Kako je EOS Matrix dobio kaznu od 5,5 mil. eura zbog kršenja zaštite podataka – i što sad mogu oštećeni?

Rekordna kazna na području GDPR-a odjeknula je u javnosti kao probijanje zvučnog zida. Tim više jer je u pitanju agencija za naplatu potraživanja, kojoj posao nije bio onaj najomiljeniji u društvu – utjerivanje dugova. Sjetit će se neki, donedavno rekordna kazna od 2,26 milijuna eura ove godine također je bila izrečena jednoj agenciji za naplatu potraživanja, B2 Kapitalu. Ovaj put, duplo veći iznos od 5.470.000 eura dobio je EOS Matrix, i to zbog nekoliko kardinalnih povreda zaštite podataka.

Intenzivnom nadzoru, kojim je AZOP došao do svih uvida i dokaza o tim povredama, prethodila je anonimna prijava na USB sticku. Uređaj je sadržavao 181.641 osobnih podataka fizičkih osoba koji su imali nepodmireno dugovanje, a koje je temeljem ugovora o cesiji EOS Matrix otkupio od inicijalnih vjerovnika.

Što su krivo napravili u zaštiti tih podataka? U najkraćim crtama:

• Nisu poduzeli odgovarajuće tehničke mjere da se zaštite pohranjeni osobnih podaci ispitanika.
• Obrađivali su osobne podatke ispitanika koji nisu u dužničko-vjerovničkom odnosu i bez postojanja pravne osnove. Tim više, obrađivali su osobne podatke posebno osjetljive kategorije – zdravstvene podatke ispitanika, također bez postojanja pravne osnove.
• Uz to, Voditelj obrade nije na transparentan i propisan način informirao ispitanike o obradi njihovih zdravstvenih podataka u politikama privatnosti.
• I na kraju, nisu imali utvrđenu pravnu osnovu za snimanje telefonskih razgovora s ispitanicima, niti su na razumljiv i jasan način informirali ispitanike o obradi osobnih podataka u vidu snimanja telefonskih razgovora.

“Primjer kršenja GDPR-a koji kao da je izašao iz nekog filma strave”

Visina iznosa kazne izazvala je mnogo rasprava u javnosti, budući da je riječ o rekordnom iznosu za kršenje GDPR-a u Hrvatskoj. No Duje Kozomara napominje kako AZOP prilikom odlučivanja o iznosu kazne u obzir uzima niz faktora, poput: kategorije podataka koji su u pitanju, broja obuhvaćenih ispitanika, razine štete koju su te osobe pretrpjele, postojanja namjere i drugih relevantnih čimbenika.

U ovom slučaju, voditelj obrade je u bazi obrađivao podatke stotina tisuća hrvatskih građana, a kod svih nezakonitih obrada postojala je jasna namjera obrade tih podataka u svrhu što brže naplate dugovanja. Šokantno je da je EOS Matrix, bez ikakve pravne osnove, intenzivno obrađivao zdravstvene podatke dužnika. Takvi podaci spadaju u posebnu (osjetljivu) kategoriju osobnih podataka i GDPR načelno zabranjuje njihovu obradu – osim u točno određenim iznimnim situacijama, koje ovdje nisu postojale.

Činjenicu da su bilježili detalje pojedinih zdravstvenih dijagnoza pojedinaca, uključujući terminalna oboljenja, jednostavno je nemoguće opravdati. Radi se o primjeru kršenja GDPR-a koji kao da je izašao iz nekog filma strave i jasno je da je upravo ta nezakonita obrada posebne kategorije podataka značajno utjecala na visinu izrečene kazne.

Međutim, iako Duje pohvaljuje način na koji je izrečenu kaznu AZOP iznio javnosti, istovremeno ističe da ima i ozbiljnih pitanja koja su preskočena u ovoj kazni. Jedno od njih je pitanje obrade broja mobitela dužnika, posebno jer znamo kako su neki dužnici sustavno i namjerno dugotrajno zlostavljani pozivima.

AZOP je ranije, u razgovoru za Index, potvrdio kako banke prilikom prodaje dugovanja (cesije) agencijama – nemaju pravnu osnovu za prijenos podatka o telefonskom broju, budući da broj dužnika nije nužan za naplatu potraživanja. Upravo je konstantno uznemiravanje građana upornim telefonskim pozivima jedna od glavnih pritužbi na rad ovih agencija, a ova izjava nadzornog tijela potvrđuje da agencije nisu ni smjele dobiti te brojeve. Čak i ako banke agencijama dostave brojeve mobitela pod pravnom osnovom legitimnog interesa, to bi značilo da građani imaju pravo podnošenja prigovora.

Svi će proći nadzor, samo je pitanje trenutka

Iako je AZOP u istragu EOS Matrixa krenuo nakon anonimne prijave, AZOP ima i službene ovlasti pa može pokrenuti nadzor i samoinicijativno (npr. samo na temelju natpisa i u medijima), ističe odvjetnica Dijana Kladar:

Važno je reći da AZOP pri provođenju nadzora ima apsolutno pravo uvida u svu dokumentaciju, bilo koji podatak, program i mail, slično kao i Porezna uprava. AZOP zapravo mora imati na uvid sve informacije koje su mu potrebne za obavljanje nadzora. Također, AZOP ima pristup svim prostorijama voditelja obrade i izvršitelja obrade koji su pod nadzorom, uključujući svu opremu i sredstva za obradu podataka. Ako društvo koje je pod nadzorom ne želi surađivati, AZOP ima ovlast pozvati i policiju, a pri provođenju nadzora, voditelj ili izvršitelj obrade imaju pravo pozvati stručnu pomoć, kao npr. pomoć odvjetnika.

Dijana dodatno naglašava da je nadzor AZOP-a vrlo stresan te da je potrebno raditi u sklopu godišnjih planova stratešku pripremu zaposlenika za takve nadzore, koji će se sigurno dogoditi svima, samo je pitanje trenutka. U toj pripremi mogu vam pomoći edukacije i materijali koje AZOP besplatno održava odnosno dijeli.

Tko želi i hoće – može biti transparentan

Iako se svi nadamo da se ovakav propust jedne tvrtke koja radi s velikom količinom osobnih podataka neće ponoviti, trebamo svi biti svjesni kako se ovo pitanje tiče velike većine društva – nas kao građana, ali i kao zaposlenika i poslodavaca. U pitanju jest ekstreman slučaj, ali je iznimno bitno da tvrtke koje obrađuju osobne podatke razumiju zašto je EOS Matrix dobio ovakvu kaznu.

Ako ste već vidjeli AZOP-ovo priopćenje vjerojatno ste iz toga saznali ostale bitne detalje, što je pozitivan pomak kad je u pitanju edukacija o zaštiti osobnih podataka, komentira Duje:

Dok su neka ranija priopćenja AZOP-a o dodijeljenim kaznama znala biti pretjerano “pravnički” napisana i teška za čitanje prosječnom građaninu, ovaj put treba pohvaliti sadržaj priopćenja. Na jasan i razumljiv način su obrazložena kršenja koja su dovela do kazne, zajedno s konkretnim primjerima što je voditelj obrade trebao učiniti da bi obrada bila zakonita. Ovaj pristup omogućuje i drugim tvrtkama da bolje razumiju kako osigurati puno poštivanje obveza koje proizlaze iz GDPR-a.

Što to znači? Uredba o zaštiti osobnih podataka pod načelom transparentnosti traži da svaka informacija i komunikacija u vezi s obradom osobnih podataka bude lako dostupna i razumljiva te da se upotrebljava jasan i jednostavan jezik. Dijana detaljnije objašnjava:

U izjavi o zaštiti privatnosti moraju se navesti karakteristične informacije o uporabi tom prilikom prikupljenih osobnih podataka, poput koji se podaci prikupljaju, u koju svrhu, kojim tehničkim sredstvima, da mjera prikupljanja podataka odgovara određenoj svrsi, zatim, kome se otkrivaju, odnosno kojim trećim osobama se dostavljaju prikupljeni osobni podaci, da isti neće biti korišteni u marketinške svrhe, nastavno, mogućnosti pristupa vlastitim osobnim podacima i ispravke uočenih pogrešaka u prikupljenim podacima, sve do roka čuvanja podataka, poduzetih sigurnosnih mjera njihove zaštite od neovlaštenog pristupa ili zlouporaba.

Na primjer, dodaje Duje, za obradu zdravstvenih podataka koje je EOS Matrix radio, AZOP je istaknuo kako se “ista svrha mogla postići i bilježenjem generalnog komentara o potrebi izbjegavanja kontakta određeno vrijeme uslijed osobnog stanja dužnika, bez isticanja preciznih zdravstvenih podataka.”

Također, sve tvrtke koje snimaju telefonske razgovore svoje korisničke podrške ili prodajnih aktivnosti dobili su jasnu uputu da ne smiju koristiti nejasnu konstrukciju “razgovor može biti sniman” – već je potreban transparentan pristup: “razgovor se snima u svrhu…”

No, šteta je već napravljena…

Što sad mogu oštećeni građani?

Dijana napominje da građani zahvaćeni ovim slučajem imaju pravo na naknadu štete. Možete ga tražiti i u slučaju neovlaštenog korištenja, odnosno neovlaštenog davanja na korištenje svojih osobnih podataka drugim primateljima ili fizičkim i pravnim osobama (poput primjera koji gore navodi Duje, kada inicijalni vjerovnici kod kojih ste imali dug prosljeđuju vaše podatke agencijama za naplatu potraživanja).

Ako smatrate da ste oštećeni takvim nezakonitim obradama, imate pravo pokretanja postupka za naknadu štete pred općinskim sudom, pojašnjava Duje.

Odluka AZOP-a potvrđuje da postoji kršenje zakona, što je jedan od preduvjeta za takav zahtjev, ali građani u sudskom postupku trebaju moći dokazati da su pretrpjeli materijalnu ili nematerijalnu štetu te da postoji uzročno-posljedična veza između te štete i postupaka voditelja obrade.

Ipak, razmuljivo je da se građanima teško odlučiti na takvo što. Osim što su taman odahnuli što se proces naplate dugovanja zaključio (u najboljem slučaju) ili još čupaju vlasi jer nije, za građane kao potencijalne tužitelje tih agencija postoji dodatan financijski rizik u slučaju gubitka sudskog spora. Srećom, Duje najavljuje kako je udruga Politiscope prijavila projekt kojim žele oštećenim građanima omogućiti pokretanje parnice bez ikakvih financijskih rizika. Nadamo se da će im uspjeti.

Imate pravo znati!

Neupitno je da se zlouporabom osobnih podataka nanosi velika šteta žrtvama, no dodatno je zabrinjavajuće što žrtve u trenutku nekad i nisu svjesne ozbiljnosti situacije zbog još uvijek nerazvijene svijesti o važnosti osobnih podataka, komentira Dijana. Zato nikad dovoljno napomena građanima koji će se možda naći u sličnim situacijama, da se od njih traži razmjena osobnih podataka.

GDPR obvezuje tvrtke da nam u svakoj situaciji kada od nas prikupljaju osobne podatke odmah daju jasne informacije o tome što planiraju raditi s tim podacima. I vi ih imate pravo o tome pitati! Konkretno, moraju vas informirati tko prikuplja podatke, za što će ih koristiti, s kojom pravnom osnovom, koliko dugo će vaše podatke zadržavati, hoće li ih dijeliti s nekim i koja prava imate vezano uz tu obradu. Duje komentira:

Pružanje spomenutih informacija dio je jednog od osnovnih načela GDPR-a, načela transparentnosti – koje je EOS Matrix prekršio kada ispitanicima nije dao nikakve informacije o određenim obradama koje provodi. Štoviše, čini se kako su agencije namjerno i svjesno skrivale informacije o procesima obrade podataka, a pogotovo onim najosjetljivijim. Naravno, kada je voditelj obrade svjestan da određene podatke obrađuje na nezakonit način, velika je vjerojatnost da neće otkriti detalje o tim obradama – zbog čega imamo nadzorno tijelo za zaštitu podataka (AZOP) koje je odgovorno za provjeru pritužbi građana i zaštitu njihovih prava.

Kako spriječiti da se ovako velike povrede ubuduće ne dogode?

Jedan je glavni odgovor na ovo pitanje: edukacija. Kako građana o njihovim pravima, tako i poslovnih subjekata o njihovim obvezama. Duje kaže kako primjećuje da se to postupno događa, ali dodaje kako je šteta da se više o tim temama ne prenosi, mimo velikih slučajeva koje plijene medijsku pažnju poput ovog.

Uvijek ističemo da rizik od kazni ne bi trebao biti jedina motivacija za početak ulaganja vremena i resursa u usklađivanje sa zakonskim okvirom i brigu da obrade podataka koje provodimo zaista budu zakonite i transparentne. Osim što taj proces pomaže u boljem razumijevanju unutarnjih tokova podataka i smanjenju rizika, nije teško zaključiti kako je reputacija tvrtke puno važnija od novčane kazne.

Malo tko će željeti surađivati ili investirati u tvrtke za koje svi znaju da ne brinu o osobnim podacima svojih kupaca, korisnika ili klijenata.

Međutim, ključna stavka, uz navedenu edukaciju je i da AZOP, kao zaduženo nadzorno tijelo, obavlja svoj posao i da za to ima resurse. S dvije ovakve velike kazne u zadnjih godinu dana, količinom provedenih nadzora te drugih izrečenih kazni, ali i povećanim brojem besplatnih edukacija za male i srednje poduzetnike, Duje ističe kako intenzivniji rad AZOP-a treba posebno pohvaliti.

Ipak, zaključuje kako za uspješno obavljanje svih svojih dužnosti AZOP mora imati značajno veći proračun.

Svi podaci ukazuju na to da nadzornom tijelu ozbiljno nedostaje zaposlenika, a posebno onih stručnih u području informacijskih tehnologija. Obrada osobnih podataka postaje sve tehnički složenija, a dok AZOP ne može ponuditi konkurentne plaće IT stručnjacima, suočavat ćemo se s izazovima u nadzoru nad tvrtkama koje krše naša prava.

Slučajevi s agencijama za naplatu potraživanja jasno pokazuju opseg negativnih posljedica koje za građane može imati kršenje GDPR-a. Zato je nužno da imamo nadzorno tijelo koje je potpuno kapacitirano kako bi se zaštitila prava građana.