"Nakon što su neovisni stručnjaci proveli ekstenzivnu forenzičku internu istragu, utvrdili smo da u sustavima B2 Kapitala nije došlo do curenja podataka te da B2 Kapital nije bio izložen hakerskom napadu", navodi se u priopćenju agencije za naplatu potraživanja B2 Kapital.
B2 Kapital tvrdi da "predmetni podaci nisu sadržavali podatke o financijskom stanju klijenta niti o stanju duga", što je, kako tvrde, potvrđeno rješenjem AZOP-a.
Kažu da odluku AZOP-a poštuju, ali da se u pretežitom dijelu ne slažu s njezinim obrazloženjem, a izrečenu kaznu smatraju previsokom.
Najavljuju da će iskoristiti mogućnost upravnog spora.
Agencija za zaštitu osobnih podataka (AZOP) kaznila je s 2,265 milijuna eura agenciju za naplatu potraživanja B2 Kapital kao voditelja obrade podataka zbog utvrđenih povreda Opće uredbe o zaštiti podataka (GDPR), izvijestili su u četvrtak iz te agencije.
Tu upravnu novčanu kaznu su izrekli B2 Kapitalu jer taj voditelj obrade nije na jasan i točan način informirao svoje ispitanike o obradi njihovih osobnih podataka putem obavijesti o obradi osobnih podataka (politike privatnosti), a u pogledu pravne osnove kod povrata preplaćenih sredstava, što je protivno odredbi članka opće uredbe GDPR.
Time je došlo i do netransparentne obrade osobnih podataka ispitanika odnosno pogrešnog informiranja u pogledu pravne osnove obrade iz članka te uredbe, kojih je u trenutku provođenja nadzora bilo (najmanje) 132.652, a politika privatnosti ostala je nepromijenjena te povreda još nije otklonjena i traje od 25. svibnja 2018. do danas, navode iz AZOP-a.
"Protivno je uredbi i što voditelj obrade nije sklopio ugovor o obradi osobnih podataka s izvršiteljem obrade za uslugu praćenja jednostavnog stečaja potrošača", dodaju iz AZOP-a, objašnjavajući da je time ugrožena sigurnost osobnih podataka 83.896 ispitanika (OIB), budući da je sklapanje ugovora s izvršiteljem obrade jedna od svojevrsnih sigurnosnih poluga koja osigurava da su jasno ugovorena pravila obrade osobnih podataka.
Utvrđeno je i da je navedena povreda trajala od prihvata ponude za pružanje usluge praćenja jednostavnog stečaja potrošača, odnosno od 14. veljače 2019. do 26. veljače 2021. kada je došlo do prekida poslovne suradnje.
Iz AZOP-a navode i da taj voditelj obrade nije poduzimao odgovarajuće tehničke i organizacijske mjere zaštite kod obrade osobnih podataka.
Riječ je o podacima poput imena i prezimena, datumima rođenja, OIB-u, ali i drugih koji su zavedeni u sustavima pohrane agencije za naplatu potraživanja, a koji su financijske prirode te na taj način i prilično osjetljivi.