EOS Matrixu, tvrtki koja se bavi naplatom potreživanja, odnosno utjerivanjem dugova, Agencija za zaštitu osobnih podataka (AZOP) upravo je izrekla novčanu kaznu u iznosu od 5,47 milijuna eura (41,214 milijuna kuna).
Drakonska kazna AZOP-a uslijedila je nakon što su mediji u proljeće ove godine otkrili kako su iz agencije za naplatu potraživanja EOS Matrix procurili povjerljivi podaci 181.641 osobe, među kojima su bili i podaci tristotinjak maloljetnika.
U nastavku donosimo skraćeno AZOP-ovo priopćenje u cijelosti. “Voditelj obrade” se odnosi na tvrtku EOS Matrix
„1. Voditelj obrade nije poduzeo odgovarajuće tehničke mjere zaštite obrade osobnih podataka ispitanika sadržanih u sustavima pohrane
2. Voditelj obrade obrađivao je osobne podatke ispitanika koji nisu u dužničkovjerovničkom odnosu u svojoj bazi (aplikaciji) bez postojanja pravne osnove
3. Voditelj obrade je obrađivao osobne podatke posebne kategorije (zdravstvene podatke) ispitanika u svojoj bazi (aplikaciji) bez postojanja pravne osnove
4. Voditelj obrade nije na transparentan i propisani način informirao ispitanike o obradi njihovih zdravstvenih podataka u politikama privatnosti
5. Za snimanje telefonskih razgovora s ispitanicima voditelj obrade nije imao utvrđenu pravnu osnovu
6. Voditelj obrade nije na razumljiv i jasan način informirao ispitanike o obradi osobnih podataka u vidu snimanja telefonskih razgovora
Agencija za zaštitu osobnih podataka 22. ožujka 2023. godine zaprimila je anonimnu predstavku u kojoj se navodi kako je došlo do neovlaštene obrade većeg broja osobnih podataka fizičkih osoba (dužnika) od strane EOS Matrix d.o.o. Predstavci je priložen USB stick na kojemu se nalaze 181 641 osobnih podataka fizičkih osoba, a koji su imali nepodmireno dugovanje prema inicijalnim vjerovnicima koje je temeljem ugovora o cesiji otkupilo društvo EOS Matrix d.o.o.
Isto tako, u predmetnoj predstavci navedeno je kako se u bazi podataka nalazi i 294 fizičke osobe koje su u vremenu sastavljanja baze podataka bili maloljetni.
Po zaprimljenoj prijavi, Agencija je provela nadzorno postupanje nad voditeljem obrade, EOS Matrix d.o.o. utvrđeno je kako voditelj obrade nije implementirao dovoljne tehničke mjere zaštite koje bi mogle u sustavu obrade (glavnoj bazi podataka unutar koje obrađuje osobne podatke oko 370.000 ispitanika) pravovremeno prepoznati aktivnosti koje odudaraju od uobičajenih (npr. povećan broj dohvata podataka u bazi, prijenos podataka izvan sustava, kompromitacija korisničkog pristupa i dr.).
Sustav koji je mogao upozoriti na anomalije u sustavu obrade te o tome izvijestiti nadležne osobe putem alarma i/ili pokrenuti automatiziranu mjeru sprječavanja daljnjih mogućih neovlaštenih aktivnosti, implementiran je tek tijekom 2021. Upravo zbog manjkavosti u sustavu sigurnosti došlo je do nesigurne obrade osobnih podataka velikim brojem ispitanika te je društvo izgubilo nadzor nad kretanjem osobnih podataka njihovih ispitanika te nije moglo objasniti uzroke, ni načine eksfiltracije podataka, a što dodatno govori o lakosmislenosti postupanja s velikim brojem osobnih podataka njihovih ispitanika.
Naime, navedeni voditelj obrade nije na odgovarajući način proveo tehničke mjere kako bi osigurao odgovarajuću razinu sigurnosti s obzirom na rizik. U nadzornom postupanju, utvrđeno je kako je EOS Matrix d.o.o. obrađivao i osobne podatke osoba koje nisu dužnici (najčešće telefonski broj te ime i prezime i adresu stanovanja), niti zakonski zastupnici nasljednika u dužničko-vjerovničkim odnosima te za koje nije postojala pravna osnova da se njihovi osobni podaci aktivno unesu u bazu te dalje obrađuju u svrhe naplate potraživanja stvarnih dužnika.
Što se tiče obrade zdravstvenih podataka, utvrđeno je kako je EOS Matrix d.o.o. nakon komunikacije s ispitanicima, u internoj bazi podataka uz određene ispitanike aktivno bilježio komentare koji se odnose na zdravstveno stanje dužnika. Posebno je zabrinjavajuća situacija gdje je zdravstveno stanje predmetnih ispitanika bilo praćeno sve do detalja pojedinih dijagnoza koje su uključivale i terminalna oboljenja, a koja gotovo na maksimalnoj razini izlažu nečiju privatnost osobama koje su ovlaštene za pristup aplikaciji (bazi) koju koriste zaposlenici EOS Matrix-a d.o.o.
Isto tako, u razdoblju od 25. svibnja 2018. do 16. siječnja 2019. godine došlo je obrade osobnih podataka 49.850 ispitanika na način da su snimani telefonski razgovori bez utvrđenja pravne osnove.
Tijekom nadzornog postupanja, Agencija je utvrđivala i navode iz zaprimljene predstavke o obradi osobnih podataka maloljetnika te je utvrđeno je kako se isti obrađuju samo u slučaju postojanja nasljedstva, darovanja te se u tim slučajevima proaktivna komunikacija u svrhu podmirenja duga provodi isključivo putem zakonskog zastupnika maloljetne osobe.
Iako EOS Matrix d.o.o. negira da su osobni podaci izuzeti iz njihovog sustava pohrane te navodi da tim osobnim podacima raspolažu i tijela državne uprave, važno je za istaknuti kako podatak da je određena osoba u dužničko-vjerovničkom odnosu upravo s društvom EOS Matrix d.o.o. uz ostale osobne podatke, nema evidentiranih ni u jednom sustavu pohrane kod drugih institucija, osim u sustavu EOS Matrix-a d.o.o., dok pojedinačno primarni vjerovnici su mogli raspolagati samo s opsegom ograničenim na svoje klijente/dužnike, a čija dugovanja su prodali EOS Matrix-u d.o.o. Slijedom navedenog, nedvojbeno je utvrđeno kako su osobni podaci koji su Agenciji dostavljeni putem USB sticka izuzeti iz baze EOS Matrix-a d.o.o.”