AGENCIJA za zaštitu osobnih podataka (AZOP) je, nakon što je s 2.265.000 eura kaznila tvrtku B2 Kapital zbog curenja podataka 77.317 fizičkih osoba, prošlog tjedna izdala i Rješenje kojim je tvrtku EOS Matrix kaznila s 5.470.000 eura, i to zbog curenja 181.641 podatka fizičkih osoba. Ukupno su tako utjerivači dugova kažnjeni iznosom od 7.735.000 eura.
Iako su regulatori otkrili da su utjerivači dugova imali podatke koje nisu smjeli te da su obrađivali zdravstvene kartone svojih dužnika i da su neovlašteno snimali, utjerivači se nisu ispričali javnosti, nego prijete kaznenim prijavama jer su ti njihovi podaci procurili u javnost.
>> Utjerivačima dugova najveća kazna dosad. Pratili i zdravlje smrtno bolesnih dužnika
>> Utjerivači dugova nakon najveće kazne dosad: Podnijeli smo kaznenu prijavu DORH-u
I B2 Kapital i EOS Matrix u svojim su priopćenjima, a nakon što su doznali kazne od državnog regulatora, isticali kako podaci zapravo nisu procurili, nego su im ukradeni, te su najavili žalbe na visoke novčane kazne.
B2 Kapital i EOS Matrix: Nije iscurilo od nas
"Nakon što su neovisni stručnjaci proveli ekstenzivnu forenzičku internu istragu, utvrdili smo da u sustavima B2 Kapitala nije došlo do curenja podataka te da B2 Kapital nije bio izložen hakerskom napadu", stajalo je u priopćenju B2 Kapitala, a na vrlo sličan način javnosti se obratio i EOS Matrix. Naime, i oni kažu da su proveli forenzičko ispitivanje
"Provedene kontrole sustava i poslovnih procesa pokazale su kako nema dokaza da su podaci neovlašteno izneseni upravo iz sustava EOS Matrixa", stoji u jučerašnjem priopćenju. EOS Matrix u svojem se priopćenju nije ispričao građanima zbog onog što je utvrdio državni regulator, nego se fokusirao na to da "EOS Matrix nije izvor podataka koji su bili predmetom nadzora AZOP-a".
Puno je bitnije što je državni regulator našao u tim tvrtkama
No to je potpuno nebitno jer je od informacije kako su se podaci našli vani puno bitnije ono što je AZOP-ova istraga pronašla tijekom nadzora, unutar same tvrtke utjerivača dugova.
Naime, AZOP u svom rješenju tvrdi da su u EOS Matrixu obrađivali i osobne podatke osoba koje nisu dužnici ni zakonski zastupnici nasljednika u dužničko-vjerovničkim odnosima te za koje nije postojala pravna osnova.
O tome da utjerivači dugova znaju zvati susjede, rodbinu i poslodavce već se pisalo, a sada su podaci osoba koje nisu dužnici nađene u samom EOS Matrixu. Naravno, ostaje pitanje na koje za sada ni iz EOS Matrixa ni iz AZOP-a ne odgovaraju - odakle im podaci o osobama koje nisu njihovi dužnici?
Do detalja obrađivani zdravstveni podaci
Isto tako, EOS Matrix obrađivao je zdravstvene podatke. AZOP je utvrdio da su se u internoj bazi podataka uz određene ispitanike aktivno bilježili komentari koji se odnose na zdravstveno stanje dužnika.
"Posebno je zabrinjavajuća situacija gdje je zdravstveno stanje predmetnih ispitanika bilo praćeno sve do detalja pojedinih dijagnoza koje su uključivale i terminalna oboljenja, a koja gotovo na maksimalnoj razini izlažu nečiju privatnost osobama koje su ovlaštene za pristup aplikaciji (bazi) koju koriste zaposlenici EOS Matrix-a", upozorio je AZOP.
Sama tvrtka branila se kako su sami ispitanici dali takve informacije, no AZOP je utvrdio da to ne znači da se ti podaci mogu dalje aktivno unositi u bazu podataka te bazu tako obogaćivati bazu i njih dalje obrađivati.
Obrađivanje zdravstvenih podataka nije nužno za naplatu duga
"Obrada zdravstvenih podataka nije nužna za postizanje predviđene svrhe. Ako je cilj bolja naplata prema dužniku te izbjegavanje komuniciranja uslijed zdravstvenog stanja, tada bi se ista svrha mogla postići i bilježenjem generalnog komentara o potrebi izbjegavanja kontakta određeno vrijeme uslijed osobnog stanja dužnika, bez isticanja preciznih zdravstvenih podataka", stajalo je obrazloženju AZOP-a. EOS Matrix u svom priopćenju taj dio i ne spominje.
Isto tako AZOP je uočio da se u svojim politikama privatnosti EOS Matrix obvezao da neće obrađivati zdravstvene podatke. No nije tu kraj. AZOP je u svojoj istrazi utvrdio da je EOS Matrix snimao telefonske razgovore s oko 49.850 osoba, i to bez ikakve osnove.
EOS Matrix d.o.o. je tijekom izvida AZOP-a negirao da su osobni podaci izuzeti iz njihovog sustava pohrane te su tvrdili da tim osobnim podacima raspolažu i tijela državne uprave. No ni ta im obrana nije pala na plodno tlo.
AZOP nema sumnje da su podaci izuzeti iz baze EOS Matrixa
"Podatak da je određena osoba u dužničko-vjerovničkom odnosu upravo s društvom EOS Matrix d.o.o. uz ostale osobne podatke, nema evidentiranih ni u jednom sustavu pohrane kod drugih institucija, osim u sustavu EOS Matrix-a d.o.o., dok pojedinačno primarni vjerovnici su mogli raspolagati samo s opsegom ograničenim na svoje klijente/dužnike, a čija dugovanja su prodali EOS Matrix-u d.o.o", stoji u rješenju AZOP-a.
Zaključak je da je "nedvojbeno utvrđeno kako su osobni podaci koji su Agenciji dostavljeni putem USB sticka izuzeti iz baze EOS Matrix-a d.o.o.". A što stoji u priopćenju EOS Matrixa koje je jučer išlo javnosti?
"S ciljem utvrđivanja stvarnog izvora podataka dostavljenih AZOP-u i okolnosti vezanih uz navodno neovlašteno iznošenje osobnih podataka, EOS Matrix je dana 5. svibnja 2023. podnio kaznenu prijavu Općinskom državnom odvjetništvu u Zagrebu protiv nepoznatog počinitelja zbog osnovane sumnje u počinjenje teških kaznenih djela protiv računalnih sustava, programa i podataka, kao i za nedozvoljenu uporabu osobnih podataka", naglašava se u priopćenju EOS Matrixa.
Utjerivači komuniciraju kao HDZ u slučaju Borg
Sličan model komunikacije s javnosti imali smo i u Aferi Borg, kada je vrh HDZ-a u svojim izjavama naglašavao temu o tome odakle su se mailovi našli u javnosti, ali nisu išli u sadržaj. No tu se radilo o političkom manevru, a EOS Matrix mora vratiti povjerenje onih koji im prodaju dugove, prije svega banaka i telekomunikacijskih tvrtki.
Dužnike, klijente, ionako se tu nikada ništa nije ni pitalo.