Agencija za zaštitu ličnih podataka u Hrvatskoj izrekla je administrativnu kaznu u iznosu od 5.470.000,00 eura (41.213.715 kuna) EOS Matrix d.o.o. kao rukovaoca podataka zbog sledećih povreda Opšte uredbe o zaštiti podataka GDPR:
- Rukovalac podacima nije preduzeo odgovarajuće tehničke merezaštite obrade ličnih podataka ispitanika sadržanih u sistemima za skladištenje, a što je protivno članu 32. stavu 1. tačke b) i stavu 2. Opšte uredbe o zaštiti podataka.
- Rukovalac je obrađivao lične podatke ispitanika koji nisu u dužničko-poverilačkom odnosuu svojoj bazi (aplikaciji) bez postojanja pravne osnove (član 6. stav 1. Opšte uredbe o zaštiti podataka)
- Rukovalac je obrađivao lične podatke posebne kategorije (zdravstvene podatke)ispitanika u svojoj bazi (aplikaciji) bez postojanja pravne osnove (član 6. stav 1. sa tim u vezi i član 9. stav 2. Opšte uredbe o zaštiti podataka.
- Rukovalac nije na transparentan i propisani način informisao ispitanike o obradi njihovih zdravstvenih podatakau politikama privatnosti, a što je protivno članu 12. stavu 1. Opšte uredbe o zaštiti podataka kao i sa članom 13. stav 1. i 2. Opšte uredbe o zaštiti podataka.
- Za snimanje telefonskih razgovorasa ispitanicima u razdoblju od 25. maja 2018. godine do 16. januara 2019. godine, Rukovalac nije imao utvrđenu pravnu osnovu iz člana 6. stavka 1. Opšte uredbe o zaštiti podataka te je sa tim u vezi došlo do povrede i člana 5. stava 2. Opšte uredbe o zaštiti podataka.
- Rukovalac nije na razumljiv i jasan način informisao ispitanike o obradi ličnih podataka u vidu snimanja telefonskih razgovora, a čime je postupio protivno članu 12. stavku 1. Opšte uredbe o zaštiti podataka.
Da podsetimo koji zakon se primenjuje u Srbiji
Agencija za zaštitu ličnih podataka 22. marta 2023. godine dobila je anonimnu prijavu u kojoj se navodi kako je došlo do neovlašćene obrade većeg broja ličnih podataka fizičkih lica (dužnika) od strane EOS Matrix d.o.o.
Uz prijavu je priložen USB stick na kojme se nalaze 181.641 ličnih podataka fizičkih lica, kao što su ime i prezime, datum rođenja, JMBG, a koji su imali nepodmireno dugovanje prema inicijalnim poveriocima koje je ugovorom o cesiji otkupilo društvo EOS Matrix d.o.o. Isto tako, u predmetnoj prijavi navedeno je kako se u bazi podataka nalazi i 294 fizička lica koja su u vremenu sastavljanja baze podataka bila maloletna. Po pristigloj prijavi, Agencija je sprovela nadzorno postupanje nad rukovodiocem obrade, EOS Matrix d.o.o.
U pogledu navedene tačke 1., utvrđeno je kako Rukovalac nije implementirao dovoljne tehničke mere zaštite koje bi mogle u sistemu obrade (glavnoj bazi podataka unutar koje obrađuje lične podatke oko 370.000 ispitanika) pravovremeno prepoznati aktivnosti koje odudaraju od uobičajenih (npr. povećan broj dohvata podataka u bazi, prenos podataka izvan sistema, kompromitacija korisničkog pristupa i dr.).
Sistem koji je mogao upozoriti nadležne u firmi na postojeće propuste u sistemu obrade, putem alarma i/ili pokrenuti automatizovanu meru sprečavanja daljih neovlaštenih aktivnosti, implementiran je tek tokom 2021.
Upravo zbog manjkavosti u sistemu bezbednosti došlo je do nezakonite i nebezbedne obrade ličnih podataka velikog broja korisnika te je društvo izgubilo nadzor nad kretanjem ličnih podataka njihovih ispitanika i nije moglo objasniti uzroke, ni načine eksfiltracije podataka, a što dodatno govori o lakomislenosti postupanja sa tako velikim brojem ličnih podataka njihovih ispitanika.
Naime, navedeni Rukovalac nije na odgovarajući način proveo tehničke mere kako bi osigurao odgovarajući nivo bezbednosti u odnosu na rizik, a sve u skladu sa odredbama člana 32. Opšte uredbe o zaštiti podataka.
U nadzornom postupanju, utvrđeno je kako je EOS Matrix d.o.o. obrađivao i lične podatke osoba koje nisu dužnici (najčešće telefonski broj, ime i prezime i adresu stanovanja), niti zakonski zastupnici naslednika u dužničko-poverilačkim odnosima za koje nije postojala pravna osnova iz člana 6. stava 1. Opšte uredbe o zaštiti podataka, da se njihovi lični podaci aktivno unesu u bazu te dalje obrađuju u svrhe naplate potraživanja stvarnih dužnika.
Načela obrade podataka o ličnosti “Zakonitost, Poštenje i Transparentnost”
Što se tiče obrade zdravstvenih podataka, utvrđeno je kako je EOS Matrix d.o.o. nakon komunikacije sa ispitanicima, u internoj bazi podataka uz određene ispitanike aktivno beležilo komentare koji se odnose na zdravstveno stanje dužnika. Posebno je zabrinjavajuća situacija gde je zdravstveno stanje predmetnih ispitanika bilo praćeno sve do detalja pojedinih dijagnoza koja gotovo maksimalno izlažu nečiju privatnost osobama koje imaju pristup bazi podataka EOS Matrix-a d.o.o.
Naime, argumenti EOS Matrix-a d.o.o. kako su sami ispitanici dali takve informacije, ne znači da se isti mogu dalje aktivno unositi u bazu podataka te na taj način obogaćivati bazu i iste dalje obrađivati.
Da bi se takav zdravstveni podatak zabeležio i pratio, sam ispitanik bi takve podatke trebao izneti u javnosti (npr. putem sredstava javnog informisanja, društvenih mreža i sl.), a što se svakako ne odnosi na telefonski razgovor između dve osobe, koji se može smatrati vrstom poverljivog razgovora.
Na osnovu navedenog, ne može se smatrati da u konkretnom slučaju postoji izuzetak za obradu zdravstvenih podataka iz člana 9. stava 2.) Opšte uredbe o zaštiti podataka. Nadalje, pozivanje na pravnu osnovu u pogledu izvršavanja ugovora, kao i legitimnog interesa (na što se pozivalo predmetno društvo) isto ne može biti pravna osnova, budući da obrada zdravstvenih podataka nije nužna za postizanje predviđene svrhe. Ukoliko je cilj bolja naplata prema dužniku te izbegavanje komuniciranja usled zdravstvenog stanja, tada bi se ista svrha mogla postići i beleženjem generalnog komentara o potrebi izbegavanja kontakta određeno vreme usled stanja dužnika, bez isticanja preciznih zdravstvenih podataka.
Takođe, uvidom u prve tri politike privatnosti (koje su bile na snazi u periodu od 25. maja 2018. do 29. oktobra 2020. godine) utvrđeno je kako je EOS Matrix d.o.o. u istom definisao kako ne obrađuje te neće obrađivati zdravstvene podatke.
Razgovori se snimaju
Takvim načinom došlo je do netransparentne obrade ličnih podataka, budući da ispitanici nisu mogli očekivati da se njihovi zdravstveni podaci koje iznesu u telefonskom razgovoru aktivno beleže u bazi te da se dalje obrađuju, čime je došlo do povreda navedenih u tački 4. Ovim načinom obrade, ispitanici nisu znali da su njihovi zdravstveni podaci dostupni svim za to ovlaštenim osobama koje imaju pristup predmetnoj bazi podataka EOS Matrix d.o.o.
Isto tako, u razdoblju od 25. maja 2018. do 16. januar 2019. godine došlo je obrade ličnih podataka 49.850 ispitanika na način da su snimani telefonski razgovori bez utvrđenja pravne osnove iz člana 6. stavka 1. Opšte uredbe o zaštiti podataka te s tim u svezi povrede i odredbi člana 5. stava 2. Opšte uredbe o zaštiti podataka.
Naime, tek 16. januara 2019. godine EOS Matrix d.o.o. proveo je test legitimnog interesa te utvrdio da poseduje pravnu osnovu iz člana 6. stavka 1. tačke f) za snimanje telefonskih razgovora. U tom smislu, potrebno je navesti kako se legitimni interes dokazuje na način da Rukovalac pre trenutka obrade ličnih podataka mora dokazati kako u pogledu konkretne obrade ličnih podataka pretežu njegova prava da krene sa takvom obradom (konkretno snimanje telefonskih razgovora) u odnosu na interese te prava i slobode ispitanika odnosno dužnika.
U pogledu snimanja telefonskih razgovora, utvrđeno je kako EOS Matrix d.o.o. od 2014. godine (relevantno od 25. maja 2018. godine) koristi funkciju snimanja telefonskih razgovora sa dužnicima te tom prilikom naznačuje kako razgovor „može“ biti sniman.
Svi Rukovaoci kod bilo kakve obrade ličnih podataka dužni su da imaju proaktivnu komunikaciju prema ispitanicima i da jasnim, nedvosmislenim i razumljivim jezikom obaveste o načinu prikupljanja ličnih podataka kao i sva njihova prava iz Opšte uredbe o zaštiti podataka. Naime, upotrebom konstrukcije „može biti sniman“ dužnici nisu bili sigurni snima li se razgovor ili se isti može snimati samo u pojedinim situacijama, pa nisu niti znali obrađuju li se njihovi lični podaci na taj način ili ne.
EOS Matrix d.o.o. je trebao koristiti jasnu jezičnu formulaciju „ovaj razgovor se snima u svrhu…“ te bi takvim načinom bila ispoštovana odredba člana 12. stava 1. Opšte uredbe o zaštiti podataka, dok je na ovaj način došlo do kršenja iste.
Tokom nadzornog postupanja, Agencija je utvrđivala i navode iz prijave o obradi ličnih podataka maloletnika te je utvrđeno je kako se isti obrađuju samo u slučaju postojanja nasledstva, darovanja te se u tim slučajevima proaktivna komunikacija u svrhu podmirenja duga sprovodi isključivo putem zakonskog zastupnika maloletne osobe
Naime, EOS Matrix d.o.o. ne sprovodi naplatu prema maloletnicima i u slučaju da prime podatke koji se odnose na maloletnike, isto vraćaju pošiljaocu ili u slučaju nemogućnosti reotkupa dug otpisuje.
U konkretnom slučaju nije utvrđeno na koji je tačno način došlo do eksfiltracije 181 641 ličnih podataka, a s obzirom na to da je u konkretnom slučaju reč o mogućem izvršenju krivičnog dela neovlašćenog korišćenja podataka o ličnosti i krivična dela protiv računarskih sistema, programa i podataka, a isto je u nadležnosti MUP-a. Istovremeno, napominjemo da Agencija aktivno sarađuje sa PU zagrebačkom i Općinskim državnim odvjetništvom u Zagrebu, koji provode istražne radnje.
Naime, iako EOS Matrix d.o.o. negira da su lični podaci isključeni iz njihovog sistema čuvanja i navodi da takvim ličnim podacima raspolažu i organi državne uprave, ali je s tim u vezi važno istaći da je podatak da je određeno lice u dužničko-poverilačkom odnosu sa kompanijom EOS. Matrix d.o.o. uz ostale lične podatke, ne evidentiraju se ni u jednom sistemu skladištenja drugih institucija, osim u sistemu EOS Matrix d.o.o., dok su pojedinačni primarni poverioci mogli da raspolažu samo u obimu ograničenom na svoje klijente/dužnike, čije je dugove prodao EOS. Matrix- in d.o.o. Kao rezultat navedenog, nesumnjivo je utvrđeno da su podaci o ličnosti dostavljeni Agenciji putem USB stick-a isključeni iz baze podataka EOS Matrix d.o.o.
