Hrvaška: 5.470.000 EUR kazni za EOS Matrix
Hrvaški nadzorni organ je agenciji za izterjavo terjatev naložil upravno globo zaradi obdelave osebnih podatkov brez pravne podlage, neustreznega informiranja posameznikov in nezadostnih tehničnih ukrepov za zavarovanje osebnih podatkov
Novica je bila objavljena 5.10.2023
22. marca 2023 je hrvaški nadzorni organ prejel anonimno prijavo, da je prišlo do nedovoljene obdelave večjega števila osebnih podatkov fizičnih oseb (dolžnikov) s strani agencije za izterjavo EOS Matrix d.o.o. (upravljavec). Prijavi je bil priložen USB ključek, ki vsebuje 181.641 osebnih podatkov fizičnih oseb v strukturi imena in priimka, datuma rojstva in matične številke, ki so imele neporavnane obveznosti do kreditnih institucij, ki jih je odkupilo podjetje EOS Matrix d.o.o. na podlagi pogodbe o cesiji (odkup terjatev). Poleg tega je v predmetni prijavi navedeno, da je bilo 294 fizičnih oseb, vključenih v zbirko podatkov, v času sestavljanja zbirke podatkov mladoletnih.
Upravljavec v sistemu obdelave (glavna zbirka podatkov, v kateri se obdelujejo osebni podatki približno 370.000 posameznikov) ni izvedel zadostnih tehničnih ukrepov, ki bi lahko prepoznali aktivnosti, ki odstopajo od običajnih (npr. povečano število pridobivanj podatkov v bazi, prenos podatkov izven sistema, ogroženost uporabniškega dostopa itd.). Ugotovljeno je bilo, da je to v nasprotju z 32. členom GDPR. V času nadzora, ki ga je izvajal nadzori organ, je bilo ugotovljeno, da je upravljavec osebnih podatkov obdeloval tudi osebne podatke posameznikov, ki niso dolžniki niti zakoniti zastopniki dedičev v dolžniško-upniških razmerjih in za to obdelavo ni obstajala pravna podlaga po 6(1) GDPR.
V zvezi z obdelavo zdravstvenih podatkov je bilo ugotovljeno, da je upravljavec podatkov aktivno beležil pripombe v zvezi z zdravstvenim stanjem dolžnika (določenih posameznikov). Poleg tega je bilo spremljano zdravstveno stanje zadevnih subjektov s podrobnostmi o posameznih diagnozah, ki so vključevale neozdravljive bolezni in za katere dejavnosti obdelave ni veljala izjema v skladu s členom 9(2) GDPR. S pregledom prvih treh politik zasebnosti (ki so veljale med majem 2018 in oktobrom 2020) je bilo ugotovljeno, da se je upravljavec v teh dokumentih opredelil, da ne obdeluje in ne bo obdeloval zdravstvenih podatkov. Zato je bila obdelava osebnih podatkov netransparentna, kar ni v skladu s prvim odstavkom 12. člena ter prvim in drugim odstavkom 13. člena GDPR.
Poleg tega je upravljavec podatkov v obdobju od maja 2018 do januarja 2019 s snemanjem telefonskih pogovorov obdeloval podatke v zvezi z 49.850 posamezniki, ne da bi za to vzpostavil pravno podlago iz 1. odstavka 6. člena GDPR, kar vodi tudi do kršitev člena 5(2) GDPR.
Vir: EDPB
