AGENCIJA za zaštitu osobnih podataka (AZOP) kaznila je EOS Matrix s 5.7 milijuna eura, što je do sada najveća kazna. Podsjetimo, od utjerivača dugova tvrtke EOS Matrix procurilo je više od 181 tisuće osobnih podataka, a među njima su i podaci par stotina maloljetnih osoba.

Istraga je utvrdila da su obrađivani podaci osoba koje nisu njihovi dužnici kao i da su obrađivani zdravstveni podaci, odnosno da su utjerivači dugova imali podatke o detaljnim zdravstvenim dijagnozama svojih klijenata. 

>> Otkrivamo: Od utjerivača dugova procurili osobni podaci stotina maloljetnika

Drugo je to veliko curenje podataka nakon što je u prosincu prošle godine otvorena istraga zbog curenja 77 tisuća osobnih podataka iz tvrtke B2 Kapital, još jednog utjerivača dugova, odnosno agencije za naplatu potraživanja. AZOP je B2 Kapitalu izrekao upravnu novčanu kaznu u iznosu od 2.265.000 eura. 

Negirali curenje podataka

Podsjetimo, Index je prvi u ožujku ove godine objavio kako je od utjerivača dugova procurio 181.641 zapis, a osim činjenice da je riječ o najvećem curenju osobnih podataka do sada, sporno je što je baza podataka EOS Matrixa sadržavala i osobne podatke 294 maloljetne osobe te je razvidno kako su ovi utjerivači dugova skupljali osobne podatke o maloljetnicima.

"Uvidom u vlastite sustave, EOS Matrix je utvrdio kako se sigurnosni proboj nije dogodio, niti je utvrđeno interno neovlašteno postupanje s osobnim podacima. Isto nije utvrđeno niti prethodnim kontinuiranim i intenzivnim provjerama informacijskih sustava", stajalo je u posebnom priopćenju tvrtke EOS Matrix nakon što smo objavili članak o curenju podataka iz te tvrtke. 

Obrađivali i zdravstvene podatke 

U Rješenju AZOP-a stoji kako voditelj obrade nije poduzeo odgovarajuće tehničke mjere zaštite obrade osobnih podataka, kao i da su "obrađivani osobni podaci ispitanika koji nisu u dužničko-vjerovničkom odnosu u svojoj bazi (aplikaciji) bez postojanja pravne osnove". 

AZOP je utvrdio da je EOS Matrix obrađivao osobne podatke posebne kategorije (zdravstvene podatke) ispitanika u svojoj bazi (aplikaciji) bez postojanja pravne osnove, kao i da nisu na transparentan i propisani način informirali ispitanike o obradi njihovih zdravstvenih podataka u politikama privatnosti. 

"Za snimanje telefonskih razgovora s ispitanicima u razdoblju od 25. svibnja 2018. godine do 16. siječnja 2019. godine, voditelj obrade nije imao utvrđenu pravnu osnovu iz članka 6. stavka 1. Opće uredbe o zaštiti podataka te je s tim u vezi došlo do povrede i članka 5. stavka 2. Opće uredbe o zaštiti podataka", piše u dijelu rješenja, kao i da nisu na razumljiv i jasan način informirali ispitanike o obradi osobnih podataka u vidu snimanja telefonskih razgovora. 

Imali su detaljne dijagnoze svojih klijenata 

"Što se tiče obrade zdravstvenih podataka, utvrđeno je kako je EOS Matrix d.o.o. nakon komunikacije s ispitanicima, u internoj bazi podataka uz određene ispitanike aktivno bilježio komentare koji se odnose na zdravstveno stanje dužnika", utvrdila je istraga AZOP-a u kojoj se zaključuje da je posebno zabrinjavajuća situacija gdje je zdravstveno stanje predmetnih ispitanika bilo praćeno sve do detalja pojedinih dijagnoza koje su uključivale i terminalna oboljenja, a koja gotovo na maksimalnoj razini izlažu nečiju privatnost osobama koje su ovlaštene za pristup aplikaciji (bazi) koju koriste zaposlenici EOS Matrixa d.o.o. 

Branili se da su im ispitanici sami dali podatke

Argumente EOS Matrixa d.o.o. kako su sami ispitanici dali takve informacije AZOP nije prihvatio.

"Kako bi se moglo aktivno bilježiti nečiji zdravstveni podatak temeljem iznošenja istog od strane ispitanika, sami ispitanik bi takve podatke trebao iznijeti u javnosti (npr. putem sredstava javnog priopćavanja, društvenih mreža i sl.), a što se svakako ne odnosi na telefonski razgovor između dvije osobe, koji se može smatrati vrstom povjerljivog razgovora", navodi AZOP. 

U AZOP-u kažu da u konkretnom slučaju nije utvrđeno na koji je točno način došlo do eksfiltracije 181.641 osobnog podatka, s obzirom na to da je u konkretnom slučaju riječ o možebitnom počinjenju kaznenog djela nedozvoljene uporabe osobnih podataka te kaznenih djela protiv računalnih sustava, programa i podataka te je isto u nadležnosti Ministarstva unutarnjih poslova. 

Podaci nedvojbeno pripadaju EOS Matrixu

"Agencija aktivno surađuje s Policijskom upravom zagrebačkom i Općinskim državnim odvjetništvom u Zagrebu koji provode izvidne radnje. Naime, iako EOS Matrix d.o.o. negira da su osobni podaci izuzeti iz njihovog sustava pohrane te navodi da tim osobnim podacima raspolažu i tijela državne uprave, no u vezi toga važno je za istaknuti kako podatak da je određena osoba u dužničko-vjerovničkom odnosu upravo s društvom EOS Matrix d.o.o. uz ostale osobne podatke, nema evidentiranih ni u jednom sustavu pohrane kod drugih institucija, osim u sustavu EOS Matrix-a d.o.o", ističe AZOP dodajući da su pojedinačno primarni vjerovnici mogli raspolagati samo s opsegom ograničenim na svoje klijente odnosno dužnike, a čija dugovanja su prodali EOS Matrix-u d.o.o. 

"Nedvojbeno je utvrđeno kako su osobni podaci koji su Agenciji dostavljeni izuzeti iz baze EOS Matrixa d.o.o", zaključuje se na kraju. 

U nastavku se nalazi priopćenje AZOP-a u cijelosti. 

Najveća kazna za curenje podataka by Ilko Ćimić on Scribd