Index Istrage: Procurili osobni podaci 77 tisuća građana, njihovi OIB-ovi i dugovi
IZ AGENCIJE za naplatu potraživanja B2 Kapital u javnost su procurili osobni podaci o 77.317 fizičkih osoba. Riječ je o dosad najvećem curenju osobnih podataka u Hrvatskoj. Naime, iz te tvrtke izašli su podaci koji sadržavaju ime i prezime, OIB, datum rođenja, adresu stanovanja, naziv i OIB poslodavca, broj telefona/mobitela, e-mail, dugovanje prema B2 Kapitalu, iznos glavnice te iznos zateznih kamata.
> Lucijan Carić: Ovo je najveći sigurnosni incident u povijesti Hrvatske
> B2 Kapital o otkriću Index Istraga: Utvrđujemo o kojim se klijentima i podacima radi
Otkupljuju loše kredite banaka
Podsjetimo, agencije za naplatu potraživanja otkupljuju dugove loših kredita od banaka i teleoperatera i potom ih same naplaćuju. Oni kojima je dug prodan žale se na postupanje tih agencija, no nitko im ne može pomoći jer su agencije osnovane kao trgovačka društva, a ne kao kreditne institucije. B2 Kapital većinom je otkupljivao loše kredite od banaka.
Osim činjenice da je riječ o dosad najvećem curenju osobnih podataka u Hrvatskoj te će trebati utvrditi kako su se ti podaci našli u javnosti, pitanje je li ta agencija smjela obrađivati podatke na ovakav način, odnosno da se uz iznos duga nalaze i podaci o osobnom e-mailu i broju mobitela. Postavlja se i pitanje kako je B2 Kapital došao do tih podataka
Iz Agencije za zaštitu podataka (AZOP) rekli su za Index da su započeli istragu, dok su nam iz B2 Kapitala potvrdili da je došlo do neovlaštenog otuđenja osobnih podataka njihovih dužnika te da surađuju sa svim institucijama.
Kako su se podaci o dužnicima agencije za naplatu potraživanja našli u javnosti, zasad nije poznato, no iz B2 Kapitala nam kažu da je prodaja tih osobnih podataka trećim osobama s njihove strane isključena.
"B2 Kapital d.o.o. obrađuje osobne podatke isključivo u skladu s relevantnim zakonskim odredbama. B2 Kapital ne obrađuje osobne podatke na nezakonit niti nedopušten način", rekli su iz B2 Kapitala za Index.
No, krenimo redom.
Često nazivaju dužnike i njihove poslodavce i prijete ovrhama
Prema informacijama Index Istraga, došlo je do curenja baze podataka koja sadrži 77.317 redova zapisa o fizičkim osobama koje su dužnici tvrtke B2 Kapital d.o.o. Kao što smo napisali u uvodu, radi se o dokumentu u kojem se, osim imena i prezimena te OIB-a tih osoba i njihovih poslodavaca, nalaze i iznos duga, e-mail adrese te brojevi mobitela tih ljudi.
Podsjetimo da se građani Hrvatske već dugo bore protiv postupanja tih agencija, iz kojih ih nazivaju telefonom tražeći da plate dug, a zovu i njihove poslodavce. Često šalju dopise na e-mail te prijete ovrhama.
Poslovanje agencija trenutno nije definirano u hrvatskom zakonu. Naime, hrvatske banke prodaju nenaplative i teško naplative kredite trećim osobama, odnosno agencijama za naplatu potraživanja, koje nisu registrirane kao kreditne institucije, nego kao d.d. pa nisu pod nadzorom HNB-a ili Hanfe. Sada su iz jedne takve agencije procurili osobni podaci.
AZOP pokrenuo istragu
Agenciju za zaštitu osobnih podataka pitali smo imaju li saznanja o tome kako je došlo do curenja osobnih podataka u javnost te koje su mjere poduzete, odnosno jesu li osobe s popisa obaviještene o tome da su njihovi podaci procurili u javnost.
"Agencija za zaštitu osobnih podataka zaprimila je anonimnu prijavu u odnosu na voditelja obrade B2 Kapital d.o.o. te je pokrenula nadzorno postupanje nad predmetnim voditeljem obrade. S obzirom na to da je postupanje u tijeku, ne možemo iznositi detaljnije informacije", rekli su nam iz AZOP-a.
Iz B2 Kapitala kažu nam da nisu bili svjesni da je došlo do curenja tolikog broja osobnih podataka te da su informaciju o mogućem kršenju odredbi GDPR-a i neovlaštenom raspolaganju osobnim podacima dobili tek od AZOP-a.
"Odmah smo poduzeli intenzivne istražne radnje te postupili u skladu s našim strogim sigurnosnim protokolom postupanja s osobnim podacima. Surađujemo sa svim nadležnim institucijama kako bi se utvrdilo na koji način i gdje je došlo do neovlaštenog otuđenja osobnih podataka naših klijenata, a pokrenuli smo i neovisnu vanjsku forenzičku istragu", kažu nam iz B2 Kapitala.
Odakle agenciji brojevi mobitela i e-mailovi?
Osim curenja podataka, pitanje je kako je B2 Kapital došao do tih podataka. Jasno je da dolazi do imena i prezimena, adresa i podataka o poslodavcima, no kako dođe do e-maila i telefona?
Naime, kad banke prodaju potraživanja, odnosno loše kredite agencijama za naplatu potraživanja, zaključuje se ugovor o prijenosu potraživanja, odnosno kredita. S ustupljenim potraživanjem, odnosno kreditom, na novog vjerovnika prelaze i sva sporedna prava kao što su pravo na kamate, založna prava i drugo.
Banka agencijama predaje i podatke o svojim korisnicima kredita, odnosno ugovore o kreditima iz kojih su razvidni podaci kao što su adresa stanovanja ili tekući račun. No u ugovorima o kreditu nema podataka kao što su e-mailovi ili brojevi mobitela.
Agencije za otkup i naplatu potraživanja imaju pravo po Ovršnom zakonu od Hrvatskog zavoda za mirovinsko osiguranje (HZMO) zatražiti podatke o tome je li neka fizička osoba osiguranik, po kojoj osnovi i kod koga, odnosno prima li mirovinu, naknadu zbog tjelesnog oštećenja ili koju drugu stalnu naknadu o kojoj vodi evidenciju. No HZMO ne daje podatke o e-mailu ili broju mobitela.
HZMO ne daje mailove i brojeve telefona
Kako smo provjerili, HZMO na obrazloženi zahtjev pravnih i fizičkih osoba koje tvrde da namjeravaju pokrenuti ovršni postupak protiv neke osobe izdaje potvrdu s podacima o dužniku.
"U potvrdi se ne navode podaci poput brojeva mobitela, telefona ili osobne e-pošte jer HZMO ne vodi te podatke u službenim evidencijama niti je davanje tih podataka zakonski propisano", odgovorili su na upit Indexa iz HZMO-a.
Dakle, jasno je da podatke o mailovima i telefonu daju banke. Pitali smo četiri najveće banke što one točno predaju agencijama kad prodaju vlastita potraživanja, podrazumijeva li se možda ugovorom o prijenosu potraživanja da banka predaje i osobne podatke dužnika, koji se mogu smatrati bankarskom tajnom.
Naime, jasno je da banka predaje ugovore o kreditu, no predaje li i druge podatke koje, primjerice, traži pri otvaranju računa? Naime, banke često uvjetuju izdavanje kredita otvaranjem računa kod tih banaka, a za to uzimaju podatke o broju mobitela i e-mailu.
Što banke predaju agencijama?
"Banke prilikom prodaje potraživanja postupaju u skladu s Odlukom Hrvatske narodne banke o kupoprodaji plasmana kreditnih institucija, Zakonu o kreditnim institucijama i drugim važećim propisima. Sukladno zakonskim propisima, prilikom prodaje potraživanja novom vjerovniku dostavljaju se podaci koji su nužni za izvršenje prava iz ugovora o ustupu potraživanja", glasi birokratski odgovor koji smo dobili iz Hrvatske udruge banaka, koja je odgovorila u ime četiri najveće hrvatske banke.
Banke se pozivaju i na mišljenje Agencije za zaštitu osobnih podataka o obradi osobnih podataka u slučaju prodaje potraživanja iz lipnja 2019. godine, u kojem, između ostalog, stoji da "provedba instituta cesije nije moguća bez prosljeđivanja osobnih podataka". No ako u ugovorima o kreditu već postoje podaci o dužniku, je li nužno dati e-mail i broj mobitela? Isto pitanje postavili smo i AZOP-u.
AZOP kaže da se mogu obrađivati osobni podaci, ali koji?
"Vezano uz obradu osobnih podataka od strane agencija za naplatu potraživanja, navodimo kako je člankom 80. Zakona o obveznim odnosima reguliran ustup tražbine (cesija) kao ugovor u kojem se tražbina s jednog vjerovnika može prenijeti na drugog vjerovnika, dok je člankom 82. istog zakona propisano da za ustup tražbine nije potreban pristanak dužnika, već je ustupitelj tražbine dužan obavijestiti dužnika o ustupanju", objašnjavaju iz AZOP-a.
Naime, prema AZOP-u, ustup tražbine pretpostavlja i dostavljanje, odnosno obradu osobnih podataka, dakle, ustupanje nije provedivo u praksi ako novi vjerovnik ne zna prema kome ima svoje novostečeno pravo potraživanja.
"Slijedom navedenog, a pod pretpostavkom da se radi o valjanom pravnom poslu sukladno odredbama Zakona o obveznim odnosima (cesiji, otkupu potraživanja i sl.) između voditelja obrade (primjerice: banke) i agencije za naplatu potraživanja u svrhu naplate dospjelih, a nenaplaćenih tražbina, obrada osobnih podataka od strane agencije za naplatu potraživanja odnosno novog vjerovnika je zakonita", objašnjavaju iz AZOP-a dodajući da agencija za naplatu potraživanja, kao voditelj obrade, sukladno načelu smanjenja podataka mora voditi brigu o opsegu osobnih podataka te obrađivati samo osobne podatke koji su nužni u odnosu na svrhe u koje se obrađuju.
B2 Kapital: Radimo u skladu sa zakonom
Iz B2 Kapitala za Index tvrde da sam ustup tražbine pretpostavlja i dostavljanje i obradu osobnih podataka, odnosno ustupanje nije provedivo u praksi ako treća strana ne zna prema kome ima svoje novostečeno pravo potraživanja.
"B2 Kapital d.o.o. obrađuje osobne podatke isključivo u skladu s relevantnim zakonskim odredbama. B2 Kapital ne obrađuje osobne podatke na nezakonit niti nedopušten način", kažu na kraju iz B2 Kapitala.
Istraživačko novinarstvo je najskuplje i potpuno financijski neisplativo novinarstvo. Ako vam je stalo do borbe za transparentnost, podržite Index Istrage donacijom. Sav novac prikupljen kroz Index Istrage bit će utrošen jedino i isključivo na najbolje istraživačke novinare i 100% neovisno, odvažno istraživačko novinarstvo.
Opširnije: https://www.istrage.hr/doniraj
Originalno objavljeno na Index Istrage
bi Vas mogao zanimati
Izdvojeno
Pročitajte još
bi Vas mogao zanimati