Lucijan Carić / Foto Patrik Macek/PIXSELL
Stručnjak za informacijsku sigurnost Lucijan Carić prokomentirao je najnoviji slučaj curenja podataka iz agencija za naplatu potraživanja
povezane vijesti
Nakon još jednog curenja osobnih podataka iz jedne agencije za naplatu potraživanja, među kojima su i podaci maloljetnika, saborski zastupnici Sandra Benčić i Peđa Grbin pozvali su na zakonsko reguliranje rada tih agencija.
Podsjetili su da su još prije mjesec i pol u saborsku proceduru uputili prijedlog zakona kojim bi se onemogućila prodaja potrošačkih kredita agencijama za naplatu potraživanja bez pristanka dužnika, no prijedlog još nije na redu za raspravu.
Ovo djeluje jako zabrinjavajuće
O ovoj temi u središnjem Dnevniku HTV-a govorio je stručnjak za informacijsku sigurnost Lucijan Carić.
– Meni ovo djeluje jako zabrinjavajuće. Prvo, radi se o drugom incidentu vezanom za agencije za naplatu, odnosno tzv. utjerivače dugova.
Ukupan broj podataka koji oni mogu imati je vrlo blizak ovom broju podataka koji je iscurio. Oni teško da mogu imati podatke od više od 350 tisuća građana. Moja procjena.
A zasad znamo da je iscurilo 250 tisuća. Znači da je otprilike 80 posto podataka kompromitirano. Radi se u ovom zadnjem incidentu o oko 5 posto punoljetnih stanovnika RH. S ovim prvim incidentom to je 8 posto punoljetnih stanovnika, rekao je Carić.
“Ako su podatke međusobno razmjenjivali…”
Iz EOS Matrixa opovrgavaju da se curenje podataka dogodilo.
– Nadam se da oni znaju što govore. Ako nije istina to što govore i ako podaci jesu njihovi, a ja stvarno ne vidim zašto ne bi bili njihovi jer znamo iz prethodnog incidenta da su podaci bili vjerodostojno od agencije koja je tada bila pogođena, B2 Kapital, onda prvo neistinito informiraju javnost, neistinito informiraju ljude koje su po zakonu dužni informirati o ugrozi i pored toga po najmanje dva članka zakona krše GDPA.
– Pitanje je što i dokle su ti podaci došli. Iz ovoga što mi zasad znamo ti podaci su dostavljeni AZOP-u, a da je netko to htio zloupotrijebiti, vjerojatno to ne bi učinio.
Problem je jesu li ti podaci samo kod tih benevolentnih ili su i kod nekih malicioznih. I jesu li agencije te podatke međusobno razmjenjivale.
Jer ako su to radile, to prelazi nadležnost AZOP-a i tu prelazimo na USKOK. To bi bilo udruživanje radi počinjenja kaznenog djela.
Iscurili i podaci maloljetnih osoba
U javnosti je posebno odjeknula vijest da se neki od podataka koji su iscurili odnose na maloljetne osobe.
– Moguće je da djeca budu subjekti ovrha jer su naslijedila imovinu roditelja koja je mogla biti u takvom nekakvom problemu.
Ako je vrijednost imovine veća od vrijednosti duga i ima smisla nasljeđivati kako je taj broj djece oko 300, a ukupan broj zahvaćenih građana je 181 tisuća, onda se stvarno radi o nekakvoj proporciji.
Vjerujem da će oni agenciji vrlo ozbiljno objasniti zašto te podatke imaju. Po broju podataka rekao bi da ta priča drži vodu.
Carić je naglasio da bi se ovakva curenja podataka trebala nekako i kažnjavati.
– Vi ne možete izbjeći kaznu bez obzira na to kakvo je curenje. Samo je to kako ste vi postupali s podacima, kakve ste mjere poduzeli, koliko ste u tome bili svjesni određuje vašu odgovornost. (…)
Tu su već odavno trebale biti kazne i ne znam što AZOP čeka. Prvi incident je ogroman. Ako nemaju resurse, tehnička znanja ili ljude onda je red da to kažu i nešto naprave, zaključio je.
Iz agencije za naplatu potraživanja iscurili podaci 181.000 građana
Ime i prezime, OIB, datum rođenja, adresa stanovanja – podaci s kojima se može svašta – navodno su iscurili iz agencije za naplatu potraživanja EOS Matrix, i to za 181 tisuću osoba. U AZOP je stigla anonimna prijava.
– Agencija za zaštitu osobnih podataka poduzela je žurne nadzorne aktivnosti i čim budu završene mi ćemo o tome obavijestiti javnost.
Ako građani smatraju da je došlo do povrede njihovih osobnih podataka oni se mogu obratiti prvenstveno njima kao voditelju obrade.
Tek ako ne budu zadovoljni odgovorom i smatraju da ta tvrtka ili bilo koja krši njihove osobne podatke, onda se u tom slučaju obraćaju Agenciji za zaštitu osobnih podataka, pojasnio je Zdravko Vukić, ravnatelj Agencije za zaštitu osobnih podataka.
Najveće curenje osobnih podataka do sada
Riječ o najvećem curenju osobnih podataka do sada.
– Slučaj je zapravo vrlo sličan onom kojeg smo imali prije 3 mjeseca kad je došlo do curenja podataka iz ove jedne druge agencije.
Riječ je bilo o B2 Kapitalu. Međutim ovdje je razlika u tome što ti podaci sadrže oko 300 osobnih podataka maloljetnih osoba, rekao je novinar portala Index Ilko Ćimić.
Postoje slučajevi u kojima takve agencije, kada ne mogu doći do onoga od koga naplaćuju dug, stupe u kontakt s članovima obitelji, pa i djecom – govore u Uredu pravobraniteljice.
– Znamo jedan slučaj gdje su se tako raspitivali. Onaj pravi dužnik se nije javio na telefon, no dijete je čulo sve o tome, uznemirilo se i tako. Treba paziti što se radi s podacima i o tome koliko su oni dostupni.Naše je iskustvo da to područje nije dobro normirano, kazala je zamjenica pravobraniteljice za djecu Maja Gabelica Šupljika.
EOS Matrix sve opovrgava: “Sigurnosni proboj nije se dogodio”
Iz EOS Matrixa opovrgavaju da se curenje podataka dogodilo.
– Uvidom u vlastite sustave, EOS Matrix je utvrdio kako se sigurnosni proboj nije dogodio, niti je utvrđeno interno neovlašteno postupanje s osobnim podacima.
Kad je riječ o osobnim podacima maloljetnih osoba, isti se iznimno i pojedinačno obrađuju (…) kad su maloljetne osobe nasljednici temeljem sudskog rješenja.
Ipak, nadzor će se provesti.
Ovaj slučaj ponovno je otvorio pitanje regulacije postojanja takvih agencija i njihova poslovanja.
– Mi imamo utjerivače dugova koji ljude maltretiraju, a onda još na ovaj način nisu u stanju brinuti o njihovim podacima i dovode ih u rizik da im se stvori dodatna ekonomska, dodatna materijalna šteta, rekao je predsjednik SDP-a Peđa Grbin.
– Uputili smo u proceduru prijedlog zakona koji bi onemogućio prodaju potrošačkih dugova iz potrošačkih odnosa, odnosno potrošačkih kredita bez pristanka dužnika i koji bi onemogućio da se takvi dugovi prodaju agencijama za naplatu potraživanja već samo između banaka, pojasnila je Sandra Benčić iz Kluba zastupnika zeleno-lijevog bloka.
Prijedlog čeka stavljanje na dnevni red saborske rasprave. Europska unija direktivu za to donijela je prije više od godinu dana, a rok za primjenu je do kraja godine.