Nova rekordna kazna za povredu osobnih podataka, nakon nedavne koju je platio B2 Kapital, izrečena je agenciji za naplatu potraživanja EOS Matrixu – AZOP im je danas odrezao čak 5,47 milijuna eura za povrede puno teže od onih koje je napravio B2. Terete ih što kao voditelj obrade podataka nisu poduzeli odgovarajuće tehničke mjere zaštite obrade osobnih podataka ispitanika sadržanih u sustavima pohrane, u prijevodu za "curenje“ podataka, što su obrađivali zdravstvene podatke dužnika u svojoj bazi, koji se tretiraju kao osobni podaci posebne kategorije, bez postojanja pravne osnove, što nisu na transparentan i propisani način informirali ispitanike o obradi njihovih zdravstvenih podataka u politikama privatnosti, kao i za snimanje telefonskih razgovora s ispitanicima u razdoblju od 25. svibnja 2018. godine do 16. siječnja 2019. godine, za što nisu imali utvrđenu pravnu osnovu.
Dužnike nisu ni adekvatno informirali o snimanja telefonskih razgovora. Obrađivali su i osobne podatke osoba koje nisu dužnici (najčešće telefonski broj te ime i prezime i adresu stanovanja), niti zakonski zastupnici nasljednika u dužničko-vjerovničkim odnosima, no najgori dio odnosi se na bilježenje podataka o maloljetnicima. No u tom dijelu ih AZOP ne tereti.
-Utvrđeno je kako se obrađuju samo u slučaju postojanja nasljedstva, darovanja te se u tim slučajevima proaktivna komunikacija u svrhu podmirenja duga provodi isključivo putem zakonskog zastupnika maloljetne osobe. Naime, EOS Matrix ne provodi naplatu prema maloljetnicima i u slučaju da zaprime podatke koji se odnose na maloljetnike, isto vraćaju pošiljatelju ili u slučaju nemogućnosti reotkupa dug otpisuje – piše u rješenju AZOP-a.
Sve to događa se netom nakon što je, nakon 15 godina nereguliranog poslovanja agencija za naplatu potraživanja konačno prije nekoliko dana u saborsku proceduru ušao zakon koji će ih regulirati - Prijedlog zakona o načinu, uvjetima i postupku servisiranja i kupoprodaje potraživanja. On, između ostalog, regulira i licenciranje agencija od strane HNB-a prema kojem mogu ostati bez dozvole za teže prekršaje. Znači li ova kazna da bi EOS Matrix mogao ostati bez licence za rad na hrvatskom tržištu?
Za razliku od B2 Kapitala koji je pokušao prikriti AZOP-ov nadzor u svom financijskom izvješću, zbog čega bi im vlasnike mogla dočekati i drakonska kazna norveškog regulatora do četiri posto ukupnih prihoda s obzirom da su u financijskom izvještaju naznačili da u 2022. nisu imali kršenja informacijske sigurnosti, EOS je informaciju o nadzoru AZOP-a stavio u svoje izvješće za 2022. kao „događaj nakon datuma izvještavanja".
AZOP u rješenju navodi da je 22. ožujka 2023. godine zaprimio anonimnu predstavku u kojoj se navodi kako je došlo do neovlaštene obrade većeg broja osobnih podataka fizičkih osoba (dužnika) od strane EOS Matrixa. Predstavci je priložen USB stick na kojemu je bio 181.641 osobni podatak fizičkih osoba čija je dugovanja cesijom preuzeo EOS. Navedeno je i kako su u bazi podataka 294 fizičke osobe koje su u vremenu sastavljanja baze podataka bile maloljetne. Po zaprimljenoj prijavi, AZOP je krenuo u nadzor.
- Upravo zbog manjkavosti u sustavu sigurnosti došlo je do nesigurne obrade osobnih podataka velikim brojem ispitanika te je društvo izgubilo nadzor nad kretanjem osobnih podataka njihovih ispitanika te nije moglo objasniti uzroke, ni načine eksfiltracije podataka, a što dodatno govori o lakosmislenosti postupanja s velikim brojem osobnih podataka njihovih ispitanika – stoji u AZOP-ovu obrazloženju.
Što se tiče obrade zdravstvenih podataka, utvrdili su kako je EOS Matrix nakon komunikacije s ispitanicima, u internoj bazi podataka uz određene ispitanike aktivno bilježio komentare koji se odnose na zdravstveno stanje, uključujući detalje dijagnoza i o terminalnim oboljenjima.
- Ako je cilj bolja naplata prema dužniku te izbjegavanje komuniciranja uslijed zdravstvenog stanja, tada bi se ista svrha mogla postići i bilježenjem generalnog komentara o potrebi izbjegavanja kontakta određeno vrijeme uslijed osobnog stanja dužnika, bez isticanja preciznih zdravstvenih podataka – pojašnjavaju u AZOP-u.
Nije utvrđeno kako su iz EOS-a procurili podaci, a za taj dio je nadležan MUP s kojim AZOP surađuje na slučaju kao i s Općinskim državnim odvjetništvom u Zagrebu koje provodi izvidne radnje.
Utjerivači dugova posluju bez ikakva nadzora godinama, kao obična poduzeća, iako barataju osjetljivim osobnim podacima dužnika koje su im ustupile banke čija su potraživanja otkupile. Banke su pritom solidarno odgovorne za povrede GDPR-a i dužnici mogu tužiti i njih i agencije. Prema informacijama kojima raspolažemo, a u nedavnom panelu o potrošačkom kreditiranju potvrdio je to i vicegiverner HNB-a Bojan Fras, u posljednje se vrijeme, nakon niza skandala vezanih uz poslovanje agencija, curenje podataka i moralni hazard menadžmenta nekih od njih, zbog čega je jedna izbačena i iz krovne udruge HUAN-a, puno manje trguje i dugovima. Banke su opravdano u strahu jer su odgovorne i za čuvanje bankovne tajne na način da nakon prodaje duga dužnik ne smije biti stavljen u lošiji položaj nego što je bio prema osnovnom vjerovniku. A dvije drakonske kazne utjerivačima dugova prilično zorno pokazuju u kakav su položaj stavljeni dužnici.
POVEZANI ČLANCI:
EOS Matrix odbacuje mogućnost neovlaštenog iznošenja osobnih podataka iz vlastite baze te je podnio kaznenu prijavu DORH-u
Povodom AZOP-ove kazne, priopćenje je dao i EOS Matrix, prenosimo ga u cijelosti:
Forenzička ispitivanja provedena od strane neovisne informatičke tvrtke utvrdila su kako se podaci dostavljeni AZOP-u značajno razlikuju od podataka koji se nalaze u EOS Matrix d.o.o. bazi podataka. Podaci koji su anonimno dostavljeni AZOP-u sadrže tri kategorije podatka – ime i prezime, datum rođenja i OIB te ne sadrže financijske ili bilo kakve druge podatke vezane isključivo uz poslovne procese EOS Matrixa.
Navedeno potvrđuje da EOS Matrix nije izvor podataka koji su bili predmetom nadzora AZOP-a. S ciljem provjere i potvrde razine zaštite podataka i stabilnosti sustava informacijske sigurnosti EOS Matrixa, provedena je i neovisna forenzička analiza. Provedene kontrole sustava i poslovnih procesa pokazale su kako nema dokaza da su podaci neovlašteno izneseni upravo iz sustava EOS Matrixa.
S ciljem utvrđivanja stvarnog izvora podataka dostavljenih AZOP-u i okolnosti vezanih uz navodno neovlašteno iznošenje osobnih podataka, EOS Matrix je dana 5. svibnja 2023. podnio kaznenu prijavu Općinskom državnom odvjetništvu u Zagrebu protiv nepoznatog počinitelja zbog osnovane sumnje u počinjenje teških kaznenih djela protiv računalnih sustava, programa i podataka, kao i za nedozvoljenu uporabu osobnih podataka.
Naglašavamo kako je od početka nadzornog postupka EOS Matrix u potpunosti surađivao s AZOP-om na transparentan način i dostavio AZOP-u svu traženu dokumentaciju u punom opsegu i u zadanim rokovima, te je bio na raspolaganju za sva potrebna pojašnjenja i dostavljanje dodatnih podataka.
EOS Matrix provodi opsežne organizacijske i tehničke mjere zaštite osobnih podataka. Visoko razvijeni standardi sigurnosti i zaštite osobnih podataka ispitanika predstavljaju osnovne preduvjete za postupak naplate duga. Od 2018. godine, EOS Matrix nositelj je certifikata informacijske sigurnosti ISO / IEC 27001:2013, koji je prepoznat kao jedan od najviših standarda međunarodne certifikacije u području informacijske sigurnosti i zaštite podataka. Također, naše tehničke i organizacijske mjere zaštite podataka vrlo su konkretne i jasno propisane internom dokumentacijom te su implementirane unutar društva.
Slijedom navedenoga, nakon detaljnog razmatranja AZOP-ovog rješenja, namjeravamo iskoristiti sve pravne lijekove koje imamo na raspolaganju radi zaštite vlastitih legitimnih interesa te poduzeti sve ostale pravne radnje u cilju očuvanja svojih prava, zaštite reputacije Društva i svih naših dionika.
VIDEO: Bolnica: Teško ozlijeđenog vatrogasca čeka još operacija, no uskoro bi mogao samostalno disati
5.57M€ je kazna. Dali FINA ima podatak koliko su do sada uprihodili "lihvarenjem"?