Alen Delić, stručnjak za sigurnost i zamjenik predsjednika Hrvatske udruge menadžera sigurnosti, u Newsroomu je komentirao curenje osobnih podataka iz tvrtke EOS Matrix, a među kojima se nalaze i podaci maloljetnika. Agencija za zaštitu osobnih podataka provodi nadzorno postupanje nad voditeljem obrade te tvrtke zbog moguće povrede osobnih podataka te su pozvali građane da pitaju EOS Matrix jesu li procurili njihovi podaci.
Stručnjak za sigurnost Alen Delić ističe da u ovom slučaju potencijalno može puno toga biti sporno.
“Što znači previše podataka”, pita Delić i nastavlja: “Ako smo broj telefona dali za jednu svrhu, a netko ga proslijedi za drugu, onda imamo problem. Cijela baza i osnova GDPR-a i zaštite podataka je da određeni set podataka možemo koristiti za svrhu koju smo dobili. Ako šaljemo za drugu svrhu bez pravnog temelja, onda je problem.”
“Ne može se 100% tvrditi da nije bilo curenja podataka”
Na pitanje može li se to nazvati curenjem podataka, rekao je:
“Ne mogu komentirati konkretan slučaj. Ako imamo situaciju da netko tko ne treba imati, a ima podatke, ako postoji USB ili nešto slično s podacima, to je čisto curenje podataka”, rekao je Delić i pojasnio:
“Curenje podataka nije termin koji se koristi u pravnoj terminologiji ni GDPR-u. Iz prakse dosad je Agencija zauzimala stav, kad dođe do curenja osobnih podataka, dolazi do nepravilne obrade podataka pa je Agencija i kažnjavala takve situacije. Institucije će utvrditi je li bilo curenja podataka. Ne postoji 100 posto siguran sustav i teško je sa stopostotnom sigurnošću tvrditi da se nešto nije dogodilo. Može se možda reći da nema dokaza ili da nema indicija, ali sto posto tvrditi da se negdje nešto nije desilo, to je van struke.”
Komentirajući priopćenje HUB-a prema kojem je odgovornost na novom vjerovniku koji je preuzeo naplatu dugova, Delić ističe:
“Što se tiče solidarne odgovornosti, to izlazi iz okvira zaštite osobnih podataka. Što se tiče štete za osobne podatke, ako je došlo do toga da postoji ugovorni odnos prijenosa podataka, onda je po logici stvari to primjenjivo. Ispričat ću vam moj osobni slučaj s Agencijom. Dobio sam dopis u kojem se potražuje moj dug nastao prije više od 10 godina, a te su podatke dobili od kompanije koja više ni ne postoji, ali ju je netko kupio. Tek nakon mjesec dana su ustanovili da nemam dug kao i da ne bi trebali imati moje podatke. Dobio sam agresivan dopis da imam određeni broj dana ili će biti sudski postupak.”
Prava građana i GDPR
Napominje da građani trebaju znati da imaju prava. Mogu ih tražiti od bilo kojeg voditelja osobnih podataka, imaju ih pravo pitati koje podatke imaju, što rade s njima, koja je pravna osnova… “Nikad, kad ne znamo s kim razgovaramo, ne bismo trebali davati osobne podatke”, napominje.
Dodaje da su podaci djece posebno osjetljiva kategorija osobnih podataka. “Čudno je kako je došlo do tih podataka i zašto bi netko te podatke obrađivao”, rekao je Delić.
Pa i kad netko kaže da pita nešto “temeljem zakona”, imamo pravo pitati – kojeg zakona, kojeg članka zakona, gdje to piše, kako su oni došli do određenih zaključaka, upozorava stručnjak.
Kaže da je stvar posebno problematična s modernom tehnologijom, no pretpostavlja da banke ne idu toliko duboko u analize kao neke druge kompanije: “Usporedimo to s bankama i procjenom kad rade analizu rizika za kredit. Primjerice, banke, budući da su visoko regulirane i jako granične s kojim setom podataka mogu donositi zaključke o kreditu, neće se upuštati u analizu društvenih mreža. Kad govorimo o nereguliranom području, pitanje je što se od toga smije ili ne smije raditi, a puno se može.”
Nije htio konkretnije komentirati slučaj s EOS Matrixom, ali je rekao da očekuje rezultate od nadležne agencije: “Najviše očekujemo aktivnosti od Agencije za zaštitu osobnih podataka. Ajmo vidjeti što će oni zaključiti jer su u sličnim slučajevima brzo i dobro reagirali.”
Vrativši se na neke ključne savjete, građane je podsjetio:
“Postoje i pismeni načini komunikacije. Svi imamo prava, kad god netko nazove, uvijek možemo pitati odakle broj i temeljem koje pravne osnove nas zovu i ako nam je odgovor nejasan, ne moramo razgovarati s takvim osobama. Svatko ima pravo poslati prigovor i prijaviti takve pozive Agenciji za zaštitu osobnih podataka.”
N1 pratite putem aplikacija za Android | iPhone/iPad i društvenih mreža Twitter | Facebook | Instagram.
Kakvo je tvoje mišljenje o ovome?
Pridruži se raspravi ili pročitaj komentare