Kako je EOS Matrix dobio kaznu od 5,5 mil. eura zbog kršenja zaštite podataka - i što sad mogu oštećeni?

Kako je EOS Matrix dobio kaznu od 5,5 mil. eura zbog kršenja zaštite podataka – i što sad mogu oštećeni?

Više o rekordnoj GDPR kazni i neviđenoj povredi zaštite osobnih podataka saznali smo u razgovoru sa stručnjacima iz područja: odvjetnicom Dijanom Kladar, koja je radila na izradi Zakona o provedbi Opće uredbe o zaštiti podataka te Dujom Kozomarom, konzultantom za zaštitu osobnih podataka i suosnivačem udruge Politiscope.

Rekordna kazna na području GDPR-a odjeknula je u javnosti kao probijanje zvučnog zida. Tim više jer je u pitanju agencija za naplatu potraživanja, kojoj posao nije bio onaj najomiljeniji u društvu – utjerivanje dugova. Sjetit će se neki, donedavno rekordna kazna od 2,26 milijuna eura ove godine također je bila izrečena jednoj agenciji za naplatu potraživanja, B2 Kapitalu. Ovaj put, duplo veći iznos od 5.470.000 eura dobio je EOS Matrix, i to zbog nekoliko kardinalnih povreda zaštite podataka.

Intenzivnom nadzoru, kojim je AZOP došao do svih uvida i dokaza o tim povredama, prethodila je anonimna prijava na USB sticku. Uređaj je sadržavao 181.641 osobnih podataka fizičkih osoba koji su imali nepodmireno dugovanje, a koje je temeljem ugovora o cesiji EOS Matrix otkupio od inicijalnih vjerovnika.

Što su krivo napravili u zaštiti tih podataka? U najkraćim crtama:

  • Nisu poduzeli odgovarajuće tehničke mjere da se zaštite pohranjeni osobnih podaci ispitanika.
  • Obrađivali su osobne podatke ispitanika koji nisu u dužničko-vjerovničkom odnosu i bez postojanja pravne osnove. Tim više, obrađivali su osobne podatke posebno osjetljive kategorije – zdravstvene podatke ispitanika, također bez postojanja pravne osnove.
  • Uz to, Voditelj obrade nije na transparentan i propisan način informirao ispitanike o obradi njihovih zdravstvenih podataka u politikama privatnosti.
  • I na kraju, nisu imali utvrđenu pravnu osnovu za snimanje telefonskih razgovora s ispitanicima, niti su na razumljiv i jasan način informirali ispitanike o obradi osobnih podataka u vidu snimanja telefonskih razgovora.

“Primjer kršenja GDPR-a koji kao da je izašao iz nekog filma strave”

Visina iznosa kazne izazvala je mnogo rasprava u javnosti, budući da je riječ o rekordnom iznosu za kršenje GDPR-a u Hrvatskoj. No Duje Kozomara napominje kako AZOP prilikom odlučivanja o iznosu kazne u obzir uzima niz faktora, poput: kategorije podataka koji su u pitanju, broja obuhvaćenih ispitanika, razine štete koju su te osobe pretrpjele, postojanja namjere i drugih relevantnih čimbenika.

U ovom slučaju, voditelj obrade je u bazi obrađivao podatke stotina tisuća hrvatskih građana, a kod svih nezakonitih obrada postojala je jasna namjera obrade tih podataka u svrhu što brže naplate dugovanja. Šokantno je da je EOS Matrix, bez ikakve pravne osnove, intenzivno obrađivao zdravstvene podatke dužnika. Takvi podaci spadaju u posebnu (osjetljivu) kategoriju osobnih podataka i GDPR načelno zabranjuje njihovu obradu – osim u točno određenim iznimnim situacijama, koje ovdje nisu postojale.

Činjenicu da su bilježili detalje pojedinih zdravstvenih dijagnoza pojedinaca, uključujući terminalna oboljenja, jednostavno je nemoguće opravdati. Radi se o primjeru kršenja GDPR-a koji kao da je izašao iz nekog filma strave i jasno je da je upravo ta nezakonita obrada posebne kategorije podataka značajno utjecala na visinu izrečene kazne.

Međutim, iako Duje pohvaljuje način na koji je izrečenu kaznu AZOP iznio javnosti, istovremeno ističe da ima i ozbiljnih pitanja koja su preskočena u ovoj kazni. Jedno od njih je pitanje obrade broja mobitela dužnika, posebno jer znamo kako su neki dužnici sustavno i namjerno dugotrajno zlostavljani pozivima.

AZOP je ranije, u razgovoru za Index, potvrdio kako banke prilikom prodaje dugovanja (cesije) agencijama – nemaju pravnu osnovu za prijenos podatka o telefonskom broju, budući da broj dužnika nije nužan za naplatu potraživanja. Upravo je konstantno uznemiravanje građana upornim telefonskim pozivima jedna od glavnih pritužbi na rad ovih agencija, a ova izjava nadzornog tijela potvrđuje da agencije nisu ni smjele dobiti te brojeve. Čak i ako banke agencijama dostave brojeve mobitela pod pravnom osnovom legitimnog interesa, to bi značilo da građani imaju pravo podnošenja prigovora.

Svi će proći nadzor, samo je pitanje trenutka

Iako je AZOP u istragu EOS Matrixa krenuo nakon anonimne prijave, AZOP ima i službene ovlasti pa može pokrenuti nadzor i samoinicijativno (npr. samo na temelju natpisa i u medijima), ističe odvjetnica Dijana Kladar:

Važno je reći da AZOP pri provođenju nadzora ima apsolutno pravo uvida u svu dokumentaciju, bilo koji podatak, program i mail, slično kao i Porezna uprava. AZOP zapravo mora imati na uvid sve informacije koje su mu potrebne za obavljanje nadzora. Također, AZOP ima pristup svim prostorijama voditelja obrade i izvršitelja obrade koji su pod nadzorom, uključujući svu opremu i sredstva za obradu podataka. Ako društvo koje je pod nadzorom ne želi surađivati, AZOP ima ovlast pozvati i policiju, a pri provođenju nadzora, voditelj ili izvršitelj obrade imaju pravo pozvati stručnu pomoć, kao npr. pomoć odvjetnika.

 

Dijana dodatno naglašava da je nadzor AZOP-a vrlo stresan te da je potrebno raditi u sklopu godišnjih planova stratešku pripremu zaposlenika za takve nadzore, koji će se sigurno dogoditi svima, samo je pitanje trenutka. U toj pripremi mogu vam pomoći edukacije i materijali koje AZOP besplatno održava odnosno dijeli.

Tko želi i hoće – može biti transparentan

Iako se svi nadamo da se ovakav propust jedne tvrtke koja radi s velikom količinom osobnih podataka neće ponoviti, trebamo svi biti svjesni kako se ovo pitanje tiče velike većine društva – nas kao građana, ali i kao zaposlenika i poslodavaca. U pitanju jest ekstreman slučaj, ali je iznimno bitno da tvrtke koje obrađuju osobne podatke razumiju zašto je EOS Matrix dobio ovakvu kaznu.

Ako ste već vidjeli AZOP-ovo priopćenje vjerojatno ste iz toga saznali ostale bitne detalje, što je pozitivan pomak kad je u pitanju edukacija o zaštiti osobnih podataka, komentira Duje:

Dok su neka ranija priopćenja AZOP-a o dodijeljenim kaznama znala biti pretjerano “pravnički” napisana i teška za čitanje prosječnom građaninu, ovaj put treba pohvaliti sadržaj priopćenja. Na jasan i razumljiv način su obrazložena kršenja koja su dovela do kazne, zajedno s konkretnim primjerima što je voditelj obrade trebao učiniti da bi obrada bila zakonita. Ovaj pristup omogućuje i drugim tvrtkama da bolje razumiju kako osigurati puno poštivanje obveza koje proizlaze iz GDPR-a.

Molimo da prihvatite sve kolačiće kako biste mogli vidjeti ovaj sadržaj

Što to znači? Uredba o zaštiti osobnih podataka pod načelom transparentnosti traži da svaka informacija i komunikacija u vezi s obradom osobnih podataka bude lako dostupna i razumljiva te da se upotrebljava jasan i jednostavan jezik. Dijana detaljnije objašnjava:

U izjavi o zaštiti privatnosti moraju se navesti karakteristične informacije o uporabi tom prilikom prikupljenih osobnih podataka, poput koji se podaci prikupljaju, u koju svrhu, kojim tehničkim sredstvima, da mjera prikupljanja podataka odgovara određenoj svrsi, zatim, kome se otkrivaju, odnosno kojim trećim osobama se dostavljaju prikupljeni osobni podaci, da isti neće biti korišteni u marketinške svrhe, nastavno, mogućnosti pristupa vlastitim osobnim podacima i ispravke uočenih pogrešaka u prikupljenim podacima, sve do roka čuvanja podataka, poduzetih sigurnosnih mjera njihove zaštite od neovlaštenog pristupa ili zlouporaba.

Na primjer, dodaje Duje, za obradu zdravstvenih podataka koje je EOS Matrix radio, AZOP je istaknuo kako se “ista svrha mogla postići i bilježenjem generalnog komentara o potrebi izbjegavanja kontakta određeno vrijeme uslijed osobnog stanja dužnika, bez isticanja preciznih zdravstvenih podataka.”

Također, sve tvrtke koje snimaju telefonske razgovore svoje korisničke podrške ili prodajnih aktivnosti dobili su jasnu uputu da ne smiju koristiti nejasnu konstrukciju “razgovor može biti sniman” – već je potreban transparentan pristup: “razgovor se snima u svrhu…”

No, šteta je već napravljena…

Što sad mogu oštećeni građani?

Dijana napominje da građani zahvaćeni ovim slučajem imaju pravo na naknadu štete. Možete ga tražiti i u slučaju neovlaštenog korištenja, odnosno neovlaštenog davanja na korištenje svojih osobnih podataka drugim primateljima ili fizičkim i pravnim osobama (poput primjera koji gore navodi Duje, kada inicijalni vjerovnici kod kojih ste imali dug prosljeđuju vaše podatke agencijama za naplatu potraživanja).

Ako smatrate da ste oštećeni takvim nezakonitim obradama, imate pravo pokretanja postupka za naknadu štete pred općinskim sudom, pojašnjava Duje.

Odluka AZOP-a potvrđuje da postoji kršenje zakona, što je jedan od preduvjeta za takav zahtjev, ali građani u sudskom postupku trebaju moći dokazati da su pretrpjeli materijalnu ili nematerijalnu štetu te da postoji uzročno-posljedična veza između te štete i postupaka voditelja obrade.

Ipak, razmuljivo je da se građanima teško odlučiti na takvo što. Osim što su taman odahnuli što se proces naplate dugovanja zaključio (u najboljem slučaju) ili još čupaju vlasi jer nije, za građane kao potencijalne tužitelje tih agencija postoji dodatan financijski rizik u slučaju gubitka sudskog spora. Srećom, Duje najavljuje kako je udruga Politiscope prijavila projekt kojim žele oštećenim građanima omogućiti pokretanje parnice bez ikakvih financijskih rizika. Nadamo se da će im uspjeti.

Imate pravo znati!

Molimo da prihvatite sve kolačiće kako biste mogli vidjeti ovaj sadržaj

Neupitno je da se zlouporabom osobnih podataka nanosi velika šteta žrtvama, no dodatno je zabrinjavajuće što žrtve u trenutku nekad i nisu svjesne ozbiljnosti situacije zbog još uvijek nerazvijene svijesti o važnosti osobnih podataka, komentira Dijana. Zato nikad dovoljno napomena građanima koji će se možda naći u sličnim situacijama, da se od njih traži razmjena osobnih podataka.

GDPR obvezuje tvrtke da nam u svakoj situaciji kada od nas prikupljaju osobne podatke odmah daju jasne informacije o tome što planiraju raditi s tim podacima. I vi ih imate pravo o tome pitati! Konkretno, moraju vas informirati tko prikuplja podatke, za što će ih koristiti, s kojom pravnom osnovom, koliko dugo će vaše podatke zadržavati, hoće li ih dijeliti s nekim i koja prava imate vezano uz tu obradu. Duje komentira:

Pružanje spomenutih informacija dio je jednog od osnovnih načela GDPR-a, načela transparentnosti – koje je EOS Matrix prekršio kada ispitanicima nije dao nikakve informacije o određenim obradama koje provodi. Štoviše, čini se kako su agencije namjerno i svjesno skrivale informacije o procesima obrade podataka, a pogotovo onim najosjetljivijim. Naravno, kada je voditelj obrade svjestan da određene podatke obrađuje na nezakonit način, velika je vjerojatnost da neće otkriti detalje o tim obradama – zbog čega imamo nadzorno tijelo za zaštitu podataka (AZOP) koje je odgovorno za provjeru pritužbi građana i zaštitu njihovih prava.

Kako spriječiti da se ovako velike povrede ubuduće ne dogode?

Jedan je glavni odgovor na ovo pitanje: edukacija. Kako građana o njihovim pravima, tako i poslovnih subjekata o njihovim obvezama. Duje kaže kako primjećuje da se to postupno događa, ali dodaje kako je šteta da se više o tim temama ne prenosi, mimo velikih slučajeva koje plijene medijsku pažnju poput ovog.

Uvijek ističemo da rizik od kazni ne bi trebao biti jedina motivacija za početak ulaganja vremena i resursa u usklađivanje sa zakonskim okvirom i brigu da obrade podataka koje provodimo zaista budu zakonite i transparentne. Osim što taj proces pomaže u boljem razumijevanju unutarnjih tokova podataka i smanjenju rizika, nije teško zaključiti kako je reputacija tvrtke puno važnija od novčane kazne.

Malo tko će željeti surađivati ili investirati u tvrtke za koje svi znaju da ne brinu o osobnim podacima svojih kupaca, korisnika ili klijenata.

Međutim, ključna stavka, uz navedenu edukaciju je i da AZOP, kao zaduženo nadzorno tijelo, obavlja svoj posao i da za to ima resurse. S dvije ovakve velike kazne u zadnjih godinu dana, količinom provedenih nadzora te drugih izrečenih kazni, ali i povećanim brojem besplatnih edukacija za male i srednje poduzetnike, Duje ističe kako intenzivniji rad AZOP-a treba posebno pohvaliti.

Ipak, zaključuje kako za uspješno obavljanje svih svojih dužnosti AZOP mora imati značajno veći proračun.

Svi podaci ukazuju na to da nadzornom tijelu ozbiljno nedostaje zaposlenika, a posebno onih stručnih u području informacijskih tehnologija. Obrada osobnih podataka postaje sve tehnički složenija, a dok AZOP ne može ponuditi konkurentne plaće IT stručnjacima, suočavat ćemo se s izazovima u nadzoru nad tvrtkama koje krše naša prava.

Slučajevi s agencijama za naplatu potraživanja jasno pokazuju opseg negativnih posljedica koje za građane može imati kršenje GDPR-a. Zato je nužno da imamo nadzorno tijelo koje je potpuno kapacitirano kako bi se zaštitila prava građana.

Sukladno članku 94. Zakona o elektroničkim medijima, komentiranje članaka na Netokraciji dopušteno je samo korisnicima koji ostave svoje ime i prezime te mail adresu i prihvate pravila ponašanja.

Pravila ponašanja

Na Netokraciji za vas stvaramo kvalitetan, autorski potpisan sadržaj i zaista se veselimo vašim kvalitetnim, kontruktivnim komentarima. Poštujmo stoga jedni druge prilikom komentiranja, kao i Zakon, držeći se sljedećih pravila ponašanja:

  • Ne budite 💩: Nema vrijeđanja, diskriminiranja, ni psovanja (osim ako nije osobni izričaj, ali onda neka psovka bude općenita, a ne usmjerena prema nekome). Također, upoznajte se sa stavkom 2. članka 94. Zakona o elektroničkim medijima prije no što ostavite komentar.
  • Samo kvalitetna rasprava, manje trolanja: Ne morate se ni sa kim slagati, ali budite konstruktivni i doprinesite raspravi! Svako trolanje, flameanje, koliko god "plesalo" na granici, leti van.
  • Imenom i prezimenom, nismo Anonymous 👤: Autor sadržaja stoji iza svog sadržaja, stoga stojite i vi iza svog komentara. Koristimo ime i prezime te pravu email adresu.

Kako koristimo podatke koje ostavljate? Bacite oko na našu izjavu o privatnosti.

Sve ostale komentare ćemo s guštom spaliti, jer ne zaslužuju svoje mjesto na internetu.

Komentari

  1. Indira Kurjak

    Indira Kurjak

    15. 10. 2023. u 8:15 am Odgovori

    dobro jutro
    morala sam zbog njih promjenit broj telefona , svaki dan takoreći su zvali iako sam ih zamilila da me ne zovu i da ču prijavit policiji . Sad ču sve poduzeti da oni ispaštaju isto kao ja i drugi ljudi . Uporna sam u svemu također ču i u tome biti uporna . imam u mobitelu evidenciju njihovih poziva koje sam redovno blokirala . Šta mislite kad ste u javnom prevozu i na poslu a oni zovu . Znači u zadnje vrijeme se nisam javljala jer je to veliki stres i pritisak na nas blokirane . Veliko vam hvala na pomoči . Ja od svog duga ne bježim , plačam ga redovno svaki mjesec i platit ču ali ne želim da me netko zove i maltretira!

  2. Jura Vidović

    Jura Vidović

    15. 10. 2023. u 9:31 am Odgovori

    Draga Ana Marija Kostanić pišite kakve koristi imam ja od kazne koju je naplatio Azop ,na korištene moje podatke .Ja bih morao imati postotak oštete naravno i svi drugi a ne proračun .

Odgovori

Tvoja e-mail adresa neće biti objavljena.

Popularno

Umjetna inteligencija

Najvažniji dio Rimčevog Vernea nije robotaksi, već iskustvo?

Ovaj tjedan rebrendirana u Verne, Project 3 Mobility, tvrtka koju su 2019. godine osnovali Mate Rimac, Adriano Mudri te Marko Pejković, danas napokon ima prvo “opipljivo” predstavljanje onog što su razvijali. No, je li robotaksi usluga zbilja najvažnije što mogu ponuditi?

Digitalni mediji

Hrvatski glazbenici uprihodili od streaminga 2,6 milijuna eura, Grše dominira

HDS ZAMP ove godine po prvi put objavljuje i listu 10 najboljih autora i djela na digitalnim servisima.

Tvrtke i poslovanje

Istraživanje korisničkog iskustva: Jeste li spremni čuti što trebate napraviti?

Ako se pravilno postavi, kao ključna poslovna funkcija, UX istraživanje može pomoći u diverzifikaciji portfelja proizvoda, usluga i korisnika, otkrivanju različitih vrijednosti vaše ponude, implementiranju novih trendova i strategija, a mogao bi vam ukazati i na neiskorištene prilike za širenje i inoviranje. Ako vam to nije dovoljno, čitajte dalje, i otkrijte kako to rade najveće tvrtke na svijetu...

Što ste propustili

Tvrtke i poslovanje

“Sličnih hakerskih incidenata bit će još mnogo”

Mjesec dana kibernetičkih prijetnji. Nakon što su krajem lipnja hakeri napali nekoliko web stranica hrvatskih institucija, meta je postala i najveća hrvatska bolnica - zagrebačko Rebro. Nedugo zatim uslijedio je novi sigurnosni incident s HZZO-om, a sve je kulminiralo s hakerskim napadom na zračnu luku Sveti Jeronim u Splitu. Što nas čeka dalje?

Netokracijin Playbook IT industrije

Kako smo Hrvate naučili kupovati online? “Dugo nam je konkurencija bio telefon…”

S ecommerce veteranima i digitalnim stručnjacima razgovaramo o tome kako se razvijao segment online plaćanja i kupovine u Hrvatskoj te kako su određene digitalne prakse i proizvodi utjecali na naše potrošačke navike.

Veliki intervjui

Platformski rad u Hrvatskoj: Na 4 digitalne platforme i 1500 agregatora rasporedilo se 16 tisuća “gigera”

Od početka godine u sustavu JEER evidentirano je 16.000 osoba koje su u nekom razdoblju radile putem digitalnih radnih platformi i 1500 agregatora koji su ih zapošljavali. Nijednoj od tih osoba neka od 4 aktivne platforme nije direktno dala ugovor o radu.

Prikaz

Book&Zvook: Jeste probali audioknjige na hrvatskom?

...bolje nego da trčimo za njima i vičemo: „Pa vi ništa ne čitate!“, kažu Ljubica Letinić i Lana Deban iz Book&Zvooka koje su nam objasnile kako nastaju audioknjige - na hrvatskom.

Novost

Euromoney proglasio RBA najboljom digitalnom bankom u Hrvatskoj

Jedan od vodećih europskih časopisa u području financija i bankarstva Euromoney, proglasio je Raiffeisenbank Hrvatska najboljom digitalnom bankom u Hrvatskoj. Ova se nagrada svake godine dodjeljuje banci s vodećom ponudom digitalnih proizvoda i usluga.

Pametni automobili

Direktor Vernea tvrdi da su granice između 4. i 5. razine autonomije nejasne – što kažu stručnjaci?

Peta razina autonomnosti vozila svojevrstan je sveti gral industrije, no je li uopće dostižna i potrebna?