga, već postoji evropska praksa kažnjavanja sličnih odliva podataka bez obzira na uzrok. Odgovornost onih koji izgube podatke se pretpostavlja i oni moraju da dokažu da nisu odgovorni za gubitak podataka kako bi eventualno umanjili ili izbegli odgovornost.

Ovo je u praksi, mislim, prilično teško izvedljivo jer iz iskustva i javno dostupnih slučajeva znamo da nijedna pogođena institucija u istoriji nije priznala sigurnosne propuste, već je u pravilu tvrdila kako ima sveobuhvatne i stroge mere zaštite podataka, a na kraju se pokazalo da baš i nije bilo tako.

Možemo biti prilično sigurni kako se ovde, u celom tom lancu baratanja ličnim podacima građana, radi ne samo o povredi GDPR-a već i druge specijalne regulative te da, pored materijalne odgovornosti, koja je zapravo neupitna, postavlja se pitanje počinjenja ozbiljnih krivičnih dela.

U svakom slučaju, na Agenciji za zaštitu ličnih podataka, MUP-u, DORH-u i po potrebi USKOK-u je da odrade svoj posao. Ovo će gotovo sigurno biti "milestone" na području zaštite podataka u Hrvatskoj. Tu je i problem nepostojanja regulative rada agencija za naplatu potraživanja.

Tako imamo paradoksalnu situaciju da banke, koje su navodno strogo regulisane, predaju podatke agencijama koje su praktički neregulisane. Nešto što je u banci predstavljalo bankarsku tajnu tako na kraju postaje lični podatak s kojim se, u najmanju ruku, lakonski i neodgovorno postupa.

Da ne govorimo o tome kako je izvor mnogih podataka koje agencije poseduju takođe upitan, kao i poslovne prakse kojima se koriste, recimo nazivanje s dužnikom upitno povezanih i nepovezanih fizičkih osoba, kao što su prijatelji ili susedi. Odakle im ti podaci, drže li podatke o tim osobama takođe u svojim bazama i jesu li i ti podaci sada isto kompromitovani?

Drakonske kazne

U ovom trenutku teško je sagledati opseg odgovornosti. Tako je moguće da banke, recimo, budu odgovorne po više osnova. Ne samo zbog povrede GDPR-a već i zbog povrede propisa o bankarskoj tajni.

Pogledamo li broj oštećenih osoba, čak ako uzmemo mogućnost da sudovi dosude neku relativno simboličnu odštetu svakom pogođenom građaninu, npr. 500 evra, tu već gledamo iznos od 35 miliona evra u odštetama, bez sudskih, advokatskih i drugih troškova. Naravno, na osnovu GDPR-a, moguće su i drakonske kazne za sve odgovorne.

(Telegraf.rs)