Hrvatska Agencija za zaštitu osobnih podataka izrekla je upravnu novčanu kaznu u iznosu od 5.470.000,00 eura (41.213.715,00 kuna) EOS Matrix d.o.o. kao voditelju obrade zbog povreda Opće uredbe o zaštiti podataka.
Kako se navodi u obrazloženju, EOS Matrix nije poduzeo odgovarajuće tehničke mjere zaštite obrade osobnih podataka ispitanika sadržanih u sistemima pohrane, obrađivao je osobne podatke ispitanika koji nisu u dužničko-vjerovničkom odnosu u svojoj bazi (aplikaciji) bez postojanja pravne osnove , te je obrađivao osobne podatke posebne kategorije (zdravstvene podatke) ispitanika u svojoj bazi (aplikaciji) bez postojanja pravne osnove.
Takođe, kompanija nije na transparentan i propisani način informirala ispitanike o obradi njihovih zdravstvenih podataka u politikama privatnosti, a što je protivno Općoj uredbi o zaštiti podataka.
Za snimanje telefonskih razgovora s ispitanicima u razdoblju od 25. maja 2018. godine do 16. januara 2019. godine, EOS Matrix nije imao utvrđenu pravnu osnovu, a nije na razumljiv i jasan način informirao ispitanike o obradi osobnih podataka u vidu snimanja telefonskih razgovora, a čime je postupio protivno Općoj uredbi o zaštiti podataka.
Agencija za zaštitu osobnih podataka 22.marta 2023. godine zaprimila je anonimnu predstavku u kojoj se navodi kako je došlo do neovlaštene obrade većeg broja osobnih podataka fizičkih osoba (dužnika) od strane EOS Matrix d.o.o. Predstavci je priložen USB stick na kojemu se nalaze 181.641 osobnih podataka fizičkih osoba u strukturi ime i prezime, datum rođenja te OIB, a koji su imali nepodmireno dugovanje prema inicijalnim vjerovnicima koje je temeljem ugovora o cesiji otkupilo društvo EOS Matrix d.o.o. Isto tako, u predstavci navedeno je kako se u bazi podataka nalaze i 294 fizičke osobe koje su u vremenu sastavljanja baze podataka bili maloljetne.
Utvrđeno je kako EOS Matrix nije implementirao dovoljne tehničke mjere zaštite koje bi mogle u sistemu obrade (glavnoj bazi podataka unutar koje obrađuje osobne podatke oko 370.000 ispitanika) pravovremeno prepoznati aktivnosti koje odudaraju od uobičajenih (npr. povećan broj dohvata podataka u bazi, prijenos podataka izvan ssitema, kompromitacija korisničkog pristupa i dr.).
Sistem koji je mogao upozoriti na anomalije u sistemu obrade te o tome izvijestiti nadležne osobe putem alarma i/ili pokrenuti automatiziranu mjeru sprječavanja daljnjih mogućih neovlaštenih aktivnosti, implementiran je tek tokom 2021. Upravo zbog manjkavosti u sistemu sigurnosti došlo je do nesigurne obrade osobnih podataka velikim brojem ispitanika te je društvo izgubilo nadzor nad kretanjem osobnih podataka njihovih ispitanika te nije moglo objasniti uzroke, ni načine eksfiltracije podataka, a što dodatno govori o lakosmislenosti postupanja s velikim brojem osobnih podataka njihovih ispitanika.
Naime, navedeni EOS Matrix nije na odgovarajući način proveo tehničke mjere kako bi osigurao odgovarajući nivo sigurnosti s obzirom na rizik.
U nadzornom postupanju, utvrđeno je kako je EOS Matrix d.o.o. obrađivao i osobne podatke osoba koje nisu dužnici (najčešće telefonski broj te ime i prezime i adresu stanovanja), niti zakonski zastupnici nasljednika u dužničko-vjerovničkim odnosima te za koje nije postojala pravna osnova iz Opće uredbe o zaštiti podataka da se njihovi osobni podaci aktivno unesu u bazu te dalje obrađuju u svrhe naplate potraživanja stvarnih dužnika.
Što se tiče obrade zdravstvenih podataka, utvrđeno je kako je EOS Matrix d.o.o. nakon komunikacije s ispitanicima, u internoj bazi podataka uz određene ispitanike aktivno bilježio komentare koji se odnose na zdravstveno stanje dužnika. Posebno je zabrinjavajuća situacija gdje je zdravstveno stanje predmetnih ispitanika bilo praćeno sve do detalja pojedinih dijagnoza koje su uključivale i terminalna oboljenja, a koja gotovo na maksimalnoj osnovi izlažu nečiju privatnost osobama koje su ovlaštene za pristup aplikaciji (bazi) koju koriste zaposlenici EOS Matrix-a d.o.o. Naime, argumenti EOS Matrix-a d.o.o. kako su sami ispitanici dali takve informacije, ne znači da se isti mogu dalje aktivno unositi u bazu podataka te na taj način obogaćivati bazu i iste dalje obrađivati.
Također, uvidom u prve tri politike privatnosti (koje su bile na snazi u periodima od 25. maja 2018. do 29. oktobra 2020. godine) utvrđeno je kako je EOS Matrix d.o.o. u njkima definirao kako ne obrađuje te neće obrađivati zdravstvene podatke. Takvim načinom došlo je do netransparentne obrade osobnih podataka, budući da ispitanici nisu mogli očekivati da se njihovi zdravstveni podaci koje iznesu u telefonskom razgovoru aktivno bilježe u bazi te da se dalje obrađuju..
Isto tako, u razdoblju od 25. maja 2018. do 16. januara 2019. godine došlo je obrade osobnih podataka 49.850 ispitanika na način da su snimani telefonski razgovori bez utvrđenja pravne osnove. Tek 16. januara 2019. godine EOS Matrix d.o.o. proveo je test legitimnog interesa te utvrdio da posjeduje pravnu osnovu za snimanje telefonskih razgovora. U tom smislu, potrebno je navesti kako se legitimni interes dokazuje na način da voditelj obrade prije trenutka obrade osobnih podataka mora dokazati kako u pogledu konkretne obrade osobnih podataka pretežu njegova prava da krene s takvom obradom (konkretno snimanje telefonskih razgovora) u odnosu na interese te prava i slobode ispitanika odnosno dužnika.
Nadalje, a u pogledu snimanja telefonskih razgovora, utvrđeno je kako je EOS Matrix d.o.o. od 2014. godine (relevantno od 25. maja 2018. godine) koristio funkcionalnost snimanja telefonskih razgovora s dužnicima te tom prilikom naznačavao kako razgovor "može“ biti sniman. Svi voditelji obrade kod bilo kakve obrade osobnih podataka dužni su proaktivno komunicirati prema ispitanicima jasnim, nedvosmislenim i razumljivim jezikom sva njihova prava iz Opće uredbe o zaštiti podataka. Naime, upotrebom konstrukcije "može biti sniman“ dužnici nisu bili sigurni snima li se razgovor ili se može snimati samo u pojedinim situacijama, pa nisu niti znali obrađuju li se njihovi osobni podaci na taj način ili ne. EOS Matrix d.o.o. je trebao koristiti jasnu jezičnu formulaciju "ovaj razgovor se snima u svrhu…2 te bi takvim načinom bila poštivane odredbe Opće uredbe o zaštiti podataka, dok je na ovaj način došlo do njihovog kršenja.
Tokom nadzornog postupanja, Agencija je utvrđivala i navode iz zaprimljene predstavke o obradi osobnih podataka maloljetnika te je utvrđeno je kako se isti obrađuju samo u slučaju postojanja nasljedstva, darovanja te se u tim slučajevima proaktivna komunikacija u svrhu podmirenja duga provodi isključivo putem zakonskog zastupnika maloljetne osobe. Naime, EOS Matrix d.o.o. ne provodi naplatu prema maloljetnicima i u slučaju da zaprime podatke koji se odnose na maloljetnike, isto vraćaju pošiljatelju ili u slučaju nemogućnosti reotkupa dug otpisuje.
Iako EOS Matrix d.o.o. negira da su osobni podaci izuzeti iz njihovog sistema pohrane te navodi da tim osobnim podacima raspolažu i tijela državne uprave, važno je za istaknuti kako podatak da je određena osoba u dužničko-vjerovničkom odnosu upravo s društvom EOS Matrix d.o.o. uz ostale osobne podatke, nema evidentiranih ni u jednom sistemu pohrane kod drugih institucija, osim u sustavu EOS Matrix-a d.o.o., dok pojedinačno primarni vjerovnici su mogli raspolagati samo s opsegom ograničenim na svoje klijente/dužnike, a čija dugovanja su prodali EOS Matrix-u d.o.o. Slijedom navedenog, nedvojbeno je utvrđeno kako su osobni podaci koji su Agenciji dostavljeni putem USB sticka izuzeti iz baze EOS Matrix-a d.o.o, naveli su iz Agencije za zaštitu osobnih podataka.
Foto: EOS Matrix