L'autorité croate de protection des données (AZOP) a infligé une amende de 5 470 000 euros à une société de recouvrement de créances. L'enquête a été déclenchée par une plainte anonyme affirmant que le responsable du traitement avait traité illégalement des données personnelles, la clé USB jointe à la plainte contenant les données personnelles de 181 641 personnes. En tant que responsable du traitement, la société de recouvrement de créances a traité illégalement des données sensibles (relatives à la santé) de ses débiteurs, ainsi que des données de personnes qui ne sont pas dans une relation débiteur-créancier, collectant le plus souvent le numéro de téléphone, le prénom, le nom et l'adresse du domicile. Il a été déterminé que le responsable du traitement des données n'avait pas mis en œuvre de manière adéquate des mesures de protection techniques suffisantes pour détecter à temps les fuites de données de son système. Bien qu'il y ait eu un système de sécurité, l'autorité croate de protection des données a déterminé qu'en raison de lacunes, l'entreprise avait perdu le contrôle sur le mouvement des données personnelles de ses personnes concernées. En outre, l'entreprise a enregistré des commentaires relatifs à l'état de santé du débiteur que l'autorité croate a jugé comme un traitement excessif sans base juridique adéquate. En outre, l’APD a déterminé que le responsable du traitement des données avait enregistré illégalement des conversations téléphoniques avec la personne concernée, car l’évaluation du test d’intérêt légitime établissant une base juridique pour le traitement n’avait pas été effectuée avant le début de ce traitement. Enfin, l’APD a constaté que les personnes concernées n’avaient pas été informées de manière transparente du traitement de leurs données.