UTJERIVAČIMA DUGOVA NAJVEĆA KAZNA DO SADA U bazi podataka imali maloljetnike, pratili zdravlje smrtno bolesnih dužnika
Agencija za zaštitu osobnih podataka (AZOP) Republike Hrvatske kaznila je tvrtku EOS Matrix s 5,47 milijuna eura. To je do sada najveća kazna određena tvrtkama koje se bave naplatom dugova. Iz poduzeća EOS Matrix procurilo je više od 181 tisuće osobnih podataka, a među njima su i podaci par stotina maloljetnih osoba, prenosi Telegram.
U Rješenju AZOP-a stoji kako voditelj obrade nije poduzeo odgovarajuće tehničke mjere zaštite obrade osobnih podataka, kao i da su “obrađivani osobni podaci ispitanika koji nisu u dužničko- vjerovničkom odnosu u svojoj bazi (aplikaciji) bez postojanja pravne osnove”. AZOP je utvrdio da je EOS Matrix obrađivao zdravstvene podatke ispitanika u svojoj bazi bez postojanja pravne osnove. Riječ je o osobnim podacima posebne kategorije. Utvrđeno je i da nisu na transparentan i propisani način informirali ispitanike o obradi njihovih zdravstvenih podataka u politikama privatnosti.
Obrađivali zdravstvene podatke građana
Pratili su i obrađivali i zdravstvene podatke ispitanika, stoji u rješenju AZOP-a. “Što se tiče obrade zdravstvenih podataka, utvrđeno je kako je EOS Matrix d.o.o. nakon komunikacije s ispitanicima, u internoj bazi podataka uz određene ispitanike aktivno bilježio komentare koji se odnose na zdravstveno stanje dužnika.”
Istraga AZOP-a je utvrdila i zaključila kako je posebno zabrinjavajuća situacija gdje je zdravstveno stanje predmetnih ispitanika bilo praćeno sve do detalja pojedinih dijagnoza koje su uključivale i terminalna oboljenja, a koja gotovo na maksimalnoj razini izlažu nečiju privatnost osobama koje su ovlaštene za pristup aplikaciji (bazi) koju koriste zaposlenici EOS Matrix-a d.o.o.
AZOP smatra da argumenti EOS Matrixa kako su sami ispitanici dali takve informacije, ne znači da se isti mogu dalje aktivno unositi u bazu podataka te na taj način obogaćivati bazu i iste dalje obrađivati. “Kako bi se moglo aktivno bilježiti nečiji zdravstveni podatak temeljem iznošenja istog od strane ispitanika, sami ispitanik bi takve podatke trebao iznijeti u javnosti (npr. putem sredstava javnog priopćavanja, društvenih mreža i sl.), a što se svakako ne odnosi na telefonski razgovor između dvije osobe, koji se može smatrati vrstom povjerljivog razgovora.”
Netransparentna obrada osobnih podataka
“Takvim načinom došlo je do netransparentne obrade osobnih podataka, budući da ispitanici nisu mogli očekivati da se njihovi zdravstveni podaci koje iznesu u telefonskom razgovoru aktivno bilježe u bazi te da se dalje obrađuju, čime je došlo do povreda navedenih u točki 4. Ovim načinom obrade, ispitanici nisu znali da su njihovi zdravstveni podaci dostupni svim za to ovlaštenim osobama koje imaju pristup predmetnoj bazi podataka EOS Matrix”, piše AZOP.
Snimali razgovore bez precizne informacije
Agencija navodi i da nisu jasno informirali ispitanike o obradi osobnih podataka prilikom snimanja telefonskih razgovora. “Za snimanje telefonskih razgovora s ispitanicima u razdoblju od 25. svibnja 2018. godine do 16. siječnja 2019. godine, voditelj obrade nije imao utvrđenu pravnu osnovu iz članka 6. stavka 1. Opće uredbe o zaštiti podataka te je s tim u vezi došlo do povrede i članka 5. stavka 2. Opće uredbe o zaštiti podataka”, piše u rješenju.
Agencija precizira da upotrebom konstrukcije „može biti sniman“ dužnici nisu bili sigurni snima li se razgovor ili se isti može snimati samo u pojedinim situacijama, pa nisu niti znali obrađuju li se njihovi osobni podaci na taj način ili ne.
Kako su se podaci maloljetnika našli u bazi
Utvrđena je i obrada podataka maloljetnih osoba. “U konkretnom slučaju nije utvrđeno na koji je točno način došlo do eksfiltracije 181 641 osobnih podataka, a s obzirom na to da je u konkretnom slučaju riječ o možebitnom počinjenju kaznenog djela nedozvoljene uporabe osobnih podataka te kaznenih djela protiv računalnih sustava, programa i podataka, te je isto u nadležnosti Ministarstva unutarnjih poslova. Pritom napominjemo kako Agencija aktivno surađuje sa Policijskom upravom zagrebačkom i Općinskim državnim odvjetništvom u Zagrebu koji provode izvidne radnje”, ističu.
Nadzor je pokazao kako je EOS Matrix obrađivao i osobne podatke osoba koje nisu dužnici, niti zakonski zastupnici nasljednika u dužničko-vjerovničkim odnosima te za koje nije postojala pravna osnova da se njihovi osobni podaci aktivno unesu u bazu te dalje obrađuju u svrhe naplate potraživanja stvarnih dužnika.
U ožujku je Index objavio kako je iz te tvrtke procurio 181.641 zapis, što je bilo najveće curenju osobnih podataka do sada. Najspornije je bilo što baza podataka EOS Matrixa sadržavala i osobne podatke 294 maloljetne. Drugo je to veliko curenje podataka nakon što je u prosincu prošle godine otvorena istraga zbog curenja 77 tisuća osobnih podataka iz tvrtke B2 Kapital, još jednog utjerivača dugova, odnosno agencije za naplatu potraživanja. AZOP je B2 Kapitalu izrekao upravnu novčanu kaznu u iznosu od 2.265.000 eura.