ISTRAGA o najvećem curenju osobnih podataka u povijesti Hrvatske, kada su iz agencije za naplatu potraživanja B2 Kapital procurili osobni podaci o 77.317 fizičkih osoba, proširena je i na hrvatske banke, potvrdili su iz Agencije za zaštitu osobnih podataka (AZOP) u odgovoru na upit Index Istraga.
>> Index Istrage: Procurili osobni podaci 77 tisuća građana, njihovi OIB-ovi i dugovi
>> Odakle agenciji za naplatu potraživanja toliko osobnih podataka građana?
Naime, iz agencije B2 Kapital, koja je bavi naplatom dugova, izašli su podaci koji sadržavaju ime i prezime, OIB, datum rođenja, adresu stanovanja, naziv i OIB poslodavca, dugovanje prema B2 Kapitalu, iznos glavnice te iznos zateznih kamata, kao i, posebno sporno, broj mobitela i osobni mail.
Istraga o curenju podataka proširena i na banke
Index Istrage su prije tri dana, a nakon što smo objavili prvi članak o curenju podataka, upozorile AZOP kako smo u posjedu tipiziranog ugovora o prodaji potraživanja (ugovor o cesiji) između banaka i agencije iz kojeg je razvidno kako banke agencijama koje se bave utjerivanjem dugova dostavljaju i broj telefona svojih bivših i aktualnih klijenata.
"S aspekta zaštite osobnih podataka proizlazi kako broj mobitela, svojim svojstvom, kao kontakt podatak klijenta nije obvezujući te navedeni podatak nije nužan za izvršenje ugovora, odnosno provedba instituta cesije je moguća i bez prosljeđivanja navedenog osobnog podatka", odgovorili su iz AZOP-a nakon što su provjerili podatak koji smo dostavili.
Iz odgovora AZOP-a razvidno je da su banke davale podatke koje nisu smjele. Konkretno - broj telefona. Index Istrage u posljednja su dva tjedna uputile upite na adrese četiri najveće banke, Hrvatske udruge banaka i Hrvatske narodne banke, koja obavlja nadzor nad ugovorima o prodaji potraživanja između banaka i agencija, s vrlo jednostavnim pitanje: Što banke predaju utjerivačima dugova kada prodaju loša potraživanja?
Banke, HUB i HNB nisu htjeli precizno odgovoriti na upite
Nitko nam na to nije htio precizno odgovoriti. Na kraju smo odgovor našli sami došavši do tipiziranog ugovora između banaka i agencija za naplatu potraživanja. Nakon što je AZOP danas, nakon upita Index Istraga, istragu proširio i na banke, jasno je i zašto nam nitko nije htio odgovoriti na to pitanje. No krenimo redom.
Iz agencije za naplatu potraživanja B2 Kapital u javnost su procurili osobni podaci o 77.317 fizičkih osoba. Iz te tvrtke izašli su podaci koji sadržavaju ime i prezime, OIB, datum rođenja, adresu stanovanja, naziv i OIB poslodavca, broj telefona/mobitela, e-mail, dugovanje prema B2 Kapitalu, iznos glavnice te iznos zateznih kamata.
Iz B2 Kapitala za Index su potvrdili da je došlo do neovlaštenog otuđenja osobnih podataka njihovih dužnika te da surađuju sa svim institucijama, dok su iz AZOP-a potvrdili da su započeli istragu.
U ugovorima o kreditu nema brojeva telefona i mailova
Osim mjera sigurnosti te činjenice da je procurio velik broj podataka, postavlja se pitanje odakle agenciji za naplatu potraživanja toliko osobnih podataka. B2 Kapital velikom je većinom otkupljivao loše kredite banaka, a iz ugovora o kreditu nije mogao doći do osobnih mailova i brojeva mobitela.
Kad banke prodaju potraživanja, odnosno loše kredite, agencijama za naplatu potraživanja, zaključuje se ugovor o prijenosu potraživanja, odnosno kredita. S ustupljenim potraživanjem, odnosno kreditom, na novog vjerovnika prelaze i sva sporedna prava kao što su pravo na kamate, založna prava i drugo.
Banka agencijama predaje i podatke o svojim korisnicima kredita, odnosno ugovore o kreditima iz kojih su razvidni podaci kao što su adresa stanovanja ili tekući račun. No u ugovorima o kreditu nema podataka kao što su e-mailovi ili brojevi mobitela.
HUB: Sve je po zakonu
Od četiri najveće banke u Hrvatskoj, koje su loša potraživanja prodavale agencijama za naplatu potraživanja, tražili smo da nam odgovore nalaze li se u podacima, odnosno dokumentaciji koju predaju agencijama za naplatu potraživanja brojevi telefona i mobitela nositelja kredita te podrazumijeva li se ugovorom o prijenosu potraživanja da banka predaje i osobne podatke dužnika koji se mogu smatrati bankarskom tajnom.
U ime četiri najveće banke odgovorila nam je Hrvatska udruga banaka (HUB), koja predstavlja 18 banaka koje posluju u Hrvatskoj.
"Banke prilikom prodaje potraživanja postupaju u skladu s Odlukom Hrvatske narodne banke o kupoprodaji plasmana kreditnih institucija, Zakonu o kreditnim institucijama i drugim važećim propisima. Sukladno zakonskim propisima, prilikom prodaje potraživanja novom vjerovniku dostavljaju se podaci koji su nužni za izvršenje prava iz ugovora o ustupu potraživanja", stajalo je u odgovoru HUB-a, bez preciziranja što banke zapravo daju.
HNB, koji je nadzornik, ne želi odgovarati na upit što banke daju utjerivačima dugovima
HUB je također u dijelu odgovora citirao i službeno mišljenje AZOP-a u kojem stoji da provedba instituta cesije, odnosno prebacivanje potraživanja s banke na agenciju, nije moguća bez prosljeđivanja osobnih podataka te da je obrada zakonita uz dodatak da se mogu "obrađivati samo osobni podaci koji su nužni u odnosu na svrhe u koje se obrađuju".
Obratili smo se i Hrvatskoj narodnoj banci. Naime, u dijelu kupoprodaja plasmana kreditnih institucija, odnosno prodaje potraživanja između banaka i agencija, HNB je nadzorno tijelo za primjenu pojedinih propisa kojima se regulira takva kupoprodaja.
Stoga smo HNB kao nadzorno tijelo pitali predaje li banka agencijama i druge podatke - broj telefona i mobitela ili e-mail. Pogađate? Iz HNB-a nisu odgovorili na taj dio pitanja iako imaju uvid u te ugovore.
"Mišljenja smo da se i u slučaju prodaje potraživanja primjenjuju načela Opće uredbe o zaštiti osobnih podataka (Uredba (EU) 2016/679 ili 'GDPR'), među kojima je i načelo prema kojem osobni podaci moraju biti ograničeni na ono što je nužno u odnosu na svrhe u koje se obrađuju", stajalo je u odgovoru HNB-a u kojem dodaju da je nadzorno tijelo za GDPR u Republici Hrvatskoj AZOP.
Banke su trećim osobama davale broj telefona svojih klijenata
S obzirom na to da nam nitko nije htio reći što se zapravo nalazi u ugovorima između banaka i agencija, odgovore smo pronašli sami. U posjedu smo jednog tipiziranog ugovora o prijenosu potraživanja s banke na agenciju za naplatu potraživanja.
U dijelu ugovora "1. Specifikacija prenesenih slučajeva - popis potraživanja" razvidno je kako banka agenciji predaje niz osobnih podataka svojih klijenata, od imena i prezimena, preko adrese i datuma rođenja, od ostalih podataka koji su bili predmet ugovora o kreditu za pojedine klijente. Isto je tako iz tog dokumenta razvidno da banka predaje i broj telefona, koji nije nužan za izvršenje ugovora.
Htjeli smo da nam AZOP odgovori koja je pravna osnova navedena u politikama privatnosti banaka za prikupljanje i obradu kontaktnih podataka klijenata banaka, posebno broja mobitela, i prema kojoj pravnoj osnovi hrvatske banke prikupljaju i obrađuju brojeve mobitela svojih klijenata.
AZOP: Za izvršenje ugovora nije nužan broj telefona
"S aspekta zaštite osobnih podataka proizlazi kako broj mobitela, svojim svojstvom, kao kontakt podatak klijenta nije obvezujući te navedeni podatak nije nužan za izvršenje ugovora, odnosno provedba instituta cesije je moguća i bez prosljeđivanja navedenog osobnog podatka", stoji u odgovoru AZOP-a u kojem se dodaje da banke kao voditelji obrade mogu obrađivati osobne podatke, konkretno broj mobitela i/ili e-mail adresu, temeljem i drugih mogućih pravnih osnova, primjerice legitimnog interesa odnosno privole klijenta.
"Agencija za zaštitu osobnih podataka je slijedom utvrđenog, u prethodnim postupanjima, bankama dala preporuku kako broj mobitela i/ili e-mail adresa kao kontakt podatak, ne može biti označen kao obvezujući, već isti može biti opcionalan", navodi AZOP.
Kako dodaju, u dosadašnjim postupanjima prema bankama, u pogledu provjere zakonitosti obrade, AZOP je tražio pravnu osnovu obrade osobnih podataka u slučaju postojanja poslovnog odnosa s klijentom te je tu osnovu AZOP dužan provjeriti.
Istraga i protiv banaka
"U konkretnom slučaju, u sklopu nadzornog postupanja nad voditeljem obrade B2 Kapital d.o.o., Agencija za zaštitu osobnih podataka nadzorno postupanje proširila je i na banke, kao izvorne vjerovnike odnosno primarne voditelje obrade", stoji na kraju odgovora AZOP-a.
Istraživačko novinarstvo je najskuplje i potpuno financijski neisplativo novinarstvo. Ako vam je stalo do borbe za transparentnost, podržite Index Istrage donacijom. Sav novac prikupljen kroz Index Istrage bit će utrošen jedino i isključivo na najbolje istraživačke novinare i 100% neovisno, odvažno istraživačko novinarstvo.
Opširnije: https://www.istrage.hr/doniraj
Originalno objavljeno na Index Istrage