Agencije za naplatu potraživanja ili kolokvijalno zvani "utjerivači dugova" već su se našli na udaru kritika zbog svojih beskrupuloznih taktika prilikom prisiljavanja dužnika na plaćanje.
No, jedna će takva agencija svoju pogrešku skupo platiti. Kako su objavili iz Agencije za zaštitu osobnih podataka, agencija za naplatu potraživanja B2 Kapital morat će platiti 2,265 milijuna eura kazne zbog curenja osobnih podataka dužnika.
Točnije, kako navode iz AZOP-a, nisu jasno i točno informirali ljude koje su zvali o obradi njihovi osobnih podataka, zbog čega je došlo do netransparentne obrade osobnih podataka. Iako su upozoreni na taj propust, do danas nisu promijenili svoju politiku privatnosti.
Osim toga, nemaju sklopljen ugovor o obradi osobnih podataka s izvršiteljem obrade za uslugu praćenja jednostavnog stečaja potrošača te je time ugrožena sigurnost osobnih podataka 83.896 ispitanika (OIB).
Također, navode iz AZOP-a, voditelj obrade nije poduzimao odgovarajuće tehničke i organizacijske mjere zaštite kod obrade osobnih podataka. Zbog toga su ugroženi podaci najmanje 132.652 osobe (osnovni identifikacijski podaci poput imena i prezimena, datuma rođenja i OIB-a) te posljedično i svih osobnih podataka koji su zavedeni u sustavima pohrane agencije za naplatu potraživanja, a koji su financijske prirode te su na taj način prilično osjetljivi.
Kako ističu iz AZOP-a, još su u prosincu 2022. godine primili anonimnu prijavu u kojoj je navedeno kako je došlo do neovlaštene obrade većeg broja osobnih podataka fizičkih osoba – dužnika koju je provela agencija za naplatu potraživanja te je priložen USB na kojemu se nalaze osobni podaci u strukturi ime i prezime, datum rođenja te OIB za ukupno 77.317 fizičkih osoba koje su imale nepodmireno dugovanje prema kreditnim institucijama, a koje je temeljem ugovora o cesiji otkupila agencija za naplatu potraživanja.
Temeljem službene dužnosti Agencija je pokrenula nadzorno postupanje u prosincu 2022. te provela postupak u kojemu su utvrđene tri prethodno opisane povrede zbog nemarnog postupanja voditelja obrade (agencije za naplatu potraživanja). Voditelj obrade najveći stupanj odgovornosti snosi zbog nepoduzimanja tehničkih mjera zaštite budući da je upravo zbog manjkavosti u takvom sustavu sigurnosti došlo do nesigurne obrade većeg broja osobnih podataka. Agencija za naplatu potraživanja izgubila je potpuni nadzor nad kretanjem osobnih podataka njihovih ispitanika te nije mogla objasniti uzroke neovlaštene eksfiltracije (izvlačenja) osobnih podataka, ističu iz AZOP-a.
Dodaju i kako je Agencija za naplatu potraživanja odugovlačila s odgovaranjem na upite AZOP-a, ali i da nije dostavila sve tražene podatke.
Kao dodatna otegotna okolnost uzeta je u obzir i činjenica kako voditelj obrade do današnjeg dana nije obavijestio Agenciju da je poduzeo dodatne mjere zaštite koje bi prevenirale buduće rizike od utvrđenih povreda te kako do danas nije prilagodio politiku privatnosti dostupnu na njihovim mrežnim stranicama, ističu iz AZOP-a.
S obzirom na sve što su utvrdili, zaključili su kako je riječ o kršenju više odredbi Opće uredbe o zaštiti podataka.
I to jedne od vodećih kompanija u području naplate potraživanja, a koja si nije smjela dopustiti da obrađuje osobne podatke velikog broja ispitanika na netransparentan i nesiguran način, naglašavaju iz AZOP-a.
Posebno zabrinjava što, kako ističu iz AZOP-a, voditelj obrade vjerojatno ne bi nikada ni uočio eksfiltraciju osobnih podataka velikog broja ispitanika, najmanje za njih 77.317 iz njihova sustava da agencija za zaštitu osobnih podataka nije zaprimila anonimnu prijavu te provela nadzor. Do današnjeg dana voditelj obrade nije razjasnio sve okolnosti nastale povrede, odnosno iznošenja određenog opsega osobnih podataka izvan njihova sustava pohrane, a što dodatno govori o neodgovarajućim mjerama zaštite voditelja obrade.
Uz sve to ističu kako je u konkretnom slučaju riječ o mogućoj individualnoj kaznenopravnoj odgovornosti, odnosno počinjenju kaznenog djela, a što je u nadležnosti Ministarstva unutarnjih poslova, koje provodi kriminalističko istraživanje.