Sadržaj

Objavljeni podaci vrijede na dan objave. Organizacije koje nakon objave unaprijede zaštitu osobnih podataka pozivaju se da o tome dostave dokaze koje ćemo rado objaviti.

Hrvatski zavod za mirovinsko osiguranje

Način na koji Hrvatski zavod za mirovinsko osiguranje komunicira sa građanima, te bezobzirnost u kršenju najosnovnijih mjera zaštite osobnih podataka, kap su koja je prelila čašu i dovela do osnivanja stupa srama. Nedavno objavljeni  sramotno nizak Privacy Friendly score, čini se, samo je dokaz stvarnog stava HZMO-a prema zaštiti podataka.

Pokušate li kontaktirati ovu instituciju koja obrađuje posebne kategorije osobnih podataka svih građana RH i upravlja jednom od za njih najvažnijih baza podataka – mirovinskim sustavom, naići ćete na cijeli niz prepreka i sigurnosnih ugroza.

Poslušajte kako izgleda poziv na dežurni telefon HZMO-a, a u kratkom videozapisu pogledajte što vas sve čeka na web stranicama.

Vaši podaci uopće nisu zaštićeni

Na web stranici mirovinski.hr dočekat će vas upozorenje da se radi o nesigurnoj vezi. Što to znači? Poslužitelj web stranica HZMO sadržaj komunikacije sa svojim posjetiteljima uopće ne štiti. Svatko, ali apsolutno svatko tko ima pristup bilo kojem dijelu komunikacijskog puta između vašeg računala ili mobitela i web poslužitelja HZMO može vidjeti, pa čak i izmijeniti podatke koje šaljete ili primate. Pristupate li HZMO-u iz ureda, podatke tako može vidjeti mrežni administrator vaše tvrtke, tvrtke koja joj pruža uslugu pristupa internetu i svih ostalih internetskih pružatelja usluga kroz čije uređaje prolazi vaš promet. Ne zaboravite da kao običan korisnik u pravilu nemate utjecaja na putanju kojoj će promet biti preusmjeren, te da vaši podaci prije dolaska do poslužitelja HZMO-a mogu prođi kroz nekoliko država, pa i kontinenata. Nadalje, te podatke mogu vidjeti i djelatnici HZMO-a zaduženi za održavanje računalne mreže, kao i njihov pružatelj usluge pristupa internetu.

Svatko na ovoj putanji može podatke i krivotvoriti.

Podaci se prvo šalju u Google ,a onda se pita smije li se to

Vaše će pravo na zaštitu osobnih podataka biti prekršeno onog časa kad dođete na web stranicu mirovinsko.hr, jer tog su časa informacije o tom posjetu bez vašeg znanja poslane američkom tehnološkom divu Google-u. HZMO će vam doduše u trenutku posjeta pružiti izbor želite li ili ne želite prihvatiti kolačiće trećih strana (pomoću kojih se  vaši podaci šalju u Google), no u trenutku prikazivanja ovog izbora, kolačiće ćete već dobiti).

Telefonski kontakt centar koji ne radi

Nazovete li jedan od dva broja telefona objavljena za kontakt sa strankama, dobit ćete kontakt centar. Ovdje ćete slušati beskonačan niz poruka koje vas obavještavaju o zauzeću svih djelatnika kontakt centra i vašoj poziciji na listi čekanja. Na toj listi ne napredujete, već vam se povremeno dodjeljuju slučajni brojevi. Krenete s pete pozicije, dođete na četvrtu, treću, pa na sedmu, drugu … i tako neko vrijeme, sve dok HZMO ne prekine vezu. Zanimljivo je da vas kontakt centar obavještava kako uvijek možete pritisnuti „nula“ ukoliko ne želite čekati. Nije jasno što se događa pritiskom na tu tipku, ali čini se da nema utjecaja na učinkovitost kojom se HZMO brani od poziva osiguranika.

Upiti preko web stranice (srećom) ne rade

Kad odustanete od bezuspješnog kontaktiranja telefonom, možda uočite poveznicu na on-line obrazac koja se svojim dizajnom nikako ne uklapa u opće prihvaćene standarde korisničkih sučelja. Klikom na ovu poveznicu otvorit će se forma za unos upita u kojoj možete odabrati jednu od ponuđenih tema, unijeti tražene podatke i pitanje na koje želite odgovor. Klikom na „Pošalji upit“, ne događa se ništa. Srećom, jer podaci prilikom slanja ne bi bili zaštićeni. To uključuje sve informacije koje unesete u formi, ali i sve dokumente koje priložite. HZMO nije osigurao na najosnovnije mjere zaštite vaših podataka.

Neovlaštena obrada

Da stvar bude gora, HZMO u kontakt formi navodi kako je OIB neophodan podatak za odgovaranje na upit građana, što očito nije točno. Ne samo to, nego je i sam HZMO  pored polja za unos OIB-a dodao i oznaku „nemam OIB“ jer upit možda želi postaviti strani državljanin. razumljivo je da za upite ne neka pitanja HZMO-u treba OIB, no u takvom će se slučaju raditi i uvidu u osobne podatke što podiže i pitanje sigurnosti cijele ove procedure.

Štoviše, pokušate li od HZMO-a elektroničkim potem tražiti ispunjenje bilo kojeg prava vezanog uz zaštitu osobnih podataka, obavezni ste svoj identitet dokazati slanjem kopije osobne iskaznice. HZMO temeljem svoje djelatnosti ne vodi registar kopija osobnih iskaznica koji je izuzetno osjetljive prirode. Već smo svjedočili brojnim zlouporabama u kojima su se pomoću takvih kopija krivotvorili ugovori sa telekom operaterima, otvarali lažni računi i sl.  Uvođenje ovakve procedure nepotrebno izlaže riziku korisnike usluga HZMO-a.

Sumnjiva certifikacija

Čini se da su vodeće strukture već i prije bile svjesne sigurnosnih rupa pa u su u plan za 2020.  uključili i certificiranje informacijskog sustava po normi za upravljanje informacijskom sigurnošću. Ironično, certifikat su i dobili.  20.02.2020., pod velikim naslovom „Hrvatski zavod za mirovinsko osiguranje akreditiran međunarodnim ISO 27001:2013 standardom informacijske sigurnosti“ HZMO se hvali svojim dostignućima u području informacijske sigurnosti.  „Ovim Certifikatom potvrđuje se  da smo implementirali sigurnosne mjere radi očuvanja raspoloživosti, povjerljivosti i cjelovitosti informacija koje nastaju i koriste se u poslovnim procesima HZMO-a, a sve u skladu s važećim zakonskim propisima iz područja informacijske sigurnosti i zaštite osobnih podataka“, izjavio je tom prilikom Ivan Serdar, ravnatelj HZMO-a.

Evidentno nesigurnom HZMO-u, certifikat je uručila međunarodno akreditirana certifikacijska kuća, pa se postavlja i pitanje vrijednosti takvih certifikata i certifikacije temeljene na subjektivnom mišljenju revizora uopće.