EOS Matrix nakon kazne AZOP-a i dalje tvrdi da nije bilo curenja podataka

Tvrtka EOS Matrix d.o.o. u četvrtak je reagirala na priopćenje Agencije za zaštitu osobnih podataka (AZOP) te odbacila mogućnost neovlaštenog iznošenja osobnih podataka iz vlastite baze.

AZOP je, naime, ranije danas priopćio da je, nakon provedenog nadzora, agenciji za naplatu potraživanja EOS Matrix odredila novčanu kaznu od 5,47 milijuna eura niza povreda Opće uredbe o zaštiti podataka.

Ta je agencija navela da je 22. ožujka zaprimila anonimnu predstavku u kojoj se navodi kako je došlo do neovlaštene obrade većeg broja osobnih podataka fizičkih osoba (dužnika) od strane EOS Matrix, a proveli su i nadzor nad tvrtkom EOS Matrix i u priopćenju naveli šest točaka utvrđenih povreda Opće uredbe o zaštiti podataka.

Odbacuju tvrdnje AZOP-a

Iz EOS Matrix u večeras objavljenom priopćenju odbacuju mogućnost neovlaštenog iznošenja osobnih podataka iz vlastite baze. “Forenzička ispitivanja provedena od strane neovisne informatičke tvrtke utvrdila su kako se podaci dostavljeni AZOP-u značajno razlikuju od podataka koji se nalaze u EOS Matrix d.o.o. bazi podataka.

Podaci koji su anonimno dostavljeni AZOP-u sadrže tri kategorije podatka – ime i prezime, datum rođenja i OIB te ne sadrže financijske ili bilo kakve druge podatke vezane isključivo uz poslovne procese EOS Matrixa”, navodi se u priopćenju. To, kako nadalje ističu, “potvrđuje da EOS Matrix nije izvor podataka koji su bili predmetom nadzora AZOP-a”.

Iz EOS Matrixa navode i kako je, s ciljem provjere i potvrde razine zaštite podataka i stabilnosti sustava informacijske sigurnosti EOS Matrixa, provedena i neovisna forenzička analiza. “Provedene kontrole sustava i poslovnih procesa pokazale su kako nema dokaza da su podaci neovlašteno izneseni upravo iz sustava EOS Matrixa”, ponavljaju iz te tvrtke.

Podnijeli kaznenu prijavu

Ističu i kako je s ciljem utvrđivanja stvarnog izvora podataka dostavljenih AZOP-u i okolnosti vezanih uz navodno neovlašteno iznošenje osobnih podataka, “EOS Matrix 5. svibnja 2023. podnio kaznenu prijavu Općinskom državnom odvjetništvu u Zagrebu protiv nepoznatog počinitelja zbog osnovane sumnje u počinjenje teških kaznenih djela protiv računalnih sustava, programa i podataka, kao i za nedozvoljenu uporabu osobnih podataka”.

Naglašavaju i kako je od početka nadzora EOS Matrix u potpunosti surađivao s AZOP-om na transparentan način i dostavio AZOP-u svu traženu dokumentaciju u punom opsegu i u zadanim rokovima, te je bio na raspolaganju za sva potrebna pojašnjenja i dostavljanje dodatnih podataka.

“EOS Matrix provodi opsežne organizacijske i tehničke mjere zaštite osobnih podataka. Visoko razvijeni standardi sigurnosti i zaštite osobnih podataka ispitanika predstavljaju osnovne preduvjete za postupak naplate duga”, tvrde iz EOS Matrixa.

Poduzet će pravne radnje

Također, navode i kako je ta tvrtka od 2018. godine nositelj certifikata informacijske sigurnosti ISO / IEC 27001:2013, kako su njihove tehničke i organizacijske mjere zaštite podataka vrlo konkretne i jasno propisane internom dokumentacijom te su implementirane unutar društva.

“Slijedom navedenoga, nakon detaljnog razmatranja AZOP-ovog rješenja, namjeravamo iskoristiti sve pravne lijekove koje imamo na raspolaganju radi zaštite vlastitih legitimnih interesa te poduzeti sve ostale pravne radnje u cilju očuvanja svojih prava, zaštite reputacije društva i svih naših dionika”, zaključuje se u priopćenju EOS Matrixa.

Iz AZOP-a su u svom priopćenju naveli kako je anonimnoj predstavci koju su zaprimili u ožujku ove godine bio priložen USB stick sa 181.641 osobnih podataka fizičkih osoba u strukturi ime i prezime, datum rođenja te OIB, a koji su imali nepodmireno dugovanje prema inicijalnim vjerovnicima koje je temeljem ugovora o cesiji otkupilo društvo EOS Matrix. Isto tako, u predstavci je navedeno je kako se u bazi podataka nalazi i 294 fizičke osobe koje su u vremenu sastavljanja baze podataka bili maloljetni.

‘EOS Matrix nije zaštitio podatke’

Agencija je u nadzoru utvrdila da EOS Matrix nije poduzeo odgovarajuće tehničke mjere zaštite obrade osobnih podataka ispitanika sadržanih u sustavima pohrane, da je obrađivao osobne podatke ispitanika koji nisu u dužničko-vjerovničkom odnosu u svojoj bazi (aplikaciji) bez postojanja pravne osnove, kao i osobne podatke posebne kategorije (zdravstvene podatke) ispitanika.

Nadalje su naveli da EOS Matrix nije na transparentan i propisani način informirao ispitanike o obradi njihovih zdravstvenih podataka u politikama privatnosti, da za snimanje telefonskih razgovora s ispitanicima u razdoblju od 25. svibnja 2018. do 16. siječnja 2019. nije imao utvrđenu pravnu osnovu te da nije na razumljiv i jasan način informirao ispitanike o obradi osobnih podataka u vidu snimanja telefonskih razgovora.