Upravna novčana kazna u iznosu od 5.47 milijuna eura, izrečena je u četvrtak Agenciji za naplatu potraživanja EOS Matrix d.o.o. od strane Agencije za zaštitu osobnih podataka (AZOP) za čak šest prekršaja.
Tomašević o skandaloznom propustu: Otkrio je kako su objavljeni osobni podaci Zagrepčana
Kako su naveli u priopćenju, voditelj obrade nije poduzeo odgovarajuće tehničke mjere zaštite obrade osobnih podataka ispitanika sadržanih u sustavima pohrane, obrađivao osobne podatke ispitanika koji nisu u dužničko-vjerovničkom odnosu u svojoj bazi (aplikaciji) bez postojanja pravne osnove te isto tako obrađivao i osobne podatke posebne kategorije, odnosno zdravstvene podatke.
Voditelj obrade nije na transparentan i propisani način informirao ispitanike o obradi njihovih zdravstvenih podataka u politikama privatnosti, za snimanje telefonskih razgovora s ispitanicima u razdoblju od 25. svibnja 2018. godine do 16. siječnja 2019. godine, voditelj obrade nije imao utvrđenu pravnu osnovu i voditelj obrade nije na razumljiv i jasan način informirao ispitanike o obradi osobnih podataka u vidu snimanja telefonskih razgovora”, opisali su iz AZOP-a kako je EOS Matrix više članaka Opće uredbe o zaštiti podataka.
Anonimna predstavka
Iz AZOP-a su dodali i kako su 22. ožujka ove godine zaprimili, kako kažu, “anonimnu predstavku” da je EOS Matrixu došlo do neovlaštene obrade većeg broja osobnih podataka.
Predstavci je priložen USB stick na kojemu se nalaze 181 641 osobnih podataka fizičkih osoba u strukturi ime i prezime, datum rođenja te OIB, a koji su imali nepodmireno dugovanje prema inicijalnim vjerovnicima koje je temeljem ugovora o cesiji otkupilo društvo EOS Matrix d.o.o. Isto tako, u predmetnoj predstavci navedeno je kako se u bazi podataka nalazi i 294 fizičke osobe koje su u vremenu sastavljanja baze podataka bili maloljetni”, objasnili su iz AZOP-a i dodali da su nakon ove prijave proveli nadzorno postupanje nad voditeljem obrade u toj tvrtki.
“Utvrđeno je kako voditelj obrade nije implementirao dovoljne tehničke mjere zaštite koje bi mogle u sustavu obrade (glavnoj bazi podataka unutar koje obrađuje osobne podatke oko 370.000 ispitanika) pravovremeno prepoznati aktivnosti koje odudaraju od uobičajenih (npr. povećan broj dohvata podataka u bazi, prijenos podataka izvan sustava, kompromitacija korisničkog pristupa i dr.). Sustav koji je mogao upozoriti na anomalije u sustavu obrade te o tome izvijestiti nadležne osobe putem alarma i/ili pokrenuti automatiziranu mjeru sprječavanja daljnjih mogućih neovlaštenih aktivnosti, implementiran je tek tijekom 2021. Upravo zbog manjkavosti u sustavu sigurnosti došlo je do nesigurne obrade osobnih podataka velikim brojem ispitanika te je društvo izgubilo nadzor nad kretanjem osobnih podataka njihovih ispitanika te nije moglo objasniti uzroke, ni načine eksfiltracije podataka, a što dodatno govori o lakomislenosti postupanja s velikim brojem osobnih podataka njihovih ispitanika. Naime, navedeni voditelj obrade nije na odgovarajući način proveo tehničke mjere kako bi osigurao odgovarajuću razinu sigurnosti s obzirom na rizik”, upozorili su iz AZOP-a.
Pokušali se opravdati
Na udaru su se našli i osobni podaci osoba koji nisu dužnici ili zakonski nasljednici istih, većinom telefonski broj, ime, prezime i adresu stanovanja, a AZOP je otkrio i kako su se konkretno neovlašteno obradili zdravstveni podaci.
“Utvrđeno je kako je EOS Matrix d.o.o. nakon komunikacije s ispitanicima, u internoj bazi podataka uz određene ispitanike aktivno bilježio komentare koji se odnose na zdravstveno stanje dužnika. Posebno je zabrinjavajuća situacija gdje je zdravstveno stanje predmetnih ispitanika bilo praćeno sve do detalja pojedinih dijagnoza koje su uključivale i terminalna oboljenja, a koja gotovo na maksimalnoj razini izlažu nečiju privatnost osobama koje su ovlaštene za pristup aplikaciji (bazi) koju koriste zaposlenici EOS Matrix-a d.o.o.”, naveli su iz AZOP-a.
Dodali su i da su se iz EOS Matrixa pokušali opravdati time da su ispitanici sami dali takve informacije, ali nadzorna Agencija navodi da to nije izlika za aktivno unošenje tih podataka u bazu.
“Kako bi se moglo aktivno bilježiti nečiji zdravstveni podatak temeljem iznošenja istog od strane ispitanika, sami ispitanik bi takve podatke trebao iznijeti u javnosti (npr. putem sredstava javnog priopćavanja, društvenih mreža i sl.), a što se svakako ne odnosi na telefonski razgovor između dvije osobe, koji se može smatrati vrstom povjerljivog razgovora”, pojasnili su iz AZOP-a , ocijenivši situaciju tim drastičnijom, jer je EOS Matrix u razdoblju od 25. svibnja 2018. do 29. listopada 2020. godine u politikama privatnosti definirao da ne bude obrađivao zdravstvene podatke.
“Takvim načinom došlo je do netransparentne obrade osobnih podataka, budući da ispitanici nisu mogli očekivati da se njihovi zdravstveni podaci koje iznesu u telefonskom razgovoru aktivno bilježe u bazi te da se dalje obrađuju”, zaključili su iz AZOP-a.
