...situaciju da nazovemo govorni automat bilo koje banke ili kartičarske ustanove koji nas traži da unesemo OIB i zauzvrat dobijemo informacije o zadnjim transakcijama izvršenima našom bankovnom karticom, kupnjama u običnim ili online trgovinama, ljekarnama, specijalističkim zdravstvenim ustanovama, restoranima, naplatnim kućicama, svugdje gdje je kartica korištena.
Pri tom ne moramo dati svoj OIB, već slučajnim pogađanjem ili pronalaženjem tuđeg OIB-a na odbačenom komunalnom računu u kontejneru za papirni otpad ili u nekom od javno objavljenih registara te nasumičnim pozivanjem govornih automata banaka i kartičarskih ustanova zlonamjerna osoba može saznati zanimljive detalje iz života drugih osoba.
Naravno da takvo nešto nije moguće, osim u Španjolskoj gdje je banka upravo to "omogućila" svojim klijentima, ne vodeći računa o obvezama provođenja tehničkih i organizacijskih mjera zaštite osobnih podataka drugih osoba sa svrhom osiguranja trajne povjerljivosti i otpornosti sustava, kako to, između ostalog, nalaže članak 32. GDPR-a.
Banka je propustila osigurati da se ovakvim nasumičnim "cherry-picking" metodama ne može prodrijeti u tuđu privatnost i pristupiti tuđim osobnim podacima te je morala osigurati da se jednoznačna identifikacija stvarnog klijenta banke vrši sigurnim metodama, dodatnim unošenjem nekog koda, PIN-a, tokena ili druge informacije koju znaju samo klijent i banka.
Izrečena kazna iznosila je inicijalno 200.000 EUR, smanjena je na 120.000 EUR zbog plaćanja kazne odmah i priznanja banke da je pogriješila.
Više o španjolskom slučaju
https://gdprhub.eu/index.php?title=AEPD_(Spain)_-_PS/00362/2021&mtc=today
Photo by Anna Shvets from Pexels
