EOS MATRIX CASE – zaštita osobnih podataka

EOS Matrixu, tvrtki koja se bavi naplatom potraživanja, odnosno utjerivanjem dugova, Agencija za zaštitu osobnih
podataka (AZOP) upravo je izrekla novčanu kaznu u iznosu od 5,47 milijuna eura (41,214 milijuna kuna).

Drakonska kazna AZOP-a uslijedila je nakon što su mediji u proljeće ove godine otkrili kako je iz agencije za naplatu
potraživanja EOS Matrix procurilo više od 181 tisuće povjerljivih podataka fizičkih osoba, među kojima su bili i podaci
maloljetnika.

Iz AZOP-a navode da su 22. ožujka zaprimili anonimnu predstavku u kojoj se navodi kako je došlo do neovlaštene
obrade većeg broja osobnih podataka fizičkih osoba (dužnika) od strane EOS Matrix.

Kako dodaju, predstavci je priložen USB stick na kojemu se nalaze 181.641 osobnih podataka fizičkih osoba u
strukturi ime i prezime, datum rođenja te OIB, a koji su imali nepodmireno dugovanje prema inicijalnim vjerovnicima
koje je temeljem ugovora o cesiji otkupilo društvo EOS Matrix. Isto tako, u predstavci je navedeno je kako se u bazi
podataka nalazi i 294 fizičke osobe koje su u vremenu sastavljanja baze podataka bili maloljetni. Po zaprimljenoj
prijavi, Agencija je provela nadzorno postupanje nad EOS Matrixom, naovde iz te agencije.

Kako je AZOP utvrdio, EOS Matrix nije poduzeo odgovarajuće tehničke mjere zaštite obrade osobnih podataka
ispitanika sadržanih u sustavima pohrane, potom je obrađivao osobne podatke ispitanika koji nisu u dužničko-
vjerovničkom odnosu u svojoj bazi (aplikaciji) bez postojanja pravne osnove, kao i osobne podatke posebne
kategorije (zdravstvene podatke) ispitanika.

Nadalje, kako navode iz AZOP-a, EOS Matrix nije na transparentan i propisani način informirao ispitanike o obradi
njihovih zdravstvenih podataka u politikama privatnosti, aa snimanje telefonskih razgovora s ispitanicima u razdoblju
od 25. svibnja 2018. godine do 16. siječnja 2019. godine nije imao utvrđenu pravnu osnovu, te nije na razumljiv i jasan
način informirao ispitanike o obradi osobnih podataka u vidu snimanja telefonskih razgovora.

U nastavku donosimo AZOP-ovo priopćenje u cijelosti.

"EOS Matrix d.o.o. kao voditelju obrade zbog sljedeće utvrđenih povreda Opće uredbe o zaštiti podataka:

1. Voditelj obrade nije poduzeo odgovarajuće tehničke mjere zaštite obrade osobnih podataka ispitanika
sadržanih u sustavima pohrane, a što je protivno članku 32. stavku 1. točke b) i stavku 2. Opće uredbe o
zaštiti podataka.
2. Voditelj obrade obrađivao je osobne podatke ispitanika koji nisu u dužničkovjerovničkom odnosu u svojoj
bazi (aplikaciji) bez postojanja pravne osnove iz članka 6. stavka 1. Opće uredbe o zaštiti podataka.
3. Voditelj obrade je obrađivao osobne podatke posebne kategorije (zdravstvene podatke) ispitanika u svojoj
bazi (aplikaciji) bez postojanja pravne osnove iz članka 6. stavka 1. te s tim u vezi članka 9. stavka 2. Opće
uredbe o zaštiti podataka.
4. Voditelj obrade nije na transparentan i propisani način informirao ispitanike o obradi njihovih zdravstvenih
podataka u politikama privatnosti, a što je protivno članku 12. stavku 1. Opće uredbe o zaštiti podataka te s
tim u vezi članku 13. stavku 1. i 2. Opće uredbe o zaštiti podataka.
5. Za snimanje telefonskih razgovora s ispitanicima u razdoblju od 25. svibnja 2018. godine do 16. siječnja 2019.
godine, voditelj obrade nije imao utvrđenu pravnu osnovu iz članka 6. stavka 1. Opće uredbe o zaštiti
podataka te je s tim u vezi došlo do povrede i članka 5. stavka 2. Opće uredbe o zaštiti podataka.
 6. Voditelj obrade nije na razumljiv i jasan način informirao ispitanike o obradi osobnih podataka u vidu
snimanja telefonskih razgovora, a čime je postupio protivno članku 12. stavku 1. Opće uredbe o zaštiti
podataka.

Agencija za zaštitu osobnih podataka 22. ožujka 2023. godine zaprimila je anonimnu predstavku u kojoj se navodi
kako je došlo do neovlaštene obrade većeg broja osobnih podataka fizičkih osoba (dužnika) od strane EOS Matrix
d.o.o. Predstavci je priložen USB stick na kojemu se nalaze 181 641 osobnih podataka fizičkih osoba u strukturi ime
i prezime, datum rođenja te OIB, a koji su imali nepodmireno dugovanje prema inicijalnim vjerovnicima koje je
temeljem ugovora o cesiji otkupilo društvo EOS Matrix d.o.o. Isto tako, u predmetnoj predstavci navedeno je kako se
u bazi podataka nalazi i 294 fizičke osobe koje su u vremenu sastavljanja baze podataka bili maloljetni.

Po zaprimljenoj prijavi, Agencija je provela nadzorno postupanje nad voditeljem obrade, EOS Matrix d.o.o. U pogledu
navedene točke 1., utvrđeno je kako voditelj obrade nije implementirao dovoljne tehničke mjere zaštite koje bi mogle
u sustavu obrade (glavnoj bazi podataka unutar koje obrađuje osobne podatke oko 370.000 ispitanika)
pravovremeno prepoznati aktivnosti koje odudaraju od uobičajenih (npr. povećan broj dohvata podataka u bazi,
prijenos podataka izvan sustava, kompromitacija korisničkog pristupa i dr.). Sustav koji je mogao upozoriti na
anomalije u sustavu obrade te o tome izvijestiti nadležne osobe putem alarma i/ili pokrenuti automatiziranu mjeru
sprječavanja daljnjih mogućih neovlaštenih aktivnosti, implementiran je tek tijekom 2021. Upravo zbog manjkavosti
u sustavu sigurnosti došlo je do nesigurne obrade osobnih podataka velikim brojem ispitanika te je društvo izgubilo
nadzor nad kretanjem osobnih podataka njihovih ispitanika te nije moglo objasniti uzroke, ni načine eksfiltracije
podataka, a što dodatno govori o lakomislenosti postupanja s velikim brojem osobnih podataka njihovih ispitanika.

Naime, navedeni voditelj obrade nije na odgovarajući način proveo tehničke mjere kako bi osigurao odgovarajuću
razinu sigurnosti s obzirom na rizik, a sve sukladno odredbi članka 32. Opće uredbe o zaštiti podataka. U nadzornom
postupanju, utvrđeno je kako je EOS Matrix d.o.o. obrađivao i osobne podatke osoba koje nisu dužnici (najčešće
telefonski broj te ime i prezime i adresu stanovanja), niti zakonski zastupnici nasljednika u dužničko-vjerovničkim
odnosima te za koje nije postojala pravna osnova iz članka 6. stavka 1. Opće uredbe o zaštiti podataka da se njihovi
osobni podaci aktivno unesu u bazu te dalje obrađuju u svrhe naplate potraživanja stvarnih dužnika.

Što se tiče obrade zdravstvenih podataka, utvrđeno je kako je EOS Matrix d.o.o. nakon komunikacije s ispitanicima,
u internoj bazi podataka uz određene ispitanike aktivno bilježio komentare koji se odnose na zdravstveno stanje
dužnika. Posebno je zabrinjavajuća situacija gdje je zdravstveno stanje predmetnih ispitanika bilo praćeno sve do
detalja pojedinih dijagnoza koje su uključivale i terminalna oboljenja, a koja gotovo na maksimalnoj razini izlažu
nečiju privatnost osobama koje su ovlaštene za pristup aplikaciji (bazi) koju koriste zaposlenici EOS Matrix-a d.o.o.
Naime, argumenti EOS Matrix-a d.o.o. kako su sami ispitanici dali takve informacije, ne znači da se isti mogu dalje
aktivno unositi u bazu podataka te na taj način obogaćivati bazu i iste dalje obrađivati.

Kako bi se moglo aktivno bilježiti nečiji zdravstveni podatak temeljem iznošenja istog od strane ispitanika, sami
ispitanik bi takve podatke trebao iznijeti u javnosti (npr. putem sredstava javnog priopćavanja, društvenih mreža i
sl.), a što se svakako ne odnosi na telefonski razgovor između dvije osobe, koji se može smatrati vrstom povjerljivog
razgovora. Slijedom navedenog, ne može se smatrati da u konkretnom slučaju postoji iznimka za obradu
zdravstvenih podataka iz članka 9. stavka 2. točke e) Opće uredbe o zaštiti podataka. Nadalje, pozivanje na pravnu
osnovu u pogledu izvršavanja ugovora, kao i legitimnog interesa (na što se pozivalo predmetno društvo) isto ne može
biti pravna osnova, budući da obrada zdravstvenih podataka nije nužna za postizanje predviđene svrhe. Ukoliko je
cilj bolja naplata prema dužniku te izbjegavanje komuniciranja uslijed zdravstvenog stanja, tada bi se ista svrha
mogla postići i bilježenjem generalnog komentara o potrebi izbjegavanja kontakta određeno vrijeme uslijed osobnog
stanja dužnika, bez isticanja preciznih zdravstvenih podataka. Također, a vezano uz obradu zdravstvenih podataka,
uvidom u prve tri politike privatnosti (koje su bile na snazi u periodima od 25. svibnja 2018. do 29. listopada 2020.
godine) utvrđeno je kako je EOS Matrix d.o.o. u istima definirao kako ne obrađuje te neće obrađivati zdravstvene
podatke. Takvim načinom došlo je do netransparentne obrade osobnih podataka, budući da ispitanici nisu mogli
očekivati da se njihovi zdravstveni podaci koje iznesu u telefonskom razgovoru aktivno bilježe u bazi te da se dalje
obrađuju, čime je došlo do povreda navedenih u točki 4. Ovim načinom obrade, ispitanici nisu znali da su njihovi
zdravstveni podaci dostupni svim za to ovlaštenim osobama koje imaju pristup predmetnoj bazi podataka EOS
Matrix d.o.o.

Isto tako, u razdoblju od 25. svibnja 2018. do 16. siječnja 2019. godine došlo je obrade osobnih podataka 49.850
ispitanika na način da su snimani telefonski razgovori bez utvrđenja pravne osnove iz članka 6. stavka 1. Opće uredbe
o zaštiti podataka te s tim u svezi povrede i odredbi članka 5. stavka 2. Opće uredbe o zaštiti podataka. Naime, tek
16. siječnja 2019. godine EOS Matrix d.o.o. proveo je test legitimnog interesa te utvrdio da posjeduje pravnu osnovu
iz članka 6. stavka 1. točke f) za snimanje telefonskih razgovora. U tom smislu, potrebno je navesti kako se legitimni
interes dokazuje na način da voditelj obrade prije trenutka obrade osobnih podataka mora dokazati kako u pogledu
konkretne obrade osobnih podataka pretežu njegova prava da krene s takvom obradom (konkretno snimanje
telefonskih razgovora) u odnosu na interese te prava i slobode ispitanika odnosno dužnika. Nadalje, a u pogledu
snimanja telefonskih razgovora, utvrđeno je kako EOS Matrix d.o.o. od 2014. godine (relevantno od 25. svibnja 2018.
godine) koristi funkcionalnost snimanja telefonskih razgovora s dužnicima te tom prilikom naznačuje kako razgovor
"može" biti sniman. Svi voditelji obrade kod bilo kakve obrade osobnih podataka dužni su proaktivno komunicirati
prema ispitanicima jasnim, nedvosmislenim i razumljivim jezikom sva njihova prava iz Opće uredbe o zaštiti
podataka. Naime, upotrebom konstrukcije "može biti sniman" dužnici nisu bili sigurni snima li se razgovor ili se isti
može snimati samo u pojedinim situacijama, pa nisu niti znali obrađuju li se njihovi osobni podaci na taj način ili ne.
EOS Matrix d.o.o. je trebao koristiti jasnu jezičnu formulaciju "ovaj razgovor se snima u svrhu…" te bi takvim načinom
bila poštivana odredba članka 12. stavka 1. Opće uredbe o zaštiti podataka, dok je na ovaj način došlo do kršenja
iste.

Tijekom nadzornog postupanja, Agencija je utvrđivala i navode iz zaprimljene predstavke o obradi osobnih podataka
maloljetnika te je utvrđeno je kako se isti obrađuju samo u slučaju postojanja nasljedstva, darovanja te se u tim
slučajevima proaktivna komunikacija u svrhu podmirenja duga provodi isključivo putem zakonskog zastupnika
maloljetne osobe. Naime, EOS Matrix d.o.o. ne provodi naplatu prema maloljetnicima i u slučaju da zaprime podatke
koji se odnose na maloljetnike, isto vraćaju pošiljatelju ili u slučaju nemogućnosti reotkupa dug otpisuje.

U konkretnom slučaju nije utvrđeno na koji je točno način došlo do eksfiltracije 181.641 osobnih podataka, a s
obzirom na to da je u konkretnom slučaju riječ o možebitnom počinjenju kaznenog djela nedozvoljene uporabe
osobnih podataka te kaznenih djela protiv računalnih sustava, programa i podataka, te je isto u nadležnosti
Ministarstva unutarnjih poslova.

Pritom napominjemo kako Agencija aktivno surađuje sa Policijskom upravom zagrebačkom i Općinskim državnim
odvjetništvom u Zagrebu koji provode izvidne radnje. Naime, iako EOS Matrix d.o.o. negira da su osobni podaci izuzeti
iz njihovog sustava pohrane te navodi da tim osobnim podacima raspolažu i tijela državne uprave, no u vezi toga
važno je za istaknuti kako podatak da je određena osoba u dužničko-vjerovničkom odnosu upravo s društvom EOS
Matrix d.o.o. uz ostale osobne podatke, nema evidentiranih ni u jednom sustavu pohrane kod drugih institucija, osim
u sustavu EOS Matrix-a d.o.o., dok pojedinačno primarni vjerovnici su mogli raspolagati samo s opsegom
ograničenim na svoje klijente/dužnike, a čija dugovanja su prodali EOS Matrix-u d.o.o. Slijedom navedenog,
nedvojbeno je utvrđeno kako su osobni podaci koji su Agenciji dostavljeni putem USB sticka izuzeti iz baze EOS
Matrix-a d.o.o."

EOS Matrix odbacuje mogućnost neovlaštenog iznošenja osobnih podataka iz vlastite baze te je podnio kaznenu
prijavu DORH-u

Nakon objave Agencije za zaštitu osobnih podataka (AZOP), oglasili su se iz tvrtke EOS Matrix d.o.o. (EOS Matrix), a
njihovo priopćenje prenosimo u cijelosti:
• Forenzička ispitivanja provedena od strane neovisne informatičke tvrtke utvrdila su kako se podaci
dostavljeni AZOP-u značajno razlikuju od podataka koji se nalaze u EOS Matrix d.o.o. bazi podataka. Podaci
koji su anonimno dostavljeni AZOP-u sadrže tri kategorije podatka – ime i prezime, datum rođenja i OIB te ne
sadrže financijske ili bilo kakve druge podatke vezane isključivo uz poslovne procese EOS Matrixa.
• Navedeno potvrđuje da EOS Matrix nije izvor podataka koji su bili predmetom nadzora AZOP-a. S ciljem
provjere i potvrde razine zaštite podataka i stabilnosti sustava informacijske sigurnosti EOS Matrixa,
provedena je i neovisna forenzička analiza. Provedene kontrole sustava i poslovnih procesa pokazale su kako
nema dokaza da su podaci neovlašteno izneseni upravo iz sustava EOS Matrixa.
• S ciljem utvrđivanja stvarnog izvora podataka dostavljenih AZOP-u i okolnosti vezanih uz navodno
neovlašteno iznošenje osobnih podataka, EOS Matrix je dana 5. svibnja 2023. podnio kaznenu prijavu
Općinskom državnom odvjetništvu u Zagrebu protiv nepoznatog počinitelja zbog osnovane sumnje u
počinjenje teških kaznenih djela protiv računalnih sustava, programa i podataka, kao i za nedozvoljenu
uporabu osobnih podataka.
• Naglašavamo kako je od početka nadzornog postupka EOS Matrix u potpunosti surađivao s AZOP-om na
transparentan način i dostavio AZOP-u svu traženu dokumentaciju u punom opsegu i u zadanim rokovima,
te je bio na raspolaganju za sva potrebna pojašnjenja i dostavljanje dodatnih podataka.
• EOS Matrix provodi opsežne organizacijske i tehničke mjere zaštite osobnih podataka. Visoko razvijeni
standardi sigurnosti i zaštite osobnih podataka ispitanika predstavljaju osnovne preduvjete za postupak
naplate duga. Od 2018. godine, EOS Matrix nositelj je certifikata informacijske sigurnosti ISO/IEC
27001:2013, koji je prepoznat kao jedan od najviših standarda međunarodne certifikacije u području
informacijske sigurnosti i zaštite podataka. Također, naše tehničke i organizacijske mjere zaštite podataka
vrlo su konkretne i jasno propisane internom dokumentacijom te su implementirane unutar društva.
• Slijedom navedenoga, nakon detaljnog razmatranja AZOP-ovog rješenja, namjeravamo iskoristiti sve pravne
lijekove koje imamo na raspolaganju radi zaštite vlastitih legitimnih interesa te poduzeti sve ostale pravne
radnje u cilju očuvanja svojih prava, zaštite reputacije Društva i svih naših dionika.