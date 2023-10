Agenciji za naplatu potraživanja EOS Matrix d.o.o. izrečena je do sada najveća upravna novčana kazna po GDPR-u, od čak 5,47 milijuna eura. Tvrtka navodi da podaci nisu procurili njima i najavljuju sudsku bitku

Agencija za zaštitu osobnih podataka (AZOP) izrekla je novu rekordno visoku upravnu novčanu kaznu, u iznosu od 5,47 milijuna eura društvu EOS Matrix d.o.o. kao voditelju obrade, zbog niza utvrđenih povreda Opće uredbe o zaštiti podataka (GDPR). Do te je situacije došlo nakon što su u javnost navodno iz te agencije procurili brojni osobni podaci dužnika.

AZOP navodi da voditelj obrade nije poduzeo odgovarajuće tehničke mjere zaštite obrade osobnih podataka, obrađivao je osobne podatke ispitanika koji nisu u dužničko-vjerovničkom odnosu u svojoj bazi bez postojanja pravne osnove, a jednako tako obrađivao je i podatke posebne kategorije (zdravstvene podatke). Nadalje, nije na transparentan i propisani način informirao ispitanike o obradi njihovih zdravstvenih podataka te nije imao utvrđenu pravnu osnovu za snimanje telefonskih razgovora, što je provodio i bez razumljivog i jasnog informiranja ljudi o obradi njihovih osobnih podataka vezanog uz snimanje telefonskih razgovora.

Podaci dostavljeni na USB sticku

Agencija kaže da je 22. ožujka 2023. godine zaprimila anonimnu predstavku, u kojoj se navodi kako je došlo do neovlaštene obrade većeg broja osobnih podataka fizičkih osoba (dužnika) od strane EOS Matrix d.o.o. Predstavci je priložen USB stick na kojemu se nalaze osobni podaci 181.641 fizičkih osoba u strukturi ime i prezime, datum rođenja te OIB, a koji su imali nepodmireno dugovanje prema inicijalnim vjerovnicima koje je temeljem ugovora o cesiji otkupilo društvo EOS Matrix. U podužem objašnjenju AZOP obrazlaže sve pravne temelje te izriče upravnu novčanu kaznu u visini od 5,47 milijuna eura, ponovno rekordnu kaznu prema GDPR-u u Hrvatskoj. Do sada je, podsjetimo, neslavni rekorder bila također agencija za naplatu potraživanja, B2 Kapital d.o.o.

No, kažu i da u konkretnom slučaju nije utvrđeno na koji je točno način došlo do eksfiltracije 181.641 osobnih podataka, a s obzirom na to da je u konkretnom slučaju riječ o možebitnom počinjenju kaznenog djela, surađuju i s Policijskom upravom zagrebačkom te Općinskim državnim odvjetništvom u Zagrebu koji provode izvidne radnje.

"Iako EOS Matrix d.o.o. negira da su osobni podaci izuzeti iz njihovog sustava pohrane te navodi da tim osobnim podacima raspolažu i tijela državne uprave, no u vezi toga važno je za istaknuti kako podatak da je određena osoba u dužničko-vjerovničkom odnosu upravo s društvom EOS Matrix d.o.o. uz ostale osobne podatke, nema evidentiranih ni u jednom sustavu pohrane kod drugih institucija, osim u sustavu EOS Matrix-a d.o.o.", zaključuje AZOP.

Odgovor kažnjenih

EOS Matrix odbacuje mogućnost neovlaštenog iznošenja osobnih podataka iz vlastite baze te je podnio kaznenu prijavu DORH-u, a u svojem priopćenju navode sljedeće:

Forenzička ispitivanja provedena od strane neovisne informatičke tvrtke utvrdila su kako se podaci dostavljeni AZOP-u značajno razlikuju od podataka koji se nalaze u EOS Matrix d.o.o. bazi podataka. Podaci koji su anonimno dostavljeni AZOP-u sadrže tri kategorije podatka – ime i prezime, datum rođenja i OIB te ne sadrže financijske ili bilo kakve druge podatke vezane isključivo uz poslovne procese EOS Matrixa.

Navedeno potvrđuje da EOS Matrix nije izvor podataka koji su bili predmetom nadzora AZOP-a. S ciljem provjere i potvrde razine zaštite podataka i stabilnosti sustava informacijske sigurnosti EOS Matrixa, provedena je i neovisna forenzička analiza. Provedene kontrole sustava i poslovnih procesa pokazale su kako nema dokaza da su podaci neovlašteno izneseni upravo iz sustava EOS Matrixa.

S ciljem utvrđivanja stvarnog izvora podataka dostavljenih AZOP-u i okolnosti vezanih uz navodno neovlašteno iznošenje osobnih podataka, EOS Matrix je dana 5. svibnja 2023. podnio kaznenu prijavu Općinskom državnom odvjetništvu u Zagrebu protiv nepoznatog počinitelja zbog osnovane sumnje u počinjenje teških kaznenih djela protiv računalnih sustava, programa i podataka, kao i za nedozvoljenu uporabu osobnih podataka.

Naglašavamo kako je od početka nadzornog postupka EOS Matrix u potpunosti surađivao s AZOP-om na transparentan način i dostavio AZOP-u svu traženu dokumentaciju u punom opsegu i u zadanim rokovima, te je bio na raspolaganju za sva potrebna pojašnjenja i dostavljanje dodatnih podataka.

EOS Matrix provodi opsežne organizacijske i tehničke mjere zaštite osobnih podataka. Visoko razvijeni standardi sigurnosti i zaštite osobnih podataka ispitanika predstavljaju osnovne preduvjete za postupak naplate duga. Od 2018. godine, EOS Matrix nositelj je certifikata informacijske sigurnosti ISO / IEC 27001:2013, koji je prepoznat kao jedan od najviših standarda međunarodne certifikacije u području informacijske sigurnosti i zaštite podataka. Također, naše tehničke i organizacijske mjere zaštite podataka vrlo su konkretne i jasno propisane internom dokumentacijom te su implementirane unutar društva.

Slijedom navedenoga, nakon detaljnog razmatranja AZOP-ovog rješenja, namjeravamo iskoristiti sve pravne lijekove koje imamo na raspolaganju radi zaštite vlastitih legitimnih interesa te poduzeti sve ostale pravne radnje u cilju očuvanja svojih prava, zaštite reputacije Društva i svih naših dionika.