Amendă administrativă în valoare de 5 470 000 de euro aplicată de către Autoritatea Croată pentru Protecția Datelor Agenției de colectare a creanțelor EOS Matrix pentru prelucrarea neconformă a datelor cu caracter personal
Centrul Național pentru Protecția Datelor cu Caracter Personal (CNPDCP), cu titlu informativ și aplicativ, comunică despre amenda administrativă în valoare de 5 470 000 de euro aplicată de către Autoritatea Croată pentru Protecția Datelor (SA) Agenției de colectare a creanțelor EOS Matrix, pentru încălcarea articolelor 5, 6, 9, 12, 13 și 32 din GDPR.
Investigația a fost demarată urmare a unei petiții anonime în care se afirma că a existat o prelucrare neautorizată a unui număr mai mare de date cu caracter personal ale persoanelor fizice (debitori) de către EOS Matrix (operator de date). Petiția a fost însoțită de un stick USB care conținea 181641 date cu caracter personal ale persoanelor fizice cum ar fi: numele, prenumele, data nașterii și numărul de identificare personală care aveau datorii restante față de instituțiile de credit. În plus, în petiția în cauză se menționa că 294 de persoane fizice incluse în baza de date erau minori la momentul întocmirii acesteia.
În urma investigației s-a constatat că:
- Agenția de colectare a creanțelor EOS Matrix nu a implementat suficiente măsuri tehnice în sistemul de prelucrare – baza de date principală în cadrul căreia sunt prelucrate datele cu caracter personal a aproximativ 370 000 subiecți de date, contrar prevederilor stipulate la art. 32 din GDPR.
- Operatorul de date a prelucrat și date cu caracter personal ale unor persoane fizice care nu sunt debitori și nici reprezentanți legali ai moștenitorilor în relații debitor-creditor, contrar prevederilor stipulate la art. 6 alineatul (1) din GDPR.
- În ceea ce privește prelucrarea datelor privind sănătatea, s-a stabilit că operatorul de date a înregistrat în mod activ comentarii legate de starea de sănătate a debitorului contrar prevederilor stipulate la art. 9 alineatul (2) din GDPR. Examinând primele trei politici de confidențialitate (care au fost în vigoare între mai 2018 și octombrie 2020), s-a stabilit că operatorul de date a specificat că nu prelucrează și nu va prelucra date privind sănătatea. Prin urmare, prelucrarea datelor cu caracter personal a fost netransparentă, ceea ce nu este în conformitate cu art. 12 alineatul (1) și cu art. 13 alineatele (1) și (2) din GDPR.
- În plus, în perioada mai 2018 – ianuarie 2019, operatorul de date a prelucrat date referitoare la 49 850 de persoane vizate prin înregistrarea convorbirilor telefonice fără a fi stabilit temeiul juridic menționat la articolul 6 alineatul (1) din GDPR, ceea ce a condus, de asemenea, la încălcarea articolului 5 alineatul (2) din GDPR.
CNPDCP, în calitate de autoritate națională de supraveghere a prelucrării datelor cu caracter personal, accentuează asupra responsabilității operatorilor de date cu caracter personal de a respecta prevederile cadrului legislativ în materie de protecție a datelor cu caracter personal și de a se asigura că operațiunile de prelucrare a datelor cu caracter personal sunt conforme legislației în vigoare.