Chorwacja firma windykacyjna przetwarzała dane osobowe wielu dłużników, a mimo to nie wdrożyła odpowiednich środków bezpieczeństwa. Poza tym przetwarzane były też dane osobowe o zdrowiu – bez podstawy prawnej. Do tego firma nie informowała dłużników o tak szerokim zakresie przetwarzania danych. Liczne naruszenia ochrony danych złożyły się na karę w wysokości ponad 5 mln zł.
Chorwacka firma windykacyjna EOS Matrix d.o.o. w sposób nieuprawniony przetwarzała dane osobowe dłużników. Przetwarzaniu podlegały dane ponad 181 tys. osób w postaci: imienia i nazwiska, daty urodzenia, numerów ID (odpowiedników PESEL). Były to dane dłużników w zakresie wierzytelności przejętych przez firmę windykacyjną.
Mimo przetwarzania danych osobowych w tak znacznym zakresie administrator nie wdrożył środków bezpieczeństwa danych pozwalających wykryć zagrożenie np.: zwiększoną liczbę wyszukiwań danych w bazie, transfer danych poza system, naruszenie dostępu użytkowników.
Stwierdzono również, że firma windykacyjna nagrała rozmowy telefoniczne blisko 50 tys. osób bez podstawy prawnej.
Wszystkie te naruszenia złożyły się na bardzo wysoką karę 5 470 000 euro.
Link do pełnej treści decyzji:
