Slučaj B2 Kapitala: Je li došlo do povrede osobnih podataka i od strane banaka?

Najvažnije pitanje svakog incidenta svakako su organizacijske i tehničke mjere zašite osobnih podataka međutim, a u ovom slučaju pojavljuje se i čitav niz prethodnih pitanja. Jedno od takvih pitanja je: čiji podaci su iscurili?

Jesu li iscurili osobni podaci koje je agencija za naplatu potraživanja preuzela u postupku prijenosa tj. otkupa dugovanja ili dio podataka koji su iscurili čine i podaci koje je agencija preuzela u svrhu naplate potraživanja za npr. banke ili druge klijente?

U slučaju curenja podataka koje je agencija za naplatu potraživanja preuzela u svrhu pružanja svoje usluge „naplate potraživanja“ tada se sukladno GDPR nalazi u ulozi izvršitelja obrada.

Sa stajališta GDPR-a, to znači da su banka ili drugi subjekt za koji agencija provodi naplatu dužni obavijestiti nadzorno tijelo o incidentu vezano za svoje osobne podatke koje je proslijedila toj agenciji, ali isto tako i same građene o čijim podacima je riječ.

Međutim, sama pozadina je ipak nešto dublja. Naime, u tom slučaju agencija za naplatu potraživanja i banka, teleoperater ili drugi klijent za kojeg agencija vrši naplatu, moraju sklopiti ugovor o obradi osobnih podataka. Takav ugovor mora sadržavati sve propisane elemente sukladno GDPR. Ono što je još važnije u ovom slučaju jest da voditelj obrade banke ili drugog subjekta za kojeg se provodi naplata, dužan ispitati i utvrditi je li agencija za naplatu potraživanja uskladila svoj rad s GDPR i primjenjuje li odgovarajuće zaštitne mjere osobnih podataka. Pojam „odgovarajuće“ kada je u pitanju GDPR znači da bi mjere i potrebne zaštitne mjere trebale biti prikladne za postizanje predviđene svrhe, odnosno njima se mora provoditi učinkovita zaštita podataka. Ono što je vrlo važno pri tome imati na umu da poslovni subjekti moraju moći dokazati da su uspostavljene mjere upravo one koje su odgovarajuće.

U slučaju da su banka ili drugi subjekt za koji agencija za naplatu potraživanja provodi naplatu propustili poduzeti takvu provjeru i sklopiti valjani ugovor onda je teret odgovornosti i na samom tom subjektu kao voditelju obrade. Pojednostavljeno, tada govorimo o kršenju osobnih podataka od strane same banke ili tog drugog subjekta koji isto nije učinio.

Ne zaboravimo pri tome da je voditelj obrade, u tom slučaju banka ili drugi nalogodavac, odgovoran za osobne podatke koje je proslijedio agenciji za naplatu potraživanja.

Za građane to znači da pitanje povrede osobnih podataka i postupak naknade štete prije svega mogu pokrenuti protiv tih banaka ili drugih subjekata u čije ime se naplata vršila. U ovom trenutku zainteresirani građani mogu putiti zahtjev za pristup svojim osobnim podacima i zatraže sve informacije o obradi svojih osobnih podatka kako od agencije za naplatu potraživanja B2 Kapital tako i od banaka ili drugih subjekata za koje je ta agencija vršila prema njima naplatu.

Preporuka je da građane nastave pratiti obavijesti vezano za aktualni incident kako bi se saznali točni podaci koji su iscurili i prema tome moglo postupati te svakako pratiti obavijesti, savjete i upute našeg nadzornog tijela.