Dne 5. října 2023 zasadila chorvatská agentura pro ochranu osobních údajů (dále jenom „Agentura“) významnou ránu společnosti EOS Matrix d.o.o. specializující se na vymáhání dluhů (dále jenom „EOS Matrix d.o.o.“). Agentura jí uložila pokutu ve výši ohromujících 5,47 milionu EUR kvůli několika porušením nařízení GDPR.
Vymáhání dluhů v rozporu s GDPR
Agentura zjistila několik klíčových porušení pravidel pro zpracování osobních údajů inkasní společností EOS Matrix d.o.o. Tato porušení zahrnovala různé aspekty ochrany osobních údajů, zejména:
Nedostatečná technická opatření: Společnost EOS Matrix d.o.o. nedokázala zavést vhodná technická opatření k ochraně osobních údajů subjektů údajů uložených v jejich systémech. Toto nedostatečné zabezpečení bylo přímým porušením článku 32 GDPR.
Nezákonné zpracování osobních údajů: Agentura zjistila, že společnost EOS Matrix d.o.o. zpracovávala osobní údaje jednotlivců, kteří nebyli zapojeni do vztahu věřitel-dlužník. Tato činnost probíhala bez jasného právního základu a porušovala článek 6 odst. 1 GDPR.
Manipulace s údaji o zdraví bez oprávnění: Bylo zjištěno, že společnost EOS Matrix d.o.o. zpracovávala osobní údaje zvláštní kategorie, konkrétně údaje o zdraví, bez právního základu (protože je k vymáhání nepotřebovala), jak je vyžadováno v článku 6 odst. 1 a článku 9 odst. 2 nařízení GDPR.
Nedostatek transparentnosti: Agentura zjistila, že společnost EOS Matrix d.o.o. neposkytla subjektům údajů transparentní informace o zpracování jejich zdravotních údajů, jak je vyžadováno v článku 12 odst. 1 a 13 odst. 1 a 2 GDPR.
Neoprávněné nahrávání telefonických rozhovorů: Společnost nahrávala telefonické rozhovory se subjekty údajů bez stanovení právního základu, jak je uvedeno v článku 6 odst. 1 GDPR. Tato činnost také porušovala článek 5 odst. 2 GDPR, protože, nahrávání hovorů s vymáhanými osobami nebylo nezbytné, respektive bylo vyhodnoceno jako nepřiměřené k účelům, pro které je společnost EOS Matrix d.o.o. nahrávala.
Nesdělení informací subjektům údajů: EOS Matrix d.o.o. opomněla jasně a srozumitelně informovat subjekty údajů o nahrávání telefonických rozhovorů, což bylo opět v rozporu s článkem 12 odst. 1 GDPR.
Na porušení GDPR upozornil whistleblower
Vyšetřování společnosti EOS Matrix d.o.o. bylo zahájeno po anonymní stížnosti podané dne 22. března 2023. Stížnost uváděla, že dochází k neoprávněnému zpracování velkého množství osobních údajů osob (dlužníků).
K této stížnosti byl přiložen USB klíč s 181.641 záznamy osobních údajů, včetně jmen, dat narození a osobních identifikačních čísel osob s neuhrazenými dluhy vůči původním věřitelům, které společnost EOS Matrix d.o.o. získala. Mimořádnou obavu u Agentury vyvolávala také skutečnost, že databáze obsahovala 294 nezletilých osob (v době shromáždění údajů).
Nedostatky v bezpečnostních systémech
Agentura zjistila, že společnost EOS Matrix d.o.o. neměla účinný systém pro rozpoznávání a signalizaci anomálií a neobvyklého chování IT systémů při zpracování údajů. To způsobilo nedostatečně nastavené zabezpečení velkého množství osobních údajů, což nakonec vedlo k celkové ztrátě kontroly nad těmito citlivými informacemi.
Zpracování údajů bez právního základu
Společnost EOS Matrix d.o.o. byla kontrolována rovněž proto, že zpracovávala osobní údaje osob, které nebyly spojeny s dlužníky. Navíc do své databáze nahrávala komentáře týkající se zdraví bez legitimního právního základu. Toto nevhodné zpracování zdravotních údajů vystavilo subjekty údajů nepřiměřenému a nedůvodného zásahu do jejich soukromí.
"Collections proces" musí být v režimu GDPR
Pokuta téměř 5,5 milionů EUR, která byla EOS Matrix d.o.o. uložena, slouží jako významná připomínka významu dodržování předpisů o ochraně osobních údajů. Porušení zjištění chorvatskou Agenturou ukazují potenciální rizika spojená s nesprávným zacházením s osobními údaji, stejně jako možné právní a finanční následky pro správce osobních údajů. Tato kauza zdůrazňuje potřebu silných opatření pro ochranu údajů a transparentní komunikace se subjekty údajů s cílem zajistit jejich soukromí a bezpečnost, a to i při vymáhání pohledávek.
