Banke neće biti kažnjene zbog curenja osobnih podataka, AZOP obustavio nadzor
TEMELJEM prijave i saznanja još iz prosinca 2022. godine, Agencija za zaštitu osobnih podataka (AZOP) provodila je istragu nad 10 banaka koje posluju u Hrvatskoj zbog sumnje da su trećim osobama, bez znanja njihovih bivših i aktualnih klijenata, proslijedile odnosno prodale osobne podatke. Index istrage doznaju kako je ta istraga sada završena te da banke neće biti kažnjene jer su utjerivačima dugova davale osobne podatke koji nisu bili nužni za naplatu duga.
>> Banke dale brojeve mobitela utjerivačima dugova, istraga se širi
>> Više od deset mjeseci traje nadzor AZOP-a nad 10 banaka. Podatke davali utjerivačima
Odgovarajući na upit Indexa, iz AZOP-a su nam potvrdili kako nisu "utvrdili povezanost banaka s nastupom povreda osobnih podataka kod agencija za naplatu potraživanja" te da protiv banaka u konkretnom slučaju "nisu provedeni daljnji upravni postupci". No, krenimo redom.
Banke odavale osobne podatke koji nisu nužni za naplatu duga
Sve je krenulo u prosincu 2022. godine, kada je otvorena istraga zbog curenja 77 tisuća osobnih podataka iz tvrtke B2 Kapital. Vani se tako našao 181.641 zapis koji sadrži ime i prezime, OIB, datum rođenja, adresu stanovanja te druge osobne podatke.
Istraga je krenula od upita portala Index o postupanju po anonimnoj prijavi, a završila je u svibnju prošle godine, kada je AZOP izrekao novčanu kaznu agenciji za naplatu potraživanja B2 Kapital d.o.o. u iznosu od 2.2 milijuna eura.
Uslijedila je još jedna prijava, i to protiv utjerivača dugova EOS Matrixa, koji je AZOP kaznio s 5.7 milijuna eura. Naime, iz tvrtke EOS Matrix procurilo je više od 181 tisuće osobnih podataka, a među njima su i podaci par stotina maloljetnih osoba.
Ni banke ni HUB nisu htjeli otkriti koje podatke dobivaju utjerivači dugova
No, postavljalo se pitanje odakle utjerivačima dugova osobni podaci koji nisu nužno vezani uz naplatu duga, kao što su brojevi telefona na koje su utjerivači dugova zvali i maltretirali svoje dužnike.
U prosincu 2022. godine Index je AZOP-u dostavio tipizirani ugovor o prodaji potraživanja (ugovor o cesiji) između banaka i agencija za naplatu potraživanja (utjerivača dugova) iz kojeg je razvidno kako banke agencijama kojima prodaju svoje dugove, između ostalog, dostavljaju i broj telefona svojih bivših i aktualnih klijenata.
Što zapravo banke daju agencijama za naplatu potraživanja, bila je dugo čuvana tajna, koju nam nisu htjeli otkriti ni iz hrvatskih banaka, ni iz Hrvatske udruge banaka (HUB), ali ni iz Hrvatske narodne banke (HNB). Index Istrage ipak su došle do tipiziranog ugovora o prijenosu potraživanja s banke na agenciju za naplatu potraživanja te je tajna tada otkrivena.
Tipizirani ugovor otkrio što odaju banke
U dijelu ugovora "1. Specifikacija prenesenih slučajeva - popis potraživanja" razvidno je kako banka agenciji predaje niz osobnih podataka svojih klijenata, od imena i prezimena, preko adrese i datuma rođenja, do ostalih podataka koji su bili predmet ugovora o kreditu za pojedine klijente. Isto je tako iz tog dokumenta razvidno da banka predaje i broj telefona, koji nije nužan za izvršenje ugovora.
AZOP je tada službeno odgovorio kako banke to nisu smjele raditi jer "broj mobitela, svojim svojstvom, kao kontakt-podatak klijenta nije obvezujući te navedeni podatak nije nužan za izvršenje ugovora, odnosno provedba instituta cesije je moguća i bez prosljeđivanja navedenog osobnog podatka".
U rujnu prošle godine, odgovarajući na upit Indexa, iz AZOP-a su rekli kako se i dalje provodi istraga nad 10 banaka koje posluju u Hrvatskoj, no sada je ta istraga okončana.
Nakon više od godinu dana AZOP nije ništa pronašao
"Agencija je provela nadzorna postupanja nad poslovnim bankama primarno u odnosu na moguću izravnu povezanost s prijavljenom povredom iznošenja osobnih podataka dužnika i povezanih osoba iz sustava pohrane društva B2 Kapital, s obzirom na to da su osobni podaci ispitanika sadržani na USB sticku koji je dostavljen Agenciji bili primarni vjerovnici više poslovnih banaka. Unutar nadzornog postupanja nije potvrđena povezanost poslovnih banaka s predmetnim događajem, budući da su osobni podaci ispitanika na predmetnoj USB memoriji bili od različitih poslovnih banaka te je utvrđeno da su isti mogli biti izuzeti samo iz sustava pohrane B2 Kapital", stoji u odgovoru AZOP-a koji smo dobili danas.
Vezano za činjenicu da broj telefona odnosno mobitela nije nužan za izvršenje ugovora, iz AZOP-a sada tvrde kako to zapravo nije sporno.
Broj mobitela nije nužan za naplatu duga, ali ...
"Člankom 6. stavkom 1. Opće uredbe o zaštiti podataka za obradu osobnih podataka predviđene su i druge pravne osnove, između kojih je i legitiman interes voditelja obrade, a na koji su se banke pozivale u svojim očitovanjima tijekom nadzornog postupanja Agencije", stoji u odgovoru koji smo dobili iz AZOP-a.
U članku 6. Opće uredbe o zaštiti podataka, a vezano za legitimnost na koju su se pozvale banke jasno stoji: obrada je nužna za potrebe legitimnih interesa voditelja obrade ili treće strane, osim kada su od tih interesa jači interesi ili temeljna prava i slobode ispitanika koji zahtijevaju zaštitu osobnih podataka, osobito ako je ispitanik dijete.
Promijenili su zakon
No, kako nam kažu, ovu je situaciju uzeo u obzir novi Zakon o načinu, uvjetima i postupku servisiranja i kupoprodaje potraživanja, koji je stupio na snagu u prosincu 2023. godine.
"Ondje se jasnije definira način postupanja subjekata unutar postupka naplate potraživanja, odnosno jasno se propisuje opseg osobnih podataka koji je moguće dostaviti prilikom prijenosa potraživanja, a što nije bilo propisano ranije. Nadalje, predmetnim zakonom utvrđena je i dodatna nadležnost nad nadzorom provođenja odredbi predmetnog zakona te su kao nadležna tijela utvrđeni HNB i Financijski inspektorat", zaključuje se odgovoru AZOP-a.
Vukiću sabor nedavno produžio mandat
Podsjetimo kako je na čelu AZOP-a Zdravko Vukić, kojem je nedavno,zadnjeg dana veljače, glasanjem u saboru odobren još jedan mandat na četiri godina. Naime, ravnatelja i zamjenika ravnatelja Agencije za zaštitu osobnih podataka imenuje sabor na prijedlog vlade, na temelju javnog poziva za dostavu kandidatura.
Ravnatelj i zamjenik ravnatelja Agencije za zaštitu osobnih podataka imenuju se na razdoblje od četiri godine i na tu dužnost mogu biti imenovani najviše dva puta.
*********
Istraživačko novinarstvo je najskuplje i financijski potpuno neisplativo novinarstvo. Ako vam je stalo do borbe za transparentnost, podržite Index Istrage donacijom. Sav novac prikupljen kroz Index Istrage bit će utrošen jedino i isključivo na najbolje istraživačke novinare i 100% neovisno i odvažno istraživačko novinarstvo.
Opširnije: https://www.istrage.hr/doniraj
Originalno objavljeno na Index Istrage
bi Vas mogao zanimati
Izdvojeno
Pročitajte još
bi Vas mogao zanimati