AGENCIJA za zaštitu osobnih podataka (AZOP) izrekla je prošlog tjedna upravnu novčanu kaznu od 2.265.000 eura agenciji za naplatu potraživanja B2 Kapitalu zbog povreda Opće uredbe o zaštiti podataka (GDPR).
To je dosad najveća pojedinačna kazna koju je AZOP izrekao zbog kršenja te uredbe, ali neki stručnjaci tvrde da je kazna zapravo blaga u odnosu na počinjene prekršaje.
Carić smatra da je kazna koju je izrekao AZOP premala
Time se u analizi za Index pozabavio IT stručnjak Lucijan Carić, koji ističe da "takvo kršenje uredbe treba rezultirati daleko većom kaznom, pogotovo uzevši u obzir broj osoba koje su doživjele povrede svojih prava temeljem uredbe".
>> Carić za Index o B2 Kapitalu i AZOP-u: Mala kazna za veliki međunarodni skandal
Oni građani koji žele podići tužbu zbog povrede osobnih podataka sada su dobili podršku i u jednoj odluci Europskog suda.
Masovno curenje osobnih podataka građana
Podsjetimo, u prosincu prošle godine otvorena je istraga zbog curenja 77 tisuća osobnih podataka iz tvrtke B2 Kapital. Vani se tako našao 181.641 zapis. Istraga je počela od upita portala Index o postupanju po anonimnoj prijavi. AZOP je zbog curenja podataka fizičkih osoba izrekao upravnu novčanu kaznu agenciji za naplatu potraživanja B2 Kapital u iznosu od 2.265.000 eura, a utvrdili su curenje najmanje 132.652 podatka fizičkih osoba.
AZOP u obrazloženju odluke navodi kako voditelj obrade nije na jasan i točan način informirao svoje ispitanike o obradi njihovih osobnih podataka putem obavijesti o obradi osobnih podataka. Također, nisu sklopili ugovor o obradi osobnih podataka s izvršiteljem obrade za uslugu praćenja jednostavnog stečaja potrošača i nisu poduzimali odgovarajuće tehničke i organizacijske mjere zaštite pri obradi osobnih podataka.
"B2 Kapital izgubio je nadzor nad kretanjem osobnih podataka"
B2 Kapital izgubio je nadzor nad kretanjem osobnih podataka ispitanika i nije mogao objasniti uzroke neovlaštene eksfiltracije (izvlačenja) osobnih podataka, stoji u obrazloženju odluke o kazni.
AZOP tvrdi da je nepoduzimanjem odgovarajućih mjera došlo do kršenja sigurnosti osobnih podataka svih ispitanika, i to najmanje 132.652 u trenutku nadzora, odnosno njihovih osnovnih identifikacijskih podataka te posljedično i svih osobnih podataka koji su zavedeni u sustavima pohrane agencije za naplatu potraživanja, a koji su financijske prirode pa su prilično osjetljivi.
Nakon odluke AZOP-a građani čiji su podaci procurili iz B2 Kapitala mogu tužiti tu agenciju za naplatu potraživanja. To dodatno potvrđuje i nedavna europska presuda.
Važna presuda Europskog suda
Stručnjak za GDPR i izvršni direktor udruge Politiscope Duje Prkut u razgovoru za Index komentirao je kaznu koju je Agencija za zaštitu osobnih podataka propisala B2 Kapitalu. Tvrdi da oni čiji su podaci iscurili imaju pravo na naknadu štete neovisno o tome koliko je nematerijalna šteta mala, odnosno kolika im je šteta nastala curenjem osobnih podataka.
>> Stručnjak za GDPR: Svi čiji su podaci procurili sada mogu tužiti B2 Kapital
Nedavno je objavljena presuda Europskog suda pravde (C-300/21) u predmetu UI protiv Österreichische Posta AG, koja potvrđuje da ispitanici imaju pravo na naknadu štete neovisno o tome koliko je nematerijalna šteta mala. Naime, u obavijesti o presudi posebno se ističe kako se ne može propisati ili sudskim odlukama odrediti "minimalni prag" nematerijalne štete.
"Zahtjev je upućen u okviru spora između osobe UI i Österreichische Posta AG u vezi s tužbom te osobe kojom traži naknadu nematerijalne štete, koju tvrdi da je pretrpjela zbog toga što je to društvo obradilo podatke o političkim sklonostima osoba s boravištem u Austriji, konkretno njezine podatke, iako nije pristala na takvu obradu", navodi se na stranicama Europskog suda.
Ni onih 130 tisuća građana RH čiji su podaci po odluci AZOP-a iscurili iz agencije za naplatu dugova također nije dalo privolu za obradu svojih osobnih podataka.
Zašto je tužena Austrijska pošta?
Počevši od 2017., Österreichische Post, društvo osnovano u skladu s austrijskim pravom koje se bavi prodajom popisa adresa, prikupljao je informacije o političkim sklonostima austrijskog stanovništva.
Pomoću algoritma koji je uzimao u obzir različite socijalne i demografske kriterije, to je društvo odredilo "adrese ciljanih skupina". Tako prikupljeni podaci prodavani su različitim organizacijama kako bi im se omogućilo ciljano slanje reklamnih sadržaja.
To je društvo u okviru svoje djelatnosti obradilo podatke na temelju kojih je, putem statističke ekstrapolacije, tužitelju iz glavnog postupka pripisalo povećanu sklonost određenoj austrijskoj političkoj stranci.
Te informacije nisu bile proslijeđene trećim osobama, ali se tužitelj iz glavnog postupka, koji nije pristao na obradu svojih osobnih podataka, osjetio povrijeđen činjenicom da mu je pripisana sklonost stranci o kojoj je riječ. Činjenica da su unutar tog društva sačuvani podaci koji se odnose na njegova navodna politička stajališta dovela je kod njega do ozbiljnog nezadovoljstva, gubitka povjerenja i osjećaja poniženja.
Što je odlučio Europski sud?
Europskom sudu pravde se za savjet u ovom slučaju obratio austrijski Oberster Gerichtshof (Vrhovni sud). Cilj je osigurati jednaku primjernu GDPR-a u cijeloj Europskoj uniji pa je najbrža opcija bila pitati najviši sud EU za mišljenje.
Europski sud je zaključio da bi uvjetovanje naknade nematerijalne štete određenim pragom ozbiljnosti moglo ugroziti dosljednost sustava uspostavljenog OUZP-om jer bi stupnjevanje takvog praga, o kojem ovisi mogućnost ili nemogućnost dobivanja navedene naknade, moglo varirati ovisno o ocjeni sudova pred kojima se vodi postupak.
"Međutim, takvo tumačenje ne može se shvatiti na način da podrazumijeva da ispitanik u odnosu na kojeg je došlo do povrede OUZP-a, koja mu je prouzročila negativne posljedice, bude oslobođen od obveze da dokaže da te posljedice predstavljaju materijalnu štetu u smislu članka 82. te uredbe", navodi se u odluci.
U svakom slučaju, ova odluka Europskog suda definitivno širom otvara vrata hrvatskim građanima, čiji su podaci iscurili zahvaljujući agenciji za naplatu potraživanja B2 Kapitalu, da zaštitu i naknadu štete potraže na sudu.
Osnova za naknadu štete svim građanima koji su obuhvaćeni curenjem podataka
"Unatoč navedenom, postoji osnova za naknadu štete svima onima koji su obuhvaćeni curenjem podataka. Iako se ne radi o značajnoj nematerijalnoj šteti, to je zasigurno kod svakog ispitanika izazvalo strah da se njihovim osobnim podacima ne upravlja na primjeren način", rekao je o europskoj presudi za Index Duje Prkut, stručnjak za GDPR.
No, realno, nastavlja Prkut, nitko se neće upuštati u postupak naknade štete za par tisuća kuna, koje možda sasvim adekvatno pokrivaju nematerijalnu štetu nelagode i straha koji su kod pojedinca izazvani zbog curenja podataka.
"Tužbe za naknadu štete u višim iznosima mogli bi podnositi dužnici koji su bili kontinuirano maltretirani pozivima i osobnim posjetima te izloženi ciljanom stvaranju stresa, neugode i nelagode", istaknuo je Prkut dodavši da se svi dužnici koji planiraju podnijeti individualne tužbe za naknadu štete mogu obratiti udruzi Politiscope za savjetodavnu podršku.
"Koliko nam je poznato, u RH još uvijek nije podnesena tužba za naknadu štete u nekom slučaju kršenja GDPR-a", zaključio je stručnjak za GDPR Duje Prkut.