Iako je prošlo jedanaest dana otkako je hakerska skupina LockBit 3.0. napala Klinički bolnički centar Zagreb, građani i dalje ne znaju razmjere potencijalne štete, a pogotovo ne u vidu moguće povrede njihovih osobnih podataka.
Hakeri tvrde da su prilikom kibernetičkog napada uzeli podatke o pacijentima, zaposlenicima, pregledima i operacijama, organima i donorima, liječnička istraživanja te podatke iz banke tkiva. Od bolnice za te podatke traže uplatu otkupnine do 18. srpnja. Koliko ona iznosi javnosti nisu komunicirali ni bolnica niti nadležno ministarstvo. Po tom pitanju šute i Ministarstvo unutarnjih poslova, ali i Sigurnosno-obavještajna agencija.
Uz to što se ne zna jesu li ti podaci doista ukradeni i u kojem obimu, nepoznanica je i namjeravaju li hakeri podatke stvarno i objaviti.
HDZ-ov ministar zdravstva Vili Beroš izjavio je kako vjeruje da podaci neće biti objavljeni u hrvatskim medijima “jer je objava osobnih podataka, uključujući i zdravstvene podatke, protivna Zakonu o zaštiti osobnih podataka i odredbama GDPR-a”. Pacijentima i zaposlenicima KBC Zagreb to je slaba utjeha jednako kao i njegov apel građanima i medijima da je “loše čitati takve podatke jer su oni povjerljivi” te da to “nije niti moralno niti etično”.
Koliko je napad bio opasan pokazuje izjava šefa hrvatske Sigurnosno-obavještajne agencije Daniela Markića koji je prošli tjedan otkrio da je postojala i mogućnost da bolnica ostane bez podataka o pacijentima. “Zvao sam jutros ministra zdravstva i ravnatelja KBC-a Zagreb, uspjeli smo vratiti svu datoteku, zahvaljujem svojim stručnjacima, to je nevjerojatan pothvat. Uspjeli smo spasiti sve, još treba sagledavati što je ukradeno sve i koje će biti posljedice. Ono što je bitno za građane jest da je datoteka spašena”, kazao je Markić. Osim ako se ne radi o lapsusu u govoru Markića, čini se i da su svi podaci bili u jednoj jedinoj datoteci (?!).
“Meni je izjava da je datoteka spašena nevjerojatna i pokazuje jednu nekompetentnost. To da su spasili jednu datoteku koja je kopirana i tko zna gdje se po svijetu nalazi govori da sam sustav zaštite ne postoji”, izjavila je danas za N1 saborska zastupnica Centra, inače IT stručnjakinja, Marijana Puljak.
Je li bilo propusta oko čuvanja podataka?
Iz Agencije za zaštitu osobnih podataka (AZOP) Faktografu su odgovorili kako ih je, u skladu s člankom 33. Opće uredbe o zaštiti podataka, KBC Zagreb nakon kibernetičkog napada izvijestio o povredi osobnih podataka. Prema Uredbi, bolnica je to trebala učiniti najkasnije 72 sata od moguće povrede. Iz Agencije tvrde da je trenutačno u tijeku nadzorno postupanje nad bolnicom zbog moguće povrede osobnih podataka.
“U okviru nadzornog postupanja Agencija istražuje je li KBC Zagreb poduzeo odgovarajuće tehničke i organizacijske mjere kako bi osigurao odgovarajuću razinu sigurnosti s obzirom na rizik, a posebice uzevši u obzir obradu osobnih podataka značajnog broja ispitanika uključivo i obradu posebnih kategorija podataka odnosno podataka o zdravlju. Obzirom na to da je nadležno nadzorno postupanje u tijeku i još nije utvrđeno jesu li hakerskim napadom iz baze KBC-a Zagreb izuzeti (ili na drugi način bili ugroženi) osobni podaci te ukoliko jesu u kojem opsegu, Agencija u ovom trenutku ne može potvrditi nastup povrede osobnih podataka ispitanika do prikupljanja svih relevantnih informacija”, odgovorili su Faktografu iz AZOP-a.
Prijavite se na F-zin, Faktografov newsletter
Prijavom pristajete na Uvjete korištenja i Politiku privatnosti.
I dok su, dakle, nama tvrdili da tek istražuju je li bilo propusta u čuvanju osjetljivih informacija o građanima, iz Agencije su drugim medijima nekoliko dana ranije izjavili kako ih je ipak bilo.
“Naš primarni cilj je utvrditi da li je KBC primjenjivao adekvatne tehničko organizacijske mjere. Svakako sad možemo reći da određeni propusti su bili u određenim tehničkim mjerama koji su doprinijeli ovakvom događaju”, izjavio je 2. srpnja za Dnevnik Nove TV načelnik AZOP-ova Sektora za nadzor, istrage i zaštitu prava ispitanika Mario Milner. Na pitanje novinarke što ako se objave detalji iz zdravstvenih kartona, Milner je odgovorio nevjerojatnom trivijalizacijom: da u tom slučaju “može doći do nekakvih problema poslovne prirode ili obiteljske prirode, ukoliko se sazna da bolujete od nečeg što je bilo prepreka za ostvarivanje poslovnih nekih prava ili osobnih pa ćete možda imati probleme”.
Tijela javne vlasti izuzeta od kazni AZOP-a
Milner je u tom intervjuu rekao i kako još nisu utvrdili sve okolnosti i činjenice pa je teško reći “da ćemo nekom izreći novčanu kaznu”.
Nejasno je na kakvu je kaznu mislio budući da AZOP prema članku 47. Zakona o provedbi Opće uredbe o zaštiti podataka ne može novčano kazniti tijela javne vlasti.
Taj članak naslova “Isključenje primjene upravnih novčanih kazni na tijela javne vlasti” jasno propisuje iduće: “Ne dovodeći u pitanje izvršavanje ovlasti Agencije utvrđenih odredbom članka 58. Opće uredbe o zaštiti podataka, u postupcima koji se provode protiv tijela javne vlasti, tijelu javne vlasti ne može se izreći upravna novčana kazna za povrede ovoga Zakona ili Opće uredbe o zaštiti podataka.”
Na stranicama Povjerenika za informiranje moguće je provjeriti što sve spada pod tijela javne vlasti. Na tom popisu se nalazi i Klinički bolnički centar Zagreb. Dakle, ako istraga Agencije na kraju pokaže da je zaštita podataka bila manjkava, a podaci građana posljedično ukradeni i možda javno objavljeni, oni neće za to moći novčano kazniti bolnicu.
Šutnja KBC Zagreb
U Uredbi pak stoji da bi ako je vjerojatno da će povreda osobnih podataka prouzročiti visoki rizik za prava i slobode pojedinca “voditelj obrade trebao bez nepotrebnog odlaganja obavijestiti ispitanika o povredi osobnih podataka, kako bi on mogao poduzeti potrebne mjere opreza.” Dokument navodi i da bi obavijest trebala opisati prirodu povrede osobnih podataka, kao i preporuke kako bi dotični pojedinac mogao ublažiti potencijalne negativne učinke.
“Takva bi se obavijest ispitanicima trebala pružiti što je prije, u razumnim granicama, izvedivo i u bliskoj suradnji s nadzornim tijelom, poštujući njegove upute ili upute drugih relevantnih tijela vlasti, kao što su tijela za izvršavanje zakonodavstva”, stoji u Uredbi. Pa iako je i sam autor ovog teksta korisnik usluga KBC Zagreb, takvu obavijest nije dobio.
Autor je na službeni mail ustanove [email protected] poslao idući mail: “Poštovani, mogu li dobiti informaciju jesu li u hakerskom napadu kompromitirani moji osobni podaci? Prema Uredbi bolnica bi me trebala obavijestiti ako jesu.” Do objave ovog teksta nije stigao odgovor. U bolnici su očito procijenili da njihovi pacijenti ne zaslužuju znati u kakvoj su točno opasnosti. Možda opasnosti doista i nema, ali bi onda bilo korektno od KBC Zagreb, kojeg vodi HDZ-ov Ante Ćorušić, da to korisnicima čije podatke bolnica posjeduje i objasni.
Građani će morati dokazati pretrpljenu štetu
Što se tiče pokretanja moguće tužbe protiv KBC-a Zagreb, iz AZOP-a su nas usmjerili na članak 82. Opće uredbe o zaštiti podataka. On navodi kako svaka osoba koja je pretrpjela materijalnu ili nematerijalnu štetu zbog kršenja Uredbe ima pravo na naknadu od voditelja ili izvršitelja obrade za pretrpljenu štetu.
“Agencija nije nadležna za utvrđivanje naknade štete, već se postupak za ostvarivanje prava na naknadu vodi pred nadležnim sudom”, naglašavaju pritom iz AZOP-a.
U stvarnosti to znači da će građani koji su korisnici usluga KBC-a Zagreb morati pojedinačno tužiti za pretrpljenu štetu u slučaju da se njihovi zdravstveni podaci u međuvremenu i javno objave, s neizvjesnim ishodom.