AGENCIJA ZA ZAŠTITU OSOBNIH PODATAKA (AZOP) izrekla je kaznu agenciji za naplatu potraživanja B2 Kapital u iznosu od 2.265.000,00 eura, i to jer su iz te tvrtke procurili osobni podaci. Niz stručnjaka već je ranije za Index potvrdio kako oni čiji su podaci iscurili imaju pravo na naknadu štete neovisno o tome koliko je nematerijalna šteta mala, odnosno kolika im je šteta nastala curenjem osobnih podataka.
>>Stručnjak za GDPR: Svi čiji su podaci procurili sada mogu tužiti B2 Kapital
>> Carić za Index o B2 Kapitalu i AZOP-u: Mala kazna za veliki međunarodni skandal
Upitali smo AZOP da nam pojasni koja je procedura naknade štete i kako građani mogu biti sigurni da su iscurili njihovi podaci. AZOP je pojasnio kako oni nisu nadležno tijelo za utvrđivanje naknade štete, kao i da se sudski postupak za ostvarivanje prava na naknadu štete vodi pred nadležnim sudovima. No, krenimo redom.
Istraga trajala pet mjeseci
U prosincu prošle godine otvorena je istraga zbog curenja 77 tisuća osobnih podataka iz tvrtke B2 Kapital. Vani se našao 181.641 zapis. Istraga je počela od upita portala Index o postupanju po anonimnoj prijavi.
Prošlog tjedna AZOP je zbog curenja podataka fizičkih osoba izrekao novčanu kaznu agenciji za naplatu potraživanja B2 Kapital u iznosu od 2.265.000 eura, a utvrdili su curenje najmanje 132.652 podatka fizičkih osoba.
AZOP u obrazloženju odluke navodi kako voditelj obrade nije na jasan i točan način informirao svoje ispitanike o obradi njihovih osobnih podataka preko obavijesti o obradi osobnih podataka. Također, nisu sklopili ugovor o obradi osobnih podataka s izvršiteljem obrade za uslugu praćenja jednostavnog stečaja potrošača i nisu poduzimali odgovarajuće tehničke i organizacijske mjere zaštite pri obradi osobnih podataka.
Prvo od B2 Kapitala treba tražiti potvrdu
Utvrdili su i kako je B2 Kapital izgubio nadzor nad kretanjem osobnih podataka ispitanika i nije mogao objasniti uzroke neovlaštene eksfiltracije (izvlačenja) osobnih podataka. Nakon odluke AZOP-a oni čiji su podaci procurili iz B2 Kapitala mogu tužiti tu agenciju za naplatu potraživanja. No, kako to utvrditi?
"Sukladno pravima koje jamči Opća uredba o zaštiti podataka, građani mogu pisanim putem od voditelja obrade (primjerice konkretno od društva B2 Kapital d.o.o. e-mailom na adresu službenika za zaštitu podataka zastita-osobnih-podataka@b2kapital.hr) zatražiti informaciju jesu li njihovi osobni podaci i u kojem opsegu obuhvaćeni povredom", stoji u pojašnjenju AZOP-a na upit portala Index.
U odgovoru se tvrdi da voditelj obrade na zahtjev mora odgovoriti bez nepotrebnog odgađanja, a najkasnije u roku od mjesec dana. Taj se rok može prema potrebi produljiti za dodatna dva mjeseca, uzimajući u obzir složenost i broj zahtjeva.
Ako se ne uspije dobiti potvrda, ide se na AZOP
"Voditelj obrade obavješćuje ispitanika o svakom takvom produljenju u roku od mjesec dana od zaprimanja zahtjeva, zajedno s razlozima odgađanja. Ako voditelj obrade ne postupi po zahtjevu, mora navesti valjani razlog i mogućnost podnošenja pritužbe nadzornom tijelu i traženja pravnog lijeka", stoji u odgovoru AZOP-a.
Ako nakon obraćanja voditelju obrade ispitanik ne uspije ostvariti svoja prava, a smatra kako mu je povrijeđeno pravo na zaštitu osobnih podataka, primjerice pravo na pristup osobnim podacima, može se obratiti Agenciji za zaštitu osobnih podataka sa zahtjevom za utvrđivanje povrede prava.
"Isto tako, podsjećamo kako sukladno članku 15. Opće uredbe o zaštiti podataka građani od voditelja obrade imaju pravo dobiti potvrdu obrađuju li se njihovi osobni podaci te, ako se obrađuju, pristup svojim osobnim podacima i sljedeće informacije: o svrsi obrade, vrsti/kategorijama osobnih podataka koji se obrađuju, primateljima ili kategorijama primatelja kojima su osobni podaci otkriveni ili će im biti otkriveni; razdoblju u kojem će osobni podaci biti pohranjeni; postojanju prava da se od voditelja obrade zatraži ispravak ili brisanje osobnih podataka ili ograničavanje obrade osobnih podataka koji se odnose na ispitanika ili prava na prigovor na takvu obradu; pravu na podnošenje pritužbe nadzornom tijelu; svakoj dostupnoj informaciji o izvoru ako se osobni podaci ne prikupljaju od ispitanika; postojanju automatiziranog donošenja odluka. Pristup osobnim podacima može biti ograničen samo u slučajevima propisanim pravom Unije ili nacionalnim zakonodavstvom odnosno kada se takvim ograničenjem poštuje biti temeljnih prava i sloboda drugih", stoji u odgovoru AZOP-a.
Naknada štete rješava se na sudovima
Što se tiče prava na naknadu štete, kažu iz AZOP-a, sukladno članku 82. Opće uredbe o zaštiti podataka, svaka osoba koja je pretrpjela materijalnu ili nematerijalnu štetu zbog kršenja Opće uredbe o zaštiti podataka ima pravo na naknadu od voditelja obrade (ili izvršitelja obrade) za pretrpljenu štetu.
"Napominjemo kako Agencija nije nadležno tijelo za utvrđivanje naknade štete. Sudski postupak za ostvarivanje prava na naknadu štete vodi se pred nadležnim sudovima (u Republici Hrvatskoj to su općinski sudovi)", zaključuje se na kraju.