Sve više kladionica zahtijeva verifikaciju identiteta korisnika, no pitanje je na koji način to rade i koliko je to sigurno? Nedavni slučaj u Hrvatskoj pokazao je kako nepropisna obrada osobnih podataka može dovesti do ozbiljnih posljedica. Agencija za zaštitu osobnih podataka (AZOP) izrekla je kaznu od 175.000 eura jednoj sportskoj kladionici jer je od korisnika tražila da za potrebe verifikacije pošalju kopiju osobne iskaznice putem e-maila, bez sigurnog sustava za prijenos takvih dokumenata.

Ovakva praksa, osim što predstavlja visok rizik za krađu identiteta i zloupotrebu podataka, ozbiljno krši GDPR propise. U nastavku objašnjavamo zašto slanje osobne iskaznice e-mailom nije sigurno i kako digitalna identifikacija rješava ovaj izazov brzo, jednostavno i u skladu sa zakonom.

GDPR kazna kladionici

Prema AZOP-u, sportska kladionica je u svrhu identifikacije korisnika i verifikacije njihovih računa na Internet stranici prikupljala širok spektar osobnih podataka korisnika: ime i prezime, datum rođenja, OIB, mjesto i datum izdavanja osobne iskaznice, adresu prebivališta, broj dokumenta i kopiju osobne iskaznice, kada korisnik zatraži svoju prvu isplatu. Međutim, obrada podataka se odvijala bez primjene odgovarajućih tehničkih mjera zaštite, što je protivno načelima Opće uredbe o zaštiti podataka (GDPR).

Nadzor je otkrio višestruke propuste:

• Slabe lozinke zaposlenika: pojedini zaposlenici koristili su lozinke od svega tri znaka, čime su osobni podaci postali lako dostupni neovlaštenim osobama.
• Pristup e-mail adresama s osobnim dokumentima bio je moguć s tih nezaštićenih računala, a u e-mailovima su se nalazili osobni podaci i preslike osobnih iskaznica velikog broja korisnika.
• Nesigurne veze (HTTP) korištene su za pristup administracijskom dijelu platforme, čime su dodatno ugroženi podaci u prijenosu.

Osim toga, utvrđeno je da:

• Nisu provedene mjere brisanja osobnih podataka po isteku razdoblja čuvanja, što je u suprotnosti s člankom 5. stavkom 1. točkom e. GDPR-a.
• Sigurnosne kopije podataka nisu rađene, iako je kladionica u tom trenutku obrađivala podatke 70.259 korisnika. Voditelj obrade naveo je visoki trošak kao razlog neimplementacije sigurnosnih kopija, što AZOP nije prihvatio kao opravdanje.

Zašto je slanje osobne iskaznice e-mailom rizično?

Slanje osobne iskaznice putem e-maila, korisnike izlaže značajnim rizicima:

• Curenju osobnih podataka: osobni dokumenti poslani e-mailom mogu biti presretnuti, pročitani ili zloupotrijebljeni. Ako treća strana dođe do kopije osobne iskaznice korisnika, svi podaci na njoj (ime, adresa, OIB, broj dokumenta, fotografija) mogu biti kompromitirani. U navedenom slučaju, zaposlenici su s računala sa slabom zaštitom mogli pristupiti e-mail inboxu s tisućama osobnih dokumenata korisnika, što znači da je mogućnost internog ili eksternog curenja podataka bila velika.
• Krađi identiteta: skenirana osobna iskaznica pruža vrlo mnogo informacija nekome tko želi ukrasti identitet korisnika. Na primjer, AZOP je upozoravao na slučajeve gdje prevaranti traže od osoba da im pošalju presliku osobne iskaznice (često pod izlikom nagradne igre ili nasljedstva), a zatim je iskoriste za sklapanje lažnih ugovora na ime te osobe.
• Gubitku povjerenja: sve veća svijest o zaštiti podataka znači da će korisnici dvaput razmisliti prije nego što pošalju osobne dokumente e-mailom. Kladionica ili bilo koja tvrtka koja inzistira na takvoj nesigurnoj proceduri riskira narušavanje povjerenja svojih klijenata. Mnogi korisnici s pravom se pitaju hoće li njihovi podaci biti sigurni slanjem putem nezaštićenog kanala, a negativan dojam može rezultirati gubitkom tih korisnika.

Zaštita osobnih podataka prema GDPR-u

Osim što je etički i reputacijski loše izlagati korisničke podatke riziku, Zakon o provedbi Opće uredbe o zaštiti podataka izričito obvezuje voditelje obrade (tvrtke) na primjenu najviših standarda zaštite osobnih podataka. Navedeni Zakon, kao i GDPR, u Hrvatskoj se primjenjuju od 2018. godine. GDPR tako propisuje obvezu primjene tehničkih i organizacijskih mjera koje osiguravaju sigurnost osobnih podataka, što uključuje enkripciju, kontrolu pristupa, jake lozinke, sigurnosne kopije i ograničeni pristup osjetljivim informacijama. Također, načelo minimizacije podataka nalaže da se prikupljaju i čuvaju samo oni podaci koji su nužni za svrhu obrade. Slanje i čuvanje skeniranih dokumenata bez odgovarajuće zaštite predstavlja višestruko kršenje ovih načela.

Ne investirati u sigurnost sada znači riskirati daleko veće gubitke kasnije, kroz visoke novčane kazne, ali i kroz moguću odštetu oštećenim korisnicima. AZOP i druge nadzorne institucije jasno poručuju da će loše prakse biti sankcionirane.

Kako kladionice mogu provjeriti identitet bez rizika?

Kako kladionice i druge tvrtke mogu provjeriti identitet korisnika na daljinu, a da pritom zaštite njihove podatke i budu zakonski usklađene? Rješenje leži u primjeni pouzdanih sustava za digitalnu identifikaciju. Moderna tehnologija omogućila je razvoj servisa koji eliminiraju potrebu za slanjem skenova osobnih dokumenata e-mailom. Umjesto toga, identitet korisnika može se verificirati sigurnim digitalnim kanalima, uz visoku razinu zaštite i automatiziranu provjeru autentičnosti podataka.

Mobilne aplikacije i web-portali za digitalnu identifikaciju omogućuju korisnicima sigurnu i jednostavnu verifikaciju identiteta na daljinu, tako da će automatski:

• Provjeriti vjerodostojnost dokumenta: je li dokument originalan (npr. provjerom sigurnosnih elemenata na dokumentu).
• Izvući relevantne podatke (poput imena, adrese, OIB-a, datuma rođenja) i usporediti ih sa službenim registrima ili bazama podataka tamo gdje je to moguće, a radi provjere točnosti.
• Potvrditi ključne atribute identiteta prema potrebi: npr. da je korisnik punoljetan, što je od kritične važnosti za kladionice. Zanimljivo je da ovakavi servisi mogu omogućiti i selektivno otkrivanje podataka: tvrtka može zatražiti samo potvrdu da je osoba 18+ ili provjeru određenog podatka, bez otkrivanja podataka cijele osobne iskaznice. Korisniku je tako zajamčena veća privatnost, jer dijeli samo ono što je nužno za svrhu provjere.
• Osigurati pohranu i dostupnost podataka u sigurnom okruženju: nakon završene verifikacije, podaci o identitetu korisnika dostupni su tvrtki putem zaštićenog sučelja. Nema potrebe da se čuva PDF/JPG kopija osobne iskaznice u nečijem e-mailu, već umjesto toga, tvrtka dobiva strukturirane podatke (ili potvrdu verifikacije) koje može čuvati u skladu s propisima o zaštiti podataka. Time se ujedno ispunjava i načelo minimizacije: zadržavaju se samo oni podaci koji su potrebni (npr. potvrda o uspješnoj provjeri i osnovni identifikacijski podaci), umjesto spremanja cijelog osobnog dokumenta.

Identyum kao lider u digitalnoj identifikaciji

Važno je naglasiti da su takva rješenja već dostupna na hrvatskom tržištu. Identyum  je specijaliziran za digitalnu identifikaciju i digitalni identitet te nudi ove servise kao gotova rješenja. Implementacija je najčešće fleksibilna, a uključuje integraciju putem API-ja ili SDK u web sustav kladionice ili u njene mobilne aplikacije. Time se i manjim priređivačima igara na sreću omogućuje da brzo podignu razinu sigurnosti na razinu banaka i financijskih institucija koje već odavno koriste te servise za online onboarding klijenata. Trošak takvih usluga ne predstavlja značajan teret u usporedbi s potencijalnim kaznama ili štetom od curenja podataka. Zapravo, korištenje digitalne identifikacije može dugoročno uštedjeti novac (automatizacijom procesa provjere, smanjenjem ručnog unosa podataka, sprječavanjem prijevara).

Navedena kazna nije samo upozorenje jednoj kladionici, to je poziv cijelom tržištu da preispita svoje sigurnosne prakse. Slanje osobnih dokumenata putem e-maila nije samo zastarjela metoda, već i opasna praksa koja krši zakon i izlaže korisnike riziku.

Vrijeme je da se kladionice (i sve druge organizacije koje verificiraju korisnike) okrenu sigurnim, digitalnim i zakonski usklađenim rješenjima koja štite i korisnike i njih.