Vse se je začelo 22. marca 2023, ko je hrvaški nadzorni organ, Agencija za zaščito osebnih podatkov (AZOP), prejel anonimno prijavo, v kateri je bilo navedeno, da je agencija za izterjavo dolgov, družba EOS Matrix d.o.o., nedovoljeno obdelovala večje število osebnih podatkov fizičnih oseb – dolžnikov. Prijavi je bil priložen ključek USB, ki je vseboval 181.641 osebnih podatkov fizičnih oseb z neporavnanimi obveznostmi do kreditnih inštitucij, ki jih je družba EOS Matrix d.o.o. pridobila na podlagi pogodbe o odstopu. Podatki so bili v strukturi ime in priimek, datum rojstva in osebna identifikacijska številka. Poleg tega je bilo v prijavi navedeno, da je bilo v času priprave zbirke podatkov 294 oseb mladoletnih.
Ne samo uhajanje, tudi številne nezakonite obdelave osebnih podatkov
Kot so ugotovili AZOP-ovi inšpektorji med izrednim nadzorom družba EOS Matrix v svoji glavni zbirki podatkov, v kateri obdeluje osebne podatke približno 370.000 posameznikov, ni izvedla zadostnih tehničnih ukrepov, s katerimi bi lahko odkrivala dejavnosti, odstopajo od običajnih, na primer povečano število priklicev podatkov, prenos podatkov zunaj sistema ter zlorabe uporabniških dostopov.
Med nadzorom so še ugotovili, da je družba obdelovala tudi osebne podatke posameznikov, ki niso niti dolžniki niti zakoniti zastopniki dedičev v dolžniško-upniških razmerjih, za kar ni imela pravne podlage. Poleg tega so brez pravne podlage obdelovali zdravstvene podatke, saj so aktivno beležil pripombe v zvezi z zdravstvenim stanjem nekaterih dolžnikov. Njihovo zdravstveno stanje so spremljali s podrobnostmi o posameznih diagnozah, ki so vključevale neozdravljive oziroma smrtne bolezni. Nezakonito so obdelovali tudi posnetke telefonskih pogovorov s 49.850 posamezniki, na katere se nanašajo osebni podatki.
Na osnovi kršitev 5., 6., 9., 12., 13. in 32. člena GDPR je AZOP družbi EOS Matrix d.o.o. izrekel upravno globo v višini 5.47 milijona evrov, pri čemer še vedno ni pojasnjeno, kako je prišlo do odliva 181.641 osebnih podatkov. Kot so povedali v AZOP-u gre v primeru družbe EOS MatrixGre za največje uhajanje podatkov na Hrvaškem, potem ko je decembra lani prav tako družbo za izterjavo dolgov B2 Kapital zaradi uhajanja 77 tisoč osebnih podatkov kaznovala z upravno globo v višini 2.265.000 evrov.