GDPR stručnjak Duje Prkut, izvršni direktor udruge Politiscope koja je fokusirana na zaštitu privatnosti, digitalnih prava i temeljnih demokratskih procesa, kroz korištenje GDPR-a kao ključnog alata za temeljitu transformaciju digitalne javne sfere, u razgovoru za Index o najvećem curenju osobnih podataka u Hrvatskoj naglašava da B2 Kapital očekuje vrlo paprena kazna ako državna Agencija za zaštitu osobnih podataka njihove mjere sigurnosti ocijeni kao nedostatne za sprječavanje ovakvog događaja.

>> Index Istrage: Procurili osobni podaci 77 tisuća građana, njihovi OIB-ovi i dugovi

"Na zaključak da je razina zaštite niska upućuje i činjenica da je privatna agencija za vjerojatni sigurnosni incident doznala tek nakon obavijesti AZOP-a", ističe Prkut u razgovoru za Index. 

Odakle osobni podaci poput maila i telefona?

Podsjetimo, iz Agencije za naplatu potraživanja B2 Kapital u javnost su procurili osobni podaci o 77.317 fizičkih osoba. Iz te tvrtke izašli su podaci koji sadržavaju ime i prezime, OIB, datum rođenja, adresu stanovanja, naziv i OIB poslodavca, broj telefona/mobitela, e-mail, dugovanje prema B2 Kapitalu, iznos glavnice te iznos zateznih kamata.  

Iz B2 Kapitala potvrdili su za Index da je došlo do neovlaštenog otuđenja osobnih podataka njihovih dužnika te da surađuju sa svim institucijama, dok su iz AZOP-a potvrdili da su započeli istragu.

Osim mjera sigurnosti te činjenice da je procurio veliki broj podataka, postavlja se pitanje odakle agenciji za naplatu potraživanja toliko osobnih podataka. Naime, B2 Kapital velikom većinom otkupljivao je loše kredite banaka, a iz ugovora o kreditu nije mogao doći do osobnih mailova i brojeva mobitela. 

Problematična praksa i politika banaka u obradi kontaktnih podataka

Prema zakonu, Hrvatski zavod za mirovinsko osiguranje dužan je predati osnovne podatke o dužniku među kojima su i podaci o njegovu poslodavcu, no ne daje podatke o mailovima i broju mobitela. Da je to sporno, slaže se i Prkut. 

"Ono što može biti problematično je praksa i politika banaka u obradi kontaktnih podataka svojih korisnika. Naime, iz odgovora HUB-a i agencije, koje ste objavili u članku, da se iščitati da se kao pravna osnova za prikupljanje kontaktnih podataka građana uzima izvršenje ugovora. To je naravno opravdano samo i isključivo za podatke bez čije obrade izvršenje samog ugovora nije ni moguće", ističe Prkut dodajući da tu svakako spadaju podaci poput imena ili OIB-a. 

No, u slučajevima sklapanja ugovora, upravo se izvršenje ugovora nastoji progurati kao pravna osnova za razno-razne obrade podataka, koje objektivno za izvršenje ugovora nisu ni nužne, ističe ovaj stručnjak. 

Banke čine suprotno 

"U svojim smjernicama koje obrađuju ovo pitanje Europski odbor za zaštitu podataka ističe kako se objektivna nužnost obrade podataka zbog izvršenja ugovora treba poimati vrlo usko. Štoviše, voditelj obrade podataka mora jasno demonstrirati da bez obrade navedenih podataka izvršenje ugovora nije moguće. Ne čini se da je naplata potraživanja nemoguća misija ako nemate broj mobitela dužnika", naglašava Prkut dodajući da smjernice također ističu kako objektivna nužnost obrade ne može postojati ako postoje manje invazivne obrade kojima se može postići ista svrha. 

"U tom smislu, kontaktiranje dužnika putem maila ili putem pisanog dopisa se svakako doima kao realan i izvediv način izvršenja ugovora, odnosno naplate potraživanja. Dodatno tome, posebno se ističe kako izvršenje ugovora ne može biti osnova za obradu podataka kojoj je svrha unaprjeđenje kvalitete usluge.

Ovo naglašavam jer neke banke u svojim politikama privatnosti čine suprotno - navode upravo unaprjeđenje kvalitete usluge kao jedan od razloga nužnosti obrade kontaktnih podataka", ističe Prkut dodajući da se AZOP mora jasno očitovati o tome je li izvršenje ugovora ispravna pravna osnova za obradu kontaktnih podataka klijenata banaka, ili pak za pravnu osnovu obrade treba uzeti legitimni interes. 

Što napraviti?

"Uistinu, banka može vrlo jednostavno dokazati legitimni interes obrade kontaktnog podatka klijenta ili potpisnika ugovora o kreditu. Tako se klijenta/ispitanika može obavijestiti o kašnjenjima u plaćanju rata ili ostvariti direktni telefonski kontakt u izvanrednim situacijama. No postoji velika razlika između pravne osnove izvršenja ugovora i pravne osnove legitimnog interesa za obradu nekog podatka – na prvo nije moguće uložiti prigovor, a na posljednje jest", naglašava Prkut u razgovoru za Index. 

Naime, nastavlja Prkut, ako bi AZOP ustanovio da banke prikupljaju kontaktne podatke po krivoj pravnoj osnovi te izdao uputu da je ispravna pravna osnova legitimni interes, klijenti banaka odnosno dužnici agencija bi mogli podnijeti prigovor na obradu njihovih kontaktnih podataka u slučaju cesije duga ili prepuštanja naplate duga agenciji, ako dužnik telefonske pozive ocijeni kao neprimjerene.

"Ako AZOP zauzme stav da je ispravno uzeti izvršenje ugovora kao pravnu osnovu za obradu kontaktnih podataka, tada dužnici i nadalje neće imati mogućnost prigovora na obradu podataka koja rezultira uznemiravanjem putem telefonskih poziva.

Dužnici koji su o svojim iskustvima spremni svjedočiti u medijima pozive na osobni mobitel često karakteriziraju kao oblik psihofizičkog zlostavljanja. Dakle, postoje i širi društveni razlozi zbog kojih bi AZOP, osim provjere organizacijske i tehničke zaštite podataka od strane agencije, trebao analizirati ispravnost trenutne prakse prikupljanja i obrade kontaktnih podataka klijenata od strane banaka", zaključuje na kraju ovaj GDPR stručnjak.