Πρόστιμο 5,5 εκατομμυρίων ευρώ σε εισπρακτική εταιρεία για παραβάσεις του GDPR - Παραβιάστηκαν δεδομένα χιλιάδων οφειλετών, ανάμεσά τους και δεδομένα για την κατάσταση της υγείας τους
Πρόστιμο ύψους σχεδόν 5,5 εκατομμυρίων ευρώ επέβαλε η Εποπτική Αρχή Προστασίας Δεδομένων της Κροατίας σε εταιρεία διαχείρισης και είσπραξης απαιτήσεων για παραβάσεις του Γενικού Κανονισμού Προστασίας Δεδομένων (GDPR).
Στις 22 Μαρτίου 2023, η Κροατική Εποπτική Αρχή έλαβε μια ανώνυμη καταγγελία στην οποία αναφερόταν ότι υπήρξε μη εξουσιοδοτημένη επεξεργασία μεγάλου αριθμού προσωπικών δεδομένων φυσικών προσώπων (οφειλετών) από την EOS Matrix doo, εταιρεία είσπραξης οφειλών (υπεύθυνος επεξεργασίας δεδομένων). Η καταγγελία συνοδευόταν από ένα USB stick που περιείχε 181641 προσωπικά δεδομένα φυσικών προσώπων στη δομή του ονόματος και επωνύμου, ημερομηνία γέννησης και αριθμού ταυτότητας, τα οποία είχαν ανεξόφλητες οφειλές προς πιστωτικά ιδρύματα τα οποία είχε αγοράσει η EOS Matrix doo με σύμβαση εκχώρησης. Επιπλέον, η εν λόγω καταγγελία ανέφερε ότι 294 φυσικά πρόσωπα που περιλαμβάνονται στη βάση δεδομένων ήταν ανήλικα κατά τη στιγμή της κατάρτισης της βάσης δεδομένων.Η κροατική Αρχή διαπίστωσε κατά την έρευνά της ότι ο υπεύθυνος επεξεργασίας δεδομένων δεν εφάρμοσε επαρκή τεχνικά μέτρα στο σύστημα επεξεργασίας (κύρια βάση δεδομένων εντός της οποίας επεξεργάζονται προσωπικά δεδομένα περίπου 370.000 υποκειμένων δεδομένων) που θα μπορούσαν να εντοπίσουν δραστηριότητες που αποκλίνουν από τις συνηθισμένες (π.χ. αυξημένος αριθμός ανακτήσεων δεδομένων στη βάση δεδομένων, μεταφορά δεδομένων εκτός συστήματος, παραβίαση της πρόσβασης των χρηστών κ.λπ.). Αυτό διαπιστώθηκε ότι είναι αντίθετο με το άρθρο 32 του GDPR.
Ακόμα διαπιστώθηκε ότι ο υπεύθυνος επεξεργασίας επεξεργαζόταν και προσωπικά δεδομένα φυσικών προσώπων που δεν είναι καν οφειλέτες ούτε νόμιμοι εκπρόσωποι κληρονόμων σε σχέσεις οφειλέτη-πιστωτή και για την επεξεργασία αυτή δεν υπήρχε νομική βάση σύμφωνα με το άρθρο 6(1) του GDPR.
Όσον αφορά στην επεξεργασία δεδομένων υγείας , διαπιστώθηκε ότι ο υπεύθυνος επεξεργασίας κατέγραψε κατόπιν επικοινωνίας με τους οφειλέτες στοιχεία σχετικά με την κατάσταση της υγείας τους. Επιπλέον, η κατάσταση της υγείας των ενδιαφερομένων υποβλήθηκε σε παρακολούθηση με λεπτομέρειες για μεμονωμένες ιατρικές διαγνώσεις, οι οποίες περιελάμβαναν ανίατες ασθένειες και στις πληροφορίες αυτές είχε πρόσβαση το υπαλληλικό προσωπικό της εισπρακτικής εταιρείας. Για τη δραστηριότητα αυτή δεν υπήρχε η εφαρμοστέα εξαίρεση βάσει του άρθρου 9 παράγραφος 2 του GDPR.
Εξετάζοντας τις τρεις πρώτες πολιτικές απορρήτου (οι οποίες ίσχυαν μεταξύ Μαΐου 2018 και Οκτωβρίου 2020), διαπιστώθηκε ότι ο υπεύθυνος επεξεργασίας δεδομένων όρισε σε αυτά τα έγγραφα ότι δεν επεξεργάζεται και δεν θα επεξεργάζεται δεδομένα υγείας. Ως εκ τούτου, η επεξεργασία των δεδομένων προσωπικού χαρακτήρα ήταν αδιαφανής , κάτι που δεν συνάδει με το άρθρο 12 παράγραφος 1 και το άρθρο 13 παράγραφος 1 και 2 του GDPR.
Επιπλέον, κατά την περίοδο από τον Μάιο του 2018 έως τον Ιανουάριο του 2019, ο υπεύθυνος επεξεργασίας δεδομένων επεξεργάστηκε δεδομένα που αφορούσαν 49.850 υποκείμενα δεδομένων καταγράφοντας τηλεφωνικές συνομιλίες χωρίς να έχει θεσπίσει τη νομική βάση που αναφέρεται στο άρθρο 6 παράγραφος 1 του ΓΚΠΔ, η οποία επίσης οδηγεί στην παράβαση του άρθρου 5 παράγραφος 2 του GDPR.
Κατόπιν αυτών η Αρχή Δεδομένων της Κροατίας επέβαλε διοικητικό πρόστιμο στον υπεύθυνο επεξεργασίας δεδομένων- στην εταιρεία Debt Collection Agency EOS Matrix doo- ύψους 5.470.000,00 ευρώ λόγω παραβάσεων των άρθρων 5, 6, 9, 12, 13 και 32 του GDPR. (legalnews24.gr/azop.hr)
Σχόλια