Na nogama su svi raspoloživi istražiteljski resursi kako bi se otkrilo tko stoji iza dosad najveće povrede osobnih podataka u povijesti Hrvatske koja obuhvaća više od milijun građana čija su registrirana vozila u bazi MUP-a, a otkrio ju je Večernji list. Visoki izvor iz MUP-a potvrdio nam je da istragu na terenu provode kriminalistička policija i Agencija za zaštitu osobnih podataka, a uključila se i Hrvatska agencija za nadzor financijskih institucija jer se sumnja da su podatke kupovali osiguravatelji. Prije više mjeseci počeli smo istraživati trgovinu osobnim podacima vlasnika osiguranih vozila, a u trenutku kad smo došli u posjed USB memory sticka s imenima, adresama, OIB-ima, JMBG-ima, datumima rođenja, registracijama i ostalim podacima o vozilima te policama osiguranja 1,195.052 fizičkih osoba sa 2,444.587 zapisa o vozilima te anonimne prijave Sigurnosno- obavještajnoj agenciji o sigurnosnom incidentu, bilo je jasno da je posrijedi najveća GDPR povreda.
Munjevito su reagirali i SOA, i AZOP, i MUP te pokrenuli sveobuhvatnu istragu. Iz MUP-a doznajemo da su u izvide krenuli već u četvrtak, nakon što im je SOA proslijedila dokumentaciju koju smo joj poslali s upitom, a u petak, nakon što smo AZOP-u kao nadležnom regulatoru ustupili memory stick, i oni su počeli s nadzorom u Centru za vozila Hrvatske koji većinu tih podataka čuva kao pravna osoba s javnim ovlastima. MUP u petak nije bio u CVH-u, jer je tamo već bio AZOP s kojim surađuju u istrazi.
Bez odgovora HUO-a
– S obzirom na to da je pristup osobnim podacima koji su sadržani na dostavljenom USB sticku imalo više subjekata, Agencija provodi nadzorno postupanje nad svim relevantnim subjektima koji raspolažu podacima zahvaćenim povredom te utvrđuje tko je odgovoran i kako je došlo do povrede osobnih podataka, kao i sve druge relevantne informacije o kojima ćemo Vas obavijestiti – odgovorili su nam iz AZOP-a na upit u kojoj je fazi istraga.
VEZANI ČLANCI:
O povredi su ujutro obavijestili i javnost koju će, najavili su, o daljnjim relevantnim događajima informirati redovito. Iz Hanfe su poručili da će poduzeti sve radnje za koje su ovlašteni postupajući po prijavi koja je njima upućena pa će i oni, među ostalim, obavijestiti nadležna tijela i institucije. Odnosi se to na dio istrage koji se bavi kupcem podataka. Jer, ovdje su očito uključene dvije strane koje su činile kaznena djela – jedna koja je pribavila podatke i druga koja ih je vjerojatno kupovala, a sve ukazuje na to da su posrijedi osiguranja. O sigurnosnom incidentu neslućenih razmjera oglasio se i potpredsjednik Vlade i ministar unutarnjih poslova Davor Božinović koji je u izjavi novinarima potvrdio da traju intenzivni izvidi o tome kako su iscurili podaci o vozilima i njihovim vlasnicima te naglasio da ti podaci nisu iscurili iz MUP-a, kao i da ih nema u javnom prostoru.
– Na policiji je da utvrdi tko ima baze podataka s tim specifičnim podacima koji se razlikuju od onih koji izvorno nastaju u MUP-u i da se dođe do počinitelja. Na sve fizičke i pravne osobe primjenjuje se opća europska uredba o zaštiti podataka, AZOP je taj koji nadzire korištenje i zloporabu korištenja podatka građana i prilično sam uvjeren da će se u zajedničkom radu doći do odgovora na pitanja koja nas zanimaju – poručio je ministar, dok je sigurnosni stručnjak Đuro Lubura kao instituciju koja bi mogla imati sveobuhvatne podatke imenovao Hrvatski ured za osiguranje.
VIDEO Đuro Lubura o krađi podataka vlasnika registriranih vozila: OIB i JMBG na tržištu puno vrijede
Pitali smo ih tome, kao i o sumnjama iz MUP-a koje idu u njihovu smjeru s obzirom na to da MUP ima zakonsku obvezu, prema članku 52. Zakona o osiguranju, dostaviti podatke HUO-u.
– Oni to ne samo da mogu imati, nego moraju, mi im bazu ne možemo uskratiti tako da nije upitno je li se baza MUP-a mogla naći u svijetu osiguravatelja – poručili su.
No do objave teksta HUO se nije očitovao. MUP ne opovrgava da se već godinama sumnja u trgovanje bazama podataka oko isteka polica osiguranja, što su nam nakon objave teksta potvrdili i brojni, uglavnom bivši zaposlenici osiguranja, koji su popise osoba pred istekom polica autoosiguranja dobivali kako bi mogli vrbovati klijente od konkurencije.
– Radio sam 20 godina u osiguranju, nabavljali su podatke o osiguranicima. Ne znam točno od koga – potvrdio nam je jedan bivši zaposlenik.
No mnogi se pitaju hoće li sada pasti neka "sitna riba" jer je prodavala informacije kojima ima pristup, neki "Pedro", a da će amnestirani ostati oni koji ubiru puno veću korist – dioničari društava za osiguranje koji ovako dobivaju nove klijente i menadžeri koji na rastu ostvaruju bonuse. Ipak, u MUP-u nam kažu da nijednoj pravnoj osobi koja bi mogla biti uključena u istragu nije svejedno:
– Svima se tresu gaće. Kazne su goleme – slikoviti su u MUP-u.
>>> FOTO Znate li koja je najduža rijeka u Hrvatskoj?
Drakonske kazne
Potvrđuje to i AZOP: Što se tiče izricanja upravne novčane kazne, svaki voditelj obrade, sukladno Općoj uredbi o zaštiti podataka, dužan je poduzeti sve odgovarajuće tehničke i organizacijske mjere zaštite osobnih podataka kako bi adekvatno zaštitio osobne podatke koje obrađuje te tako sveo rizik od povreda i zloporaba na minimum. Za kršenja GDPR odredaba Agencija ima ovlasti izreći upravne novčane kazne do 20 milijuna eura ili u slučaju poduzetnika do dva, odnosno četiri posto ukupnog godišnjeg prometa na svjetskoj razini za prethodnu financijsku godinu, ovisno o tome što je veće – preciziraju u AZOP-u.
A u MUP-u deklariraju i da su zahvalni anonimnom prijavitelju:
– U redu je što je netko ovo prijavio, vidimo da je dobra namjera u pozadini. Moglo bi ispasti dobro ako se ispostavi da je na vrijeme spriječeno da iscuri van ili se pomogne da ovo više netko ne radi – prokomentirao je visoki izvor iz MUP-a koji prijavu smatra pomaganjem u razotkrivanju kaznenog djela.
Mislim da ljudi nisu niti svjesni koliko zla je moguće napraviti s tim podacima. Ovdje je šteta ekstremna.