Izrečena je kazna Zagrebačkom holdingu
Prije nekoliko dana izrečena je upravna novčana kazna Zagrebačkom holdingu u iznosu od 25.000,00 eura (188.362,50 kuna) zbog kršenja Opće uredbe o zaštiti podataka (GDPR)
AZOP
- Voditelj obrade nije na odgovarajući način informirao korisnike usluga o pravnoj osnovi obrade osobnih podataka te razdoblju pohrane osobnih podataka prilikom prikupljanja preslike osobnog identifikacijskog dokumenta zbog izdavanja prijepisa računa putem e-pošte čime je postupio protivno odredbi čl. 13. st. 1. (c) i čl. 13. st. 2. (a), (e) Opće uredbe o zaštiti podataka. Sukladno navedenim odredbama, a ukoliko se osobni podaci prikupljaju od ispitanika, voditelj obrade dužan je u trenutku prikupljanja pružiti ispitanicima sve informacije o obradi njihovih osobnih podataka (primjerice upoznati ih sa svrhom i pravnom osnovom za obradu osobnih podataka, razdoblju u kojem će osobni podaci biti pohranjeni itd.) u sažetom, razumljivom i lako dostupnom obliku, uz upotrebu jasnog i jednostavnog jezika
- Voditelj obrade nije poduzeo odgovarajuće tehničke i organizacijske mjere prilikom obrade osobnih podataka u svrhu identifikacije korisnika usluga zbog izdavanja prijepisa računa putem e-pošte, čime je povrijedio odredbe čl. 25. st. 2. Opće uredbe o zaštiti podataka.
Analiza slučaja
Prikupljanje preslika osobnih iskaznica
Zagrebački holding d.o.o. od korisnika usluga traži presliku osobne iskaznice prije izdavanja prijepisa računa (naknada za uređenje voda i komunalnu naknadu) putem e-pošte.
Prikupljanje preslika osobnih iskaznica samo je po sebi vrlo rizična obrada, koju je ujedno vrlo teško opravdati sa stanovišta GDPR-a (prekomjerna obrada). Naime, identifikacija osoba može se postići i na drugi, manje rizičan način. Dodatni rizik predstavlja prikupljanje preslika osobnih iskaznica putem e-maila. Svaki stručnjak informacijske sigurnosti odmah bi odbacio mogućnost korištenja e-maila u tu svrhu. U slučaju presretanja maila ili hakiranja lozinke napadač na jednostavan način dolazi do informacija i dokumenata koje može vrlo lako zloupotrijebiti. Na primjer, iskoristiti za krađu identiteta i ugovaranje različitih usluga, poput usluga kod teleoperatera. Korisnici čiji je identitet ukraden mogu imati velikih problema i novčanih gubitaka.
Promjenjen je postupak obrade
Za istu uslugu u svrhu identifikacije ranije je bilo dovoljno dostaviti ime, prezime, adresu, OIB, sistemski broj objekta i sistemski broj obveznika.
Holding je očigledno promijenio postupak obrade osobnih podataka a da tu promjenu nije analizirao sa aspekta informacijske sigurnosti i GDPR-a. To se dešava svim organizacijama koje nisu uspostavile model "Privacy by design". Naime, zahtjevi GDPR-a i informacijske sigurnosti morali bi se uzeti u obzir u svakoj fazi, počevši od razvoja do implementacije, dok promjene moraju biti strogo kontrolirane.
Nisu propisana pravila
U postupku je utvrđeno kako voditelj obrade nema propisana pravila za identifikaciju korisnika usluge koji traži dostavu prijepisa računa putem elektroničke pošte te je isti prikupljao preslike identifikacijskog dokumenta korisnika putem e-pošte samo u slučaju sumnje na lažno predstavljanje.
Sve organizacije bi trebale propisati službena pravila za identifikaciju ispitanika i educirati zaposlenike o propinom načinu identifikacije. Identificirati ispitanika se može na različite načine. Na primjer, korisnik zna iznose prijašnjih uplata, korisnik zna kada su uplate izvršene i sl. Osim toga, organizacije s korisnicima može dogovoriti i poseban podatak, kod ili šifru s kojom će se korisnik moći identificirati putem telefona ili e-maila. S obzirom na te ostale mogućnosti identifikacije, prikupljanje kopija osobnih iskaznica smatra se prekomjernom obradom i kršenjem GDPR-a.
Pogrešne odluke
Naime, Zagrebački holding tražio je presliku osobnog identifikacijskog dokumenta od korisnika koji se koriste e-mail adresom koja u svojoj strukturi ima različito ime/naziv od imena i prezimena korisnika usluge, odnosno ukoliko ime i prezime korisnika usluge koji je putem e-pošte zahtijevao prijepis računa nije odgovaralo strukturi e-mail adrese s koje su zahtijevali prijepis računa. Sama konstrukcija naziva e-mail adrese koja sadrži odgovarajuće ime i prezime, nije zaštitna mjera koja bi voditelju obrade pružila dovoljnu garanciju da je zahtjev postavljen od strane stvarnog korisnika usluge.
Na žalost, kada GDPR prilagodbu radi osoba ili osobe koje nemaju dovoljno tehničkog znanja i u prilagodbu ne uključe osobe s potrebnim znanjem, donose se pogrešne odluke. Svatko može otvoriti e-mail tipa, ime.prezime@domena. S obzirom da svatko može otvoriti e-mail adresu koja u nazivu sadrži ime i prezime potpuno druge osobe, onda to ne može biti potvrda da se usitinu radi o osobi istog imena i prezimena. Isto je ujedno zaključio i AZOP.
Propusti
Slijedom navedenog, utvrđeno je kako je voditelj obrade propustio implementirati odgovarajuće tehničke i organizacijske mjere zaštite odnosno urediti proces obrade u svrhu identifikacije korisnika usluga koji su zatražili prijepis računa putem e-pošte, čime je postupio protivno čl. 25. st. 2 Opće uredbe o zaštiti podataka.
Očigledno se napravilo niz propusta u ovoj obradi. To je ugrozilo osobne podatke korisnika i rezultiralo novčanom kaznom Zagrebačkom holdingu.
Voditelj obrade je trebao razraditi poslovne procese identifikacija putem elektroničke pošte na način koji će osigurati da postupak identifikacije korisnika usluge bude jednak za sve korisnike, bez obzira na strukturu e-pošte. Navedenim postupanjem onemogućeno je da korisnici usluga, koji u strukturi svoje e-mail adrese nemaju ime i prezime, bez dostave osobnog identifikacijskog dokumenta, ostvare komunikaciju udaljenim putem, odnosno zatraže prijepis računa putem e-pošte.
Ovo je očit primjer da GDPR prilagodba zahtjeva stručnjaka koji će na pravilan način prilagoditi procese organizacije. Nije dovoljno samo prepisati dokumentaciju drugog poslovnog subjekta, malo je prilagoditi i reći, "mi smo usklađeni". Uloga stručnjaka je da voditelja savjetuje, uzimajući u obzir tehničke i organizacijske mjere, strukturu i osposobljenost zaposlenika, način komunikacije, itd.
Nesigurna obrada
Također, ovaj način identifikacije rezultirao je nesigurnom obradom u vidu prikupljanja preslika osobnih identifikacijskih dokumenata, pri čemu se dodatno kod ispitanika od kojih je zatražena dostava identifikacijskog dokumenta bez davanja svih relevantnih informacija stvorio osjećaj gubitka kontrole nad njihovim osobnim podacima.
Kao što sam ranije spomenuo, korištenje e-maila za obradu ili pohranu povjerljivih informacija nije dobra praksa. E-mail je servis koji je nastao prije više desetljeća, u vremenima kada se o informacijskoj sigurnosti nije ni razmišljalo. Tijekom vremena dodavane su sigurnosne značajke e-mailu, ali to je poput krpanja rupa na trulom brodu. Svaka organizacija koja drži do sigurnosti, povjerljivu dokumentaciju putem maila šalje samo koristeći kriptografiju. Ako vas neka organizacija traži da im pošaljete osobnu iskaznicu putem e-maila u nekriptiranom obliku, nemojte to učiniti jer može dovesti do krađe identiteta. Ako je već i potrebno poslati kopiju osobne iskaznice, organizacija vam mora omogućiti da to uradite na tehnički siguran način. Ako ništa drugo, može Vas barem uputiti da zacrnite podatke na kopiji koji nisu potrebni za obradu, npr. vašu sliku, prije njezinog slanja e-mailom.
Netransparentnost
Voditelj obrade propustio je i transparentno informirati korisnike usluge o pravnoj osnovi za prikupljanje osobnih podataka (preslike osobne iskaznice) u svrhu identifikacije. Ispitanicima predmetne informacije nisu bile dostupne ni kroz objavljene dokumente odnosne na obradu osobnih podataka na službenim internetskim stranicama voditelja obrade, a ni nakon što su ispitanici izravno zatražili informacije o obradi putem e-pošte, što je protivno odredbama čl. 13. st. 1. (c) i čl. 13. st. 2. (a), (e) Opće uredbe o zaštiti podataka.
S obzirom da za tu obradu nije određena pravna osnova, to znači da ista nije bila pravilno dokumentirana. Kada se uvode promjene u obradama iste je potrebno zabilježiti u evidenciji aktivnosti obrade, politici privatnosti, procijeniti rizike i dr. Ispitanike je potrebno informirati o promjenama u obradi. S obzirom na veći broj propusta i ugrozu osobnih podataka korisnika, ovaj slučaj je rezultirao novčanom kaznom Zagrebačkom holdingu.