Chorwacki organ nadzoru (Agencija za zaštitu osobnih podataka) nałożył 5 470 000 euro administracyjnej kary pieniężnej na spółkę EOS Matrix d.o.o zajmującą się windykacją długów. Z bazy danych spółki skopiowano dane 181 tys. osób, spółka dowiedziała się jednak o tym fakcie od organu nadzorczego.
Pendrive z niespodzianką
W marcu 2023 r. do organu nadzorczego została złożona skarga na spółkę EOS Matrix d.o.o (administrator), agencję zajmującą się windykacją długów, które nabywała poprzez umowy cesji. Do skargi był dołączony pendrive z danymi ponad 181 tys. osób, które miały być fragmentem bazy danych administratora. Samo pismo wskazywało, że w bazie danych znajdują się dane 294 osób nieletnich, które nie mogły być dłużnikami. W związku z powyższym, organ rozpoczął postępowanie mające na celu zbadanie legalności działań administratora.
Brak kontroli nad bazą danych
Organ nadzoru w wyniku postępowania stwierdził, że administrator danych nie zapewnił wystarczających środków ochrony technicznej, które pozwoliłyby na szybkie wykrycie nieprawidłowości w systemie przetwarzającym dane osobowe około 370 tyś. osób. System ten mógłby wykrywać działania odstające od normy, takie jak zwiększona aktywność w pobieraniu danych z bazy, przesyłanie danych poza system, czy naruszenia dostępu użytkowników. Dopiero w roku 2021 wprowadzono system, który mógł ostrzegać o takich nieprawidłowościach i informować odpowiednie osoby poprzez alarmy oraz podejmować zautomatyzowane kroki w celu zapobieżenia dalszym nieuprawnionym działaniom. Właśnie z powodu tych braków doszło do utraty kontroli przez administratora nad danymi osobowymi. Spółka nie potrafiła wyjaśnić w jaki sposób same dane załączone do skargi, mogłyby zostać skopiowane z bazy. Organ stwierdził, że świadczy to o dużej frywolności i nieodpowiedzialności administratora w przetwarzaniu dużej ilości danych. Organ uznał, że w tym przypadku doszło do naruszenia art. 32 RODO.
Brak podstaw przetwarzania
W czasie kontroli potwierdził się również fakt przetwarzania danych nieletnich przez administratora. Ustalono, że przetwarzane są one wyłącznie w przypadku dziedziczenia, darowizny i w tych przypadkach komunikacja w celu uregulowania zadłużenia odbywa się wyłącznie za pośrednictwem przedstawiciela ustawowego małoletniego. Jednakże organ nadzoru potwierdził, że administrator przetwarza dane osobowe, osób, które nie są dłużnikami, ani przedstawicielami dłużników (były to najczęściej: imię, nazwisko, adres, numer telefonu). W tym przypadku organ uznał naruszenie art. 6 ust. 1 RODO.
Ponadto okazało się, że administrator przetwarza dane szczególnej kategorii, tj. dane o stanie zdrowia. Ustalono, że administrator po komunikacji z osobami, których dane dotyczą, aktywnie rejestruje w wewnętrznej bazie danych uwagi dotyczące stanu zdrowia dłużnika. W niektórych przypadkach stan zdrowia badanych był monitorowany aż po szczegóły indywidualnych diagnoz, w tym chorób terminalnych, co wyraźnie narażało prywatność podmiotów danych, szczególnie że dostęp do tej bazy mieli zwykli pracownicy administratora. Argument administratora wskazujący, że skoro osoby, których dane dotyczą, same przekazały takie informacje, to można je wprowadzić do bazy danych, został uznany za błędny. Jak wskazał organ nadzoru, rozmowa przez telefon, która z natury jest dość prywatna i swobodna, nie jest równoznaczna z ujawnieniem danych na forum publicznym, np. na social mediach, więc nie znajduje tu zastosowanie wyjątek z art. 9 ust. 2 lit. e RODO. Powyższe przetwarzanie danych szczególnej kategorii zostało uznane jako bez podstaw prawnych i naruszyło art. 9 RODO.
Niepełny obowiązek informacyjny
Organ nadzoru dopatrzył się również naruszeń RODO w zakresie spełniania obowiązku informacyjnego. Administrator nie wskazywał w swojej polityce prywatności, że przetwarza dane o stanie zdrowia dłużników, którzy kontaktują się z nim telefonicznie, przez co dłużnicy mogli tkwić w fałszywym przeświadczeniu, że te dane nie są zbierane.
Ponadto okazało się, ze rozmowy telefoniczne z dłużnikami były nagrywane, a oni sami byli jedynie informowani, że „mogą” być nagrywane. Organ nadzoru wskazał, że osoby muszą być w pełni świadome, czy rozmowa jest nagrywana, czy nie. Podmiot danych może myśleć, że dzieje się to tylko w niektórych sytuacjach.
Ponadto administrator od 2018 r. do 2019 r. nagrywał rozmowy bez podstawy prawnej. Dopiero w 2019 r. uznał, że podstawą nagrywania rozmów jest jego prawnie uzasadniony interes.
To nie moje dane!
Administrator zaprzeczał, że doszło do wycieku danych oraz że dane zawarte w skardze zostały zabrane z jego bazy danych. Wskazywał, że dane zawarte na pendrive są również dostępne w bazach danych administracji publicznej. Jak jednak wykazał organ nadzoru, dane o tym, że konkretna osoba pozostaje w relacji dłużnik-wierzyciel ze spółką wraz z innymi informacjami, nie jest już rejestrowane w żadnym systemie innych instytucji, z wyjątkiem systemu administratora. Natomiast indywidualni wierzyciele pierwotni mogli dysponować jedynie ograniczonym zakresem danych swoich klientów/dłużników, których wierzytelności przekazali administratorowi.
Wnioski
Brak technicznych możliwości nadzoru baz danych przez administratora może prowadzić do szybkiej utraty kontroli nad danymi osobowymi. Nie zapewnia też niezbędnej rozliczalności. Administrator, gdyby zaimplementował takie środki techniczne, mógłby wykryć naruszenie, zgłosić je i prawdopodobnie otrzymałby znacząco mniejszą karę. Ponadto dane pozwalające na wskazanie, kto i kiedy miał dostęp do bazy danych, i czy pobrał część rekordów z bazy, pozwoliłby stworzyć bardziej przekonującą linię obrony.
Warto również zauważyć, że zbieranie danych szczególnej kategorii wiąże się z dużym ryzykiem, i rosnącymi wymaganiami w zakresie ochrony danych osobowych. Czy aby na pewno agencja windykacyjna potrzebuje danych o stanie zdrowia dłużników? W tej sprawie przyniosło jej to więcej kłopotów niż korzyści.
Na sam koniec trzeba podkreślić, że nagrywanie rozmów telefonicznych w niektórych przypadkach jest uzasadnione. Jednakże nagrywając taką rozmowę, należy pamiętać, żeby zawsze informować rozmówcę o nagrywaniu.
Źródło: