Prošli je tjedan jedna od najvećih američkih tvrtki za izračun kreditne sposobnosti Equifax objelodanila krađu osobnih podataka preko 140 milijuna svojih klijenata. To je gotovo pola populacije SAD-a! Dio oštećenih su građani EU, uglavnom Velike Britanije, zbog čega je ovaj slučaj dobio globalni karakter i postao test poligon za novu EU GDPR regulativu. Usporedimo kako bi nakon ovakvog događaja bio zaštićen jedan Hrvat, jedan građanin EU - Britanac, te jedan građanin zemlje koja je u EU na glasu kao zemlja koja baš ne drži do zaštite osobnih podataka - jedan Amerikanac.
No prvo, što se zapravo dogodilo?
Equifaxu ovo nije prvi slučaj curenja podataka. Način na koji je do curenja došlo ukazuje na sustavni nemar kada se radi o zaštiti osobnih podataka, a način na koji se uprava tvrtke ponijela tijekom incidenta postavlja niz moralno-etičkih pitanja. Do krađe podataka je došlo iskorištavanjem banalne ranjivosti web aplikacije koje je navodno trajalo od svibnja do kraja srpnja. Postojanje takve ranjivosti na informacijskom sustavu ovakve institucije je neoprostivo. Arhitektura informacijskog sustava koja nije detektirala neovlašteni pristup web aplikacije tolikoj količini podataka također puno govori o odnosu Equifaxa prema osobnim podacima klijenata. Da stvar bude bolja, Equifax je putem kompromitirane web stranice za 20 dolara prodavao i notifikaciju u slučaju cyber krađe identiteta?!
I to nije sve.
Brojevi kreditnih kartica nekoliko stotina tisuća korisnika koji su ove usluge platili online, također su ukradeni. Uprava Equifaxa je slučaj držala u tajnosti do 7. rujna, no neki su članovi uprave neposredno prije objavljivanja informacije o curenju podataka prodali ozbiljne količine vlastitih dionica tvrtke. Konačni će epilog ovog događaja donijeti nadležni sudovi, no stvari ne izgledaju dobro ni za Equifax, ni za upravu, ni za preko 140 milijuna oštećenih.
Što bi bilo u Hrvatskoj, Velikoj Britaniji, a što u Americi?
Prema članku 26. Zakona o zaštiti osobnih podataka, mali hrvatski čovjek može nadoknadu štete zatražiti sudskim putem u skladu s općim propisima o nadoknadi štete. Problem je što takav postupak nije jeftin, a nedostatak sudske prakse i svijesti o vrijednosti osobnog podatka u Hrvatskoj vrlo bi vjerojatno rezultirali niskom procijenjenom štetom. Nižom od troška tužbe. Hrvatski pravni sustav ne predviđa mogućnost grupne tužbe zbog čega bi se mali čovjek sam suočio s velikom i moćnom tvrtkom i cijelom četom njezinih odvjetnika. Vrlo obeshrabrujuće.
Istovremeno, postojeći Zakon o zaštiti osobnih podataka predviđa kaznu za pravnu osobu do maksimalnih 40.000 kuna te za odgovornu osobu pravne osobe do 10.000 kuna. Kad bi se slučaj poput Equifaxa dogodio u Hrvatskoj, tvrtka i uprava bi u najgorem slučaju prošli sa 50.000 kuna kazne, od čega oštećeni mali čovjek ne bi dobio ništa.
U Velikoj Britaniji kazna za tvrtku može biti do 500.000 funti, što je po današnjem slabom tečaju nešto više od 4 milijuna kuna. Preko 100 puta više nego u Hrvatskoj. Britanac će također odštetu morati tražiti sudskim putem, no u svojoj borbi protiv moćne korporacije neće biti sam. Britansko pravo poznaje model grupne tužbe prema kojoj jedna oštećena osoba može pokrenuti sudski postupak u ime svih, što je mnogo ravnopravnije, učinkovitije i jeftinije. A Amerikanac? Grupna tužba protiv Equifaxa pokrenuta je tek jedan dan nakon objave incidenta. Tražena naknada je 70 milijardi dolara, odnosno 490 dolara po oštećenom. Ponašanjem uprave bavit će se neki drugi zakoni. Prema novoj EU GDPR regulativi, tvrtka bi platila i do 4 posto ukupnog godišnjeg prihoda kazne. U slučaju Equifaxa, oko 125 milijuna dolara.
U svibnju 2018. počinje se primjenjivati nova EU Uredba o zaštiti osobnih podataka koja za prekršitelje predviđa enormno visoke kazne, a malog čovjeka opet ostavlja na milost i nemilost domaćeg zakonodavstva. Novi Zakon o zaštiti osobnih podatka koji izlazi ovih dana trebao bi voditi računa i o malom čovjeku.
Hoće li? Vidjet ćemo.
---------------------
.jpg)
* Autor je suosnivač Ostendo Consultinga, specijalizirane tvrtke koja o informacijskoj sigurnosti i sukladnosti savjetuje tvrtke iz SAD-a i Europe