Společnost vymáhající pohledávky pokutována 5,47 milionu EUR za masivní porušení GDPR v Chorvatsku
Chorvatský úřad pro ochranu údajů uložil správní pokutu ve výši 5 470 000,00 EUR společnosti, která vymáhá pohledávky, za několikanásobné porušení GDPR.
V březnu 2023 obdržel chorvatský úřad pro ochranu údajů anonymní podání, v němž se uvádí, že tato agentura pro vymáhání pohledávek (správce), neoprávněně zpracovávala velké množství osobních údajů. Úřad obdržel USB disk obsahující osobní údaje včetně jména a příjmení, data narození a identifikačního čísla 181 641 osob, které měly nesplacené dluhy vůči věřitelům, jež získala tato společnost. Kromě toho databáze obsahovala také osobní údaje 294 osob, které byly v době zpracování nezletilé.
Na základě těchto informací zahájil chorvatský úřad pro ochranu údajů šetření z vlastní vůle.
Stanovisko
Chorvatský úřad pro ochranu osobních údajů při svém šetření zjistil, že správce údajů porušil několik činností zpracování osobních údajů.
Za prvé, úřad rozhodl, že správce porušil ustanovení čl. 32 odst. 1 písm. b) GDPR a čl. 32 odst. 2 GDPR, neboť nepřijal vhodná technická opatření k ochraně osobních údajů obsažených v jeho databázi s ohledem na daná rizika. Správce údajů totiž nezavedl poplašný systém, který by ho upozornil na anomálie v činnostech zpracování, a tak ztratil kontrolu nad významným množstvím osobních údajů.
Zadruhé, úřad shledal, že správce údajů neměl právní základ podle čl. 6 odst. 1 písm. a) obecného nařízení o ochraně osobních údajů pro zpracování osobních údajů ve své databázi subjektů údajů, které nebyly ve vztahu dlužník-věřitel se správcem údajů ani s právními zástupci dlužníků.
Zatřetí správce údajů protiprávně zpracovával zvláštní kategorie osobních údajů, zejména údaje o zdravotním stavu subjektů údajů, včetně jednotlivých diagnóz, bez odpovídajícího právního základu podle čl. 6 odst. 1 GDPR a podle čl. 9 odst. 2 GDPR. Dále v souvislosti s tím správce údajů ve svých zásadách ochrany osobních údajů neuvedl, že budou zpracovávány údaje týkající se zdravotního stavu subjektů údajů, což je v rozporu s čl. 12 odst. 1 GDPR, čl. 13 odst. 1 GDPR a čl. 13 odst. 2 GDPR.
A konečně úřad rozhodl, že správce v období od 25. května 2018 do 16. ledna 2019 protiprávně nahrával telefonické rozhovory se subjekty údajů, neboť k tomu neměl právní základ podle čl. 6 odst. 1 nařízení GDPR, což představuje rovněž porušení čl. 5 odst. 2 nařízení GDPR. V této souvislosti úřad rovněž konstatoval, že správce porušil čl. 12 odst. 1 GDPR, neboť subjekty údajů o těchto činnostech zpracování jasně neinformoval.
Na základě všech těchto skutečností chorvatský úřad pro ochranu údajů udělil společnosti za výše uvedená porušení GDPR pokutu ve výši 5 470 000,00 EUR.