Jedna od vodećih kompanija za naplatu potraživanja B2 Kapital d.o.o. nije uspjela tužbom osporiti rješenje Agencije za zaštitu osobnih podataka (AZOP) koja im je zbog kršenja sigurnosti osobnih podataka izrekla novčanu kaznu od 2.265.000 eura. Upravni sud u Zagrebu po sutkinji Meri Dominis Herman potvrdio je da su valjano utvrđene manjkavosti u sustavu sigurnosti zbog kojih je došlo do nesigurne obrade osobnih podataka velikog broja "ispitanika".
AZOP je 2. prosinca 2022., zaprimio anonimnu predstavku o neovlaštenoj obradi osobnih podataka od strane B2, uz što je dostavljen USB stick s imenom i prezimenom 77.317 dužnika, s datumom rođenja i OIB-om. Te su osobe imale nepodmireno dugovanje prema kreditnim institucijama koje je cesijom otkupio B2. AZOP je po toj prijavi utvrdio da barem 132.652 ispitanika s kojima je B2 bio u dužničko-vjerovničkom odnosu nisu jasno informirani o obradi njihovih osobnih podataka. Kršenje Opće uredbe o zaštiti podataka je i što B2 nije sklopio ugovor s izvršiteljem obrade pa bi tako osigurali da El Koncept zadovoljava tehničke i organizacijske mjere zaštite podataka.
B2 tumači da je AZOP pogrešno ocijenio njihovu i ulogu El Koncepta u obradi podataka te stoga pogrešno zaključio da su morali sklopiti ugovor. B2 nema resurse za praćenje javno dostupnih baza podataka o stečajevima te su zbog toga angažirali El Koncept koji je ujedno vlasnik portala Fininfo, koji pruža informacije o financijskom stanju, poslovanju i rizicima pravnih subjekata u Hrvatskoj. Ugovor nije sklopljen, tumače, jer to nije predviđeno Zakonom o obveznim odnosima. A što se tiče obrade podataka, El Koncept je samostalni voditelj obrade, a ne izvršitelj za B2. K tomu, monitoring jednostavnog stečaja potrošača pratio je podizvođač Hierarchia, a što oni nisu znali.
Prigovoreno je i utvrđenju AZOP-a da nisu poduzeli odgovarajuće tehničke i organizacijske mjere pri obradi podataka zbog kojih je došlo do kršenja, jer su zanemareni nalazi stručnjaka koji su analizirali njihov informacijski sustav. U njihovu sustavi nemaju OIB-e već je pogrešan zaključak donesen zbog jednog emaila, a zanemareno je i da se datoteka B2-Tracked nalazi bar kod još jednog subjekta, pošiljatelja e-maila. To ne može biti dokaz da su podaci njima iscurili, te su poduzeli mjere sprječavanja neovlaštenog kopiranja i curenja podataka iz sustava jer je onemogućeno korištenje USB-a na računalima, osim iznimno kod voditelja odjela, uprave i kontrolinga. U tijeku postupka poduzeli su i dodatne sigurnosne mjere, te posjeduju i automatizirane obavijesti u slučaju slanja zaštićenih podataka e-mailom.
AZOP je obrazložio da je B2 u više navrata od veljače 2019. slao datoteke s popisima OIB-ova koje je El Koncept trebao za njih pratiti i vraćati ih s "obogaćenim" podacima iz svojih sustava. Pri tome je B2 odredio kategorije i konkretne osobne podatke koje će El Koncept obrađivati. Sporna izjava koju je 14. prosinca 2020. potpisala odgovorna osoba B2 ukazuje kako su bili upoznati da je El Koncept angažirao podizvođača za praćenje usluge jednostavnog stečaja potrošača. AZOP ističe i da je nebitno je li došlo do "curenja" podataka već jesu li implementirali mjere sigurnosti propisane GDPR-om, što je to izraženije zbog visokog rizika.
Nisu implementirali SIEM sustav koji na temelju prikupljenih sistemskih zapisa (tzv. logova) s različitih sustava u stvarnom vremenu omogućava detekciju, analizu, korelaciju i pohranjivanje relevantnih sigurnosnih događaja zabilježenih u računalnom sustavu te alarmiranje ovlaštenih osoba zaduženih za sigurnost informacijskih sustava o pristupu većim količinama osobnih podataka iz baze. Korištenje prijenosne memorije kod tako visoko rizičnih obrada trebaju imati propisani ovlaštenici i to isključivo u poslovno uvjetovanim situacijama, uz spomenutu kontrolu. To što je netko superadministrator ne znači da može neopaženo pristupati bazi podataka bez odgovarajućih mjera zaštite.
AZOP je kod El Koncepta pronašao datoteku s OIB-om 83.896 dužnika B2, i to nakon što su prekinuli poslovni odnos. Ta je datoteka morala biti izbrisana iz elektroničnog sutava El Koncepta, a što nije, krivnja je B2 jer su morali prepoznati da se radi o odnosu voditelja i izvršitelja. B2 i po ocjeni suda nije smio dopustiti obradu podataka većeg broja dužnika na netransparentan i nesiguran način, to više jer je riječ o osjetljivim podacima financijske prirode, a povreda je trajala čak od svibnja 2018. godine. Za sud je i kazna odmjerena u skladu sa zakonskim kriterijima, uz uvažavanje otegotnih i olakotnih okolnosti, te da B2 Holding Grupa ima odlučujući utjecaj na sve bitne poslovne odluke B2 Kapitala, s ukupnim godišnjim prihodom od 267 milijuna eura.
"Tužitelj je izgubio potpuni nadzor nad kretanjem osobnih podataka njihovih ispitanika te tijekom postupka nije mogao objasniti uzroke neovlaštenog izvlačenja osobnih podataka.", obrazložila je sutkinja. Voditelj obrade najveći stupanj odgovornosti snosi zbog nepoduzimanja tehničkih mjera zaštite, što je i dovelo do nesigurne obrade većeg broja osobnih podataka, "a koja bi bila i nastavljena da tuženik (AZOP, op. a.) nije upozoren na to anonimnom prijavom", obrazložila je sutkinja Dominis Herman. To znači, dodali bi, da službeni nadzor provođenja zaštite osobnih podataka od strane AZOP-a ne funkcionira. B2 imao je poveću bazu osobnih podataka tako osjetljive prirode koju su koristili četiri i pol godine, i još bi da nije bilo anonimne prijave u prosincu 2022. jer AZOP očito nije kontrolirao B2 po službenoj dužnosti. U sustavu e-predmet zasad nije vidljivo je li B2 podnio žalbu Visokom upravnom sudu.
