Firma windykacyjna musi zapłacić ponad 5 mln za liczne naruszenia ochrony danych
Chorwacja firma windykacyjna przetwarzała dane osobowe wielu dłużników, a mimo to nie wdrożyła odpowiednich środków bezpieczeństwa. Poza tym przetwarzane były też dane osobowe o zdrowiu – bez podstawy prawnej. Do tego firma nie informowała dłużników o tak szerokim zakresie przetwarzania danych. Liczne naruszenia ochrony danych złożyły się na karę w wysokości ponad 5 mln zł.
Firma windykacyjna przetwarzała dane w dużej skali
Chorwacka firma windykacyjna EOS Matrix d.o.o. w sposób nieuprawniony przetwarzała dane osobowe dłużników. Przetwarzaniu podlegały dane ponad 181 tys. osób w postaci:
-
imienia i nazwiska,
-
daty urodzenia,
-
numerów ID (odpowiedników PESEL).
Były to dane dłużników w zakresie wierzytelności przejętych przez firmę windykacyjną.
Co ciekawe, w momencie tworzenia tej bazy danych, 284 osoby ujęte w tej bazie były niepełnoletnie.
Brak środków bezpieczeństwa danych
Mimo przetwarzania danych osobowych w tak znacznym zakresie administrator nie wdrożył środków bezpieczeństwa danych pozwalających wykryć zagrożenie np.:
-
zwiększoną liczbę wyszukiwań danych w bazie,
-
transfer danych poza system,
-
naruszenie dostępu użytkowników.
Przetwarzanie danych o zdrowiu bez podstawy prawnej
Poza tym jak się okazało, przetwarzane były dane osobowe nie tylko dłużników. W tym zakresie stwierdzono brak podstawy przetwarzania. Wreszcie chorwacki organ nadzorczy zarzucił firmie windykacyjnej przetwarzanie danych osobowych o stanie zdrowia dłużników bez podstawy prawnej wynikającej z art. 9 ust. 2 RODO. Co więcej, administrator w politykach prywatności deklarował, że takich danych nie przetwarza. W ten sposób naruszona była reguła przejrzystości, bowiem administrator nie informował o przetwarzaniu danych szczególnej kategorii.
Bezpodstawne nagrywanie rozmów z dłużnikami
To jednak nie wszystko. Stwierdzono również, że firma windykacyjna nagrała rozmowy telefoniczne blisko 50 tys. osób bez podstawy prawnej.
Wszystkie te naruszenia złożyły się na bardzo wysoką karę 5 470 000 euro.
- Mechanizmy dochodzenia roszczeń w związku z wdrożeniem ram ochrony danych UE - USA
- TSUE: Identyfikator personalizacji reklam zaliczany do danych osobowych według RODO
- Kara za przetwarzanie danych osobowych w rozmowach telefonicznych bez podstawy prawnej
- Zgoda marketingowa – czy także od firmy lub instytucji
- Wpływ sztucznej inteligencji na ochronę danych osobowych
- Zgoda na przetwarzanie danych osobowych do celów reklamy behawioralnej – jak powinna wyglądać
Wideo: Przegląd orzecznictwa (sierpień – listopad 2022 r.) – cz. III – decyzje zagranicznych organów nadzorczych
Poznaj najważniejsze orzeczenia zagranicznych organów nadzorczych. W podsumowaniu poruszamy zagadnienia związane m.in. z geolokalizacją, prawem dostępem do danych, cyberatakiem na gminę czy rozpoznawaniem twarzy.
