DUJE PRKUT, stručnjak za GDPR i izvršni direktor udruge Politiscope, u razgovoru za Index komentirao je kaznu koju je Agencija za zaštitu osobnih podataka propisala B2 Kapitalu u iznosu od 2.2 milijuna eura zbog curenja podataka. Tvrdi da oni čiji su podaci iscurili imaju pravo na naknadu štete neovisno o tome koliko je nematerijalna šteta mala, odnosno kolika im je šteta nastala curenjem osobnih podataka.
>> AZOP izrekao kaznu B2 Kapitalu: Zbog curenja podataka kažnjeni s 2.2 milijuna eura
Naime, u prosincu prošle godine otvorena je istraga zbog curenja 77 tisuća osobnih podataka iz tvrtke B2 Kapital. Vani se tako našao 181.641 zapis. Istraga je počela od upita portala Index o postupanju po anonimnoj prijavi. Jučer je AZOP zbog curenja podataka fizičkih osoba izrekao upravnu novčanu kaznu agenciji za naplatu potraživanja B2 Kapital u iznosu od 2.265.000 eura, a utvrdili su curenje najmanje 132.652 podatka fizičkih osoba.
B2 Kapital izgubio nadzor nad kretanjem osobnih podataka
AZOP u obrazloženju odluke navodi kako voditelj obrade nije na jasan i točan način informirao svoje ispitanike o obradi njihovih osobnih podataka putem obavijesti o obradi osobnih podataka. Također, nisu sklopili ugovor o obradi osobnih podataka s izvršiteljem obrade za uslugu praćenja jednostavnog stečaja potrošača i nisu poduzimali odgovarajuće tehničke i organizacijske mjere zaštite pri obradi osobnih podataka.
B2 Kapital izgubio je nadzor nad kretanjem osobnih podataka ispitanika i nije mogao objasniti uzroke neovlaštene eksfiltracije (izvlačenja) osobnih podataka, stoji u obrazloženju odluke o kazni. AZOP tvrdi da je nepoduzimanjem odgovarajućih mjera došlo do kršenja sigurnosti osobnih podataka svih ispitanika, i to najmanje 132.652 u trenutku nadzora, odnosno njihovih osnovnih identifikacijskih podataka te posljedično i svih osobnih podataka koji su zavedeni u sustavima pohrane agencije za naplatu potraživanja, a koji su financijske prirode pa su prilično osjetljivi.
Nakon odluke AZOP-a oni čiji su podaci procurili iz B2 Kapitala mogu tužiti tu agenciju za naplatu potraživanja.
Evo što kaže Europski sud pravde
"Kao kod svih drugih zahtjeva za naknadu štete, a tako i kad je u pitanju kršenje GDPR-a, nastala situacija mora ispunjavati sva tri sljedeća uvjeta. Prvi je postojanje kršenja zakona. Drugi je nastala šteta, a treći uzročna povezanost kršenja zakona i štete. Ovom odlukom AZOP-a potvrđuje se jedan od tri istaknuta uvjeta - kršenje zakona", pojašnjava Prkut.
Prkut ističe kako je baš jučer objavljena presuda Europskog suda pravde (C-300/21) koja potvrđuje da ispitanici imaju pravo na naknadu štete neovisno o tome koliko je nematerijalna šteta mala. Naime, u obavijesti o presudi posebno se ističe kako se ne može propisati ili sudskim odlukama odrediti "minimalni prag" nematerijalne štete.
"Kada je riječ o slučaju dužnika dviju agencija za naplatu potraživanja koje su imale curenje podataka, i prije ove presude je bilo jasno da pojedinci koji su pretrpjeli značajniju nematerijalnu štetu imaju pravo na naknadu štete. To bi, na primjer, bile situacije poput one kada je agencija zvala fiksni broj dužnika i o dugovanju pričala s njegovim maloljetnim djetetom", odgovara Prkut.
Postoji osnova za naknadu štete svih onih koji su obuhvaćeni curenjem podataka
No pretpostavlja se, ističe ovaj stručnjak, da ovo nije bio slučaj kod većine dužnika i da nijednom ispitaniku nije nastala velika nematerijalna šteta. Naime, podaci vjerojatno nikad nisu bili javno objavljeni/dostupni, što bi omogućilo daljnju ilegalnu obradu osobnih podataka i nastanak novih rizika za prava i slobode ispitanika.
"Unatoč navedenom, postoji osnova za naknadu štete svih onih koji su obuhvaćeni curenjem podataka. Iako se ne radi o značajnoj nematerijalnoj šteti, to je zasigurno kod svakog ispitanika izazvalo strah da se njihovim osobnim podacima ne upravlja na primjeren način", naglašava ovaj stručnjak za GDPR.
No, realno, nastavlja Prkut, nitko se neće upuštati u postupak naknade štete za par tisuća kuna, koje možda sasvim adekvatno pokrivaju nematerijalnu štetu nelagode i straha koji su kod pojedinca izazvani zbog curenja podataka.
"Tužbe za naknadu štete u višim iznosima mogli bi podnositi dužnici koji su bili kontinuirano maltretirani pozivima i osobnim posjetima te izloženi ciljanom stvaranju stresa, neugode i nelagode", ističe Prkut u svom odgovoru dodajući da se svi dužnici koji planiraju podnijeti individualne tužbe za naknadu štete mogu obratiti udruzi Politiscope za savjetodavnu podršku.
"Koliko nam je poznato, u RH još uvijek nije podnesena tužba za naknadu štete u nekom slučaju kršenja GDPR-a", zaključuje Duje Prkut.
B2 Kapital najavio upravni spor
Jučer se oglasila i tvrtka B2 Kapital tvrdeći da izrečenu kaznu na temelju pojedinih uočenih mogućnosti dodatne zaštite podataka smatra previsokom i najavivši da će iskoristiti mogućnost upravnog spora.
"Ionako visoki stupanj zaštite pri obradi osobnih podataka u međuvremenu smo dodatno ojačali te obradu osobnih podataka nastavljamo vršiti isključivo u skladu sa zakonom i s primjenom najviše moguće pažnje", stoji u njihovom priopćenju. Također, iz B2 Kapitala se nadaju da će policijska istraga utvrditi tko je neovlašteno otuđio i distribuirao osobne podatke njihovih klijenata.