Na dark forumu prodaje se 200.000 OIB-ova Hrvata. AZOP traži pomoć policije

AGENCIJA za zaštitu osobnih podataka (AZOP) potvrdila je Indexu da će o navodima o prodaji baze s 200 tisuća osobnih podataka hrvatskih građana obavijestiti Ministarstvo unutarnjih poslova, koje je nadležno za postupanje u slučaju sumnje na kaznena djela.

Index je jutros objavio da isti korisnički profil koji je prošlog tjedna na dark forumu objavio bazu s podacima više od 560.000 učenika i nastavnika sada nudi novu bazu s 200.000 osobnih podataka građana. Prema objavi, baza sadrži četiri kategorije podataka: puno ime i prezime, datum rođenja, kućnu adresu i OIB.

U objavi se tvrdi da su podaci uzeti iz jedne privatne tvrtke još 2024. godine te da ta tvrtka proboj osobnih podataka nikada nije prijavila nadležnima.

"Možemo potvrditi kako Agencija u svojim evidencijama prijavljenih izvješća o povredi osobnih podataka, u odnosu na navedenu 2024. godinu, nije pronašla podudarnost s navodima iz predmetne objave", stoji u odgovoru koji smo dobili na novinarski upit.

AZOP u odgovoru Indexu navodi da je s cijelim slučajem upoznat isključivo preko medijskih napisa i objava na društvenim mrežama, a dodatne informacije očekuje kroz postupanje policije.

Prema objavi na dark forumu, ponuđeni podaci uključuju kombinaciju osobnih identifikacijskih i kontaktnih informacija, što bi, ako se pokaže autentičnim, moglo predstavljati značajan sigurnosni i privatnosni rizik za građane čiji se podaci nalaze u bazi.

U objavi tog korisničkog profila tvrdi se i da je svaki zaposlenik imao pristup internoj bazi podataka te da nije bilo nikakvih sigurnosnih mjera. Podaci se prodaju za 440 eura, odnosno 500 dolara, a plaćanje je moguće isključivo u kriptovalutama.

Autor objave tvrdi i da odgovorni u toj tvrtki proboj nikada nisu prijavili "zbog zabrinutosti oko europskog GDPR-a unutar tvrtke, pa je sve gurnuto pod tepih".

AZOP u odgovoru naglašava obveze koje proizlaze iz Opće uredbe o zaštiti podataka, odnosno GDPR-a. Prema toj uredbi, voditelji obrade dužni su nadzornom tijelu prijaviti povredu osobnih podataka.

Neispunjavanje te obveze, kao i neprovođenje odgovarajućih tehničkih i organizacijskih mjera zaštite, može dovesti do upravnih novčanih kazni do 10 milijuna eura, odnosno do dva posto ukupnog godišnjeg prometa na svjetskoj razini za poduzetnike.

"U slučaju da se utvrdi kako je došlo do povrede osobnih podataka koja nije prijavljena, odgovorni subjekti mogli bi se suočiti s ozbiljnim sankcijama predviđenima europskom regulativom", stoji u odgovoru AZOP-a.