SKANDAL oko tvrtke EOS Matrix, agencije za naplatu potraživanja iz koje je procurilo više od 181 tisuću osobnih podataka, među kojima su i podaci par stotina maloljetnih osoba, komentirao je za Index Duje Prkut, stručnjak za GDPR i izvršni direktor udruge Politiscope. 

>> Otkrivamo: Od utjerivača dugova procurili osobni podaci stotina maloljetnika

>> Index Istrage: Procurili osobni podaci 77 tisuća građana, njihovi OIB-ovi i dugovi

>> Banke dale brojeve mobitela utjerivačima dugova, istraga se širi

Prkut ističe kako je ovo prije svega poraz državne Agencije za zaštitu osobnih podataka (AZOP) koja nije provela aktivni nadzor nad utjerivačima dugova i bankama nakon što je prosincu otkriveno kako je iz tvrtke B2 Kapita, još jednog utjerivača dugova, iscurilo više od 77 tisuća osobnih podataka.

Radi se o prekomjernoj obradi jer za naplatu potraživanja nisu nužno potrebni podaci o nasljedniku

Stručnjak za GDPR ističe kako se u slučaju EOS Matrixa radi o prekomjernoj obradi jer za naplatu potraživanja nisu nužno potrebni podaci o nasljedniku, ako je klijent živ, a sve drugo predstavlja ozbiljne propuste u implementaciji GDPR pravila.

Podsjetimo, istražujući tvrtku EOS Matrix, pronašli smo u njihovim financijskim izvještajima da ta tvrtka kod procjene budućih novčanih tokova koristi model koji obrađuje potencijalne nasljednike i njihove međusobne odnose, odnosno obitelj. EOS Matrix ne negira da postoji ovaj model, no tvrdi da taj model "predstavlja intelektualno vlasništvo i kao takav ne iznosi se javnosti". 

"Skandali oko obrade osobnih podataka u ovim agencijama poklapaju se s raširenom percepcijom da se ionako radi o kvazi-bankarskim institucijama koje operiraju na rubu zakona. No, od agencija i obrade podataka koje vrše veći je problem inertnost AZOP-a", ističe Prkut u razgovoru za Index dodajući da je prošlo više od tri mjeseca od "breacha" u tvrtki B2 Kapital, kad su otkriveni sistemski problemi koji proizlaze iz pogrešnog tumačenja i primjene GDPR-a u bankama i agencijama. 

“Minimum minimuma” državnog AZOP-a

"Nakon otkrivanja kršenja prava velikog broja ispitanika, bilo bi primjereno da je AZOP proveo proaktivni nadzor nad uzorkom banaka i agencija. Na ovaj način bi se mogle detektirati i eventualne druge nelegalne obrade podataka. Umjesto toga, AZOP se samo jednom oglasio o ovom slučaju", naglašava Prkut. 

Kako dodaje stručnjak za GDPR, taj “minimum minimuma” koji AZOP daje u zaštiti naših osobnih podataka je postao standard rada institucije. Prkut smatra kako se još jednom razotkriva da AZOP nema ljudske i organizacijske kapacitete za smisleni nadzor nad implementacijom GDPR-a, niti se trenutni čelnik AZOP-a može za to izboriti. 

"Kao što predsjednik Vrhovnog suda vodi javnu kampanju protiv plijesni u sudskim dvoranama, ravnatelj AZOP-a bi trebao voditi kampanju osvještavanja javnosti o problemima vezanima uz zapošljavanje IT-ovaca za 6 tisuća kuna neto. No tako nešto ne očekujemo od osobe koja je u neovisnu instituciju prešla s mjesta pomoćnika ministra u vladi", odgovara Prkut. 

Podsjetili smo Prkuta kako maloljetne osobe ne mogu biti izvorna ugovorna strana u ugovorima s trećim osobama, niti bi se njihovi podaci trebali naći u ugovorima koji su bili predmet kupoprodaje potraživanja (cesije) potrošačkih ugovora. Stoga se nameće pitanje mogu li agencije za naplatu potraživanja naknadno skupljati i obrađivati podatke maloljetne djece.

Ovo zaslužuje financijsko kažnjavanje

"Teško je na takva pitanja jednoznačno odgovoriti s 'da' ili 'ne'. Načelno gledano, za bilo koji osobni podatak, koliko god bio osjetljiv, možemo smisliti stvarnu i pravnu situaciju u kojoj je obrada takvog podatka i zakonita i legitimna. U tom smislu, postoji pravna osnova da agencije, u slučaju smrti dužnika, obrađuju osobne podatke njegovih nasljednika", ističe Prkut dodajući kako bi neki od tih nasljednika mogli biti i maloljetnici.

Dakle, smatra Prkut, bila bi legitimna obrada osobnih podataka maloljetnika, ako se radi o nasljednicima imovine, i to tek nakon smrti dužnika, i samo u svrhu naplate potraživanja. Dakle, jasno je propisano što je dopušteno. 

"No ono što radi ova agencija izlazi izvan tih okvira i predstavlja grubo kršenje odredbi GDPR-a koje zaslužuje financijsko kažnjavanje. I nije problematično samo prikupljanje osobnih podataka maloljetnika, već je problematična takva obrada svih podataka", naglašava Prkut u razgovoru za Index. No, očigledno je da tvrtka EOS Matrix obrađuje podatke maloljetnih osoba i to kao potencijalne nasljednike duga. 

Agencija je trebala direktno kontaktirati i obavijestiti sve nasljednike dugom opterećene imovine

"Prvi je problem da čak ni ova situacija i vezana obrada podataka nije jasno opisana u njihovoj politici privatnosti, niti je navedena pravna osnova za obradu", smatra Prkut dodajući da je zakonska obaveza te tvrtke to detaljno navesti u svojim aktima i o tome transparentno izvijestiti ispitanike u politici privatnosti. 

"Agencija je trebala direktno kontaktirati i obavijestiti sve nasljednike dugom opterećene imovine, čije su osobne podatke prikupljali i obrađivali. Nadalje, radi se o prekomjernoj obradi jer za naplatu potraživanja nisu nužno potrebni podaci o nasljedniku, ako je klijent živ. Sve navedeno su ozbiljni propusti u implementaciji GDPR pravila", naglašava Prkut u razgovoru za Index. 

Prkut smatra da je daleko više problematično ono s čime se EOS Matrix hvali u svom financijskom izvještaju, iz kojeg proizlazi da tvrtka razvija model predikcije vjerojatnosti otplate dugovanja na temelju podataka, koji su prikupljeni i obrađeni u izričitu svrhu naplate potraživanja. 

Radi se o nezakonitoj obradi podataka

"Opisano izvještajem predstavlja zasebnu svrhu obrade podataka te se ista može smatrati legitimnom i zakonitom samo ako postoji i zasebna pravna osnova za obradu. Smjernice EDPB-a jasno propisuju da se za ovakve i slične obrade kao pravna osnova treba uzeti privola ispitanika, a ne legitimni interes", ističe Prkut dodajući da možemo tek pretpostaviti da propisane privole agencija nema, jer ova obrada uopće nije ni obuhvaćena politikom privatnosti tvrtke. 

Sukladno GDPR-u, nastavlja Prkut, u slučaju automatiziranog donošenja odluke koja uključuje profiliranje, ispitanik ima pravo prigovora na takvu obradu i tražiti da fizička osoba bude ta koja donosi odluku. 

"Ako se uistinu radi o automatiziranom odlučivanju koje uključuje profiliranje, način implementacije ovog modela u ovoj agenciji za naplatu dugovanja predstavlja grube povrede temeljenih odredbi GDPR-a", uvjeren je Prkut dodajući kako u ovom trenutku nije posve jasno kakav je to alat razvila ova agencija za naplatu potraživanja, jasno je samo da radi nezakonite obrade podataka. 

Prkut naglašava da se ne bi iznenadio da se radi o rješenju baziranom na AI-ju koji ima za cilj maksimizirati profit tvrtke. U slučaju agencija za naplatu potraživanja za svakog klijenta je jedna odluka uvijek ključna - kada je trenutak u kojem se kreće s prisilnim instrumentima naplate. 

Model koji treba agencijama

"To je osjetljiva odluka jer je za agenciju idealno da se svaki dug otplati u cijelosti te s prisilnom naplatom postoji realan rizik smanjene dobiti. S druge strane, prisilnu naplatu je potrebno pokrenuti kad je izvjesno da se dug neće otplatiti. Stoga se s ovim odlukama uvijek oteže. No što ako bismo imali model predikcije koji kaže da u određenoj kategoriji od 10 tisuća dužnika, njih 80 posto dogodine prestaje s vraćanjem duga?" pita se Prkut zaključujući kako je to itekako poslovno vrijedna informacija, jer omogućava da se za velik broj korisnika donese odluka koju agencija shvaća kao poslovno ispravnu i pravovremenu odluku, i prvom prilikom krene s prisilnom naplatom duga. 

Ako se radi o ovome, imamo sustav automatiziranog odlučivanja koji donosi odluke kojima se direktno utječe na živote ispitanika, njihova prava, ističe Prkut. 

"Nažalost, ovakve sustave automatiziranog odlučivanja tvrtke mogu skrivati od javnosti, klijenata i korisnika, koristeći složene propise o intelektualnom vlasništvu, autorskom pravu, industrijskim i poslovnim tajnama. To bi se sve ubrzo trebalo promijeniti s usvajanjem novog tzv. EU AI Act koji će između ostalog propisati minimalne standarde transparentnosti, pravo podnošenja prigovara na automatiziranu obradu podataka te brojne druge mehanizme zaštite ljudskih prava s ciljem očuvanja interesa ispitanika/korisnika i sprječavanja diskriminacije", kaže na kraju Prkut.