NAKON što je Agencija za zaštitu osobnih podataka (AZOP) u odgovoru na pitanje Index Istraga potvrdila kako banke agencijama za naplatu potraživanja nisu smjele dostavljati brojeve mobitela svojih klijenata, jer oni nisu nužni za naplatu potraživanja, Duje Prkut, stručnjak za GDPR i izvršni direktor udruge Politiscope, uvjeren je kako bi to trebao biti konačan kraj prakse maltretiranja građana pozivima utjerivača dugova.
No krenimo redom.
>> Index Istrage: Procurili osobni podaci 77 tisuća građana, njihovi OIB-ovi i dugovi
>> Banke dale brojeve mobitela utjerivačima dugova, istraga se širi
Prošlog tjedna Index Istrage otkrile su kako je iz agencije za naplatu potraživanja B2 Kapital u javnost procurilo 77.317 osobnih podataka fizičkih osoba. Riječ je o dosad najvećem curenju osobnih podataka u Hrvatskoj.
Odakle u podacima o dugu brojevi telefona i mailovi?
Iz te tvrtke izašli su podaci koji sadržavaju ime i prezime, OIB, datum rođenja, adresu stanovanja, naziv i OIB poslodavca, broj telefona/mobitela, e-mail, dugovanje prema B2 Kapitalu, iznos glavnice te iznos zateznih kamata. Iz B2 Kapitala za Index su potvrdili da je došlo do neovlaštenog otuđenja osobnih podataka njihovih dužnika te da surađuju sa svim institucijama, dok su iz AZOP-a potvrdili da su započeli istragu.
Naglasimo kako agencije za naplatu potraživanja otkupljuju dugove loših kredita od banaka i teleoperatera i potom ih same naplaćuju. Oni kojima je dug prodan žale se na postupanje tih agencija, no nitko im ne može pomoći jer su agencije osnovane kao trgovačka društva, a ne kao kreditne institucije. B2 Kapital većinom je otkupljivao loše kredite od banaka.
Prije nekoliko dana, a nakon što smo objavili informaciju o curenju podataka iz B2 Kapitala, obavijestili smo AZOP kako smo u posjedu tipiziranog ugovora o prodaji potraživanja (ugovor o cesiji) između banaka i agencije iz kojeg je razvidno kako banke agencijama koje se bave utjerivanjem dugova dostavljaju i broj telefona svojih bivših i aktualnih klijenata.
AZOP istragu proširio i na banke
AZOP-u je trebalo nekoliko dana da to i potvrdi, a kada jest, dostavio nam je odgovor iz kojeg je razvidno da dostava broja telefona nije nužna za naplatu potraživanja kao i da je istragu oko curenja osobnih podataka proširio i na banke.
"Ovaj odgovor ponajprije otkriva nešto o AZOP-u. Načelno gledano, postupanje AZOP-a u ovom slučaju potvrđuje kako je potreban i nužan pritisak javnosti, medija i udruga, kako bi osigurali da nadzorno tijelo djeluje proaktivno i u skladu s duhom GDPR-a. S jedne strane, treba pohvaliti proširenje istrage na banke te razmatranje i uvažavanje argumenata vezanih uz nelegitimnu i nezakonitu obradu podataka, koje su nadzornom tijelu dostavljeni u obliku pitanja Indexa i predstavki udruge Politiscope", kaže Prkut u razgovoru za Index.hr
Kako dodaje, indikativno je da ovo specifično pitanje nadzornom tijelu uopće nije bilo na radaru. Naime, problem obrade podataka broja mobitela AZOP je u potpunosti preskočio u svom mišljenju iz 2019., iako je problem maltretiranja dužnika telefonskim pozivima u Hrvatskoj opće mjesto, tema o kojoj su mediji izvještavali nebrojeno puta.
Banke će morati mijenjati svoju praksu prikupljanja podataka
"Osim toga, možemo pretpostaviti da je nadzorno tijelo na brojne upite ispitanika/dužnika slalo štancane odgovore u kojima se izbjegava zaroniti u dubinu problema, već ostaje na samoj površini. Iz navedenog je vidljivo da AZOP nema namjeru hvatati se u koštac s problemima. Skloniji su reaktivnom djelovanju, odnosno čekanju da im neki slučaj padne u krilo", uvjeren je Prkut.
On smatra da će proširenje istrage na banke promijeniti cijelu dinamiku same istrage. Iako će se istraga ticati samo konkretnih banaka koje su dotičnoj agenciji ustupile podatke, reperkusije ovog slučaja će biti relevantne za cijeli bankarski sektor u Hrvatskoj.
"Dok je nedvojbeno da je agencija za naplatu potraživanja odgovorna za curenje podataka, banka je instanca koja je provodila nezakonitu obradu podataka broja mobitela. Ako je točna pretpostavka da banke imaju manje-više slične ili iste politike privatnosti, to znači da će ubrzo sve banke u RH morati mijenjati svoje politike privatnosti", objašnjava Prkut u razgovoru za Index. Drugim riječima, banke će u potpunosti morati izmijeniti prakse prikupljanje kontaktnih osobnih podataka klijenata.
Kako sada prikupljati podatke?
"AZOP je ustvrdio da izvršenje ugovora nije valjana pravna osnova za prikupljanje kontaktnih podataka klijenata banaka. Banke će stoga, u izmjenama svoje politike privatnosti, morati izabrati neku drugu pravnu osnovu za obradu ovog podatka", pojašnjava Prkut. U izboru te nove pravne osnove banke imaju dvije opcije - privolu i legitimni interes.
Vjerojatnije je, smatra ovaj stručnjak, da će se banke odlučiti za legitimni interes. Na taj način će moći obrađivati podatke i onih klijenata koji bi odbili dati privolu.
"Ukratko, banke će morati uspostaviti posve novi pravni okvir i praksu za obradu kontaktnih podataka klijenata", zaključuje Prkut. Kada se jednom uspostavi nova praksa obrade kontaktnih podataka banaka u skladu s GDPR-om, agencije za naplatu potraživanja više neće obrađivati elektronske kontaktne podatke svojih dužnika, smatra ovaj stručnjak za GDPR.
Ukinut će se praksa zlostavljanja pozivima do podmirenja dugovanja
Točnije, banke te podatke više neće dostavljati agencijama, uvjeren je Prkut, koji dodaje da čak i ako legitimni interes bude nova pravna osnova za prikupljanje kontaktnih podataka, Politiscope smatra da to nije valjana osnova za prijenos tih podataka agencijama za naplatu potraživanja.
"Smatramo da u ovom konkretnom slučaju prava i slobode ispitanika pretežu nad legitimnim interesom banka i agencija. No čak i ako banke agencijama dostave brojeve mobitela, bitno je istaknuti da će ispitanici imati novo pravo koje nisu imali do sada - pravo podnošenja prigovora", zaključuje Prkut. Naime, kada se uspostavi novi model, dokinut će se trenutna raširena praksa agencija - zlostavljanje pozivima do podmirenja dugovanja.
"Doduše, iznimno je složeno i u potpunosti otvoreno pitanje kako se svi uključeni akteri, banke, agencije i ispitanici, trebaju ili smiju ponašati do uspostave tog novog pravnog režima. AZOP treba hitro reagirati i izdati jasne upute", upozorava Prkut.
Pokretanje postupka za naknadu štete
Osobe koje sumnjaju na to da su njihovi podaci obuhvaćeni povredom podataka mogu se obratiti službeniku za zaštitu podataka (zastita-osobnih-podataka@b2kapital.hr) i zatražiti pristup svojim podacima te dobiti informaciju u kojem opsegu su obuhvaćeni curenjem, odnosno povredom osobnih podataka.
"Ako ispitanici smatraju da su oštećeni curenjem podataka, imaju pravo pokretanja postupka za naknadu štete pred općinskim sudom", ističe Prkut dodajući da je, ako pod oštećenike mislimo na ispitanike kojima agencije za naplatu potraživanja nezakonito obrađuju kontaktne podatke, situacija izrazito složena.
Naime, u ovom je trenutku stav AZOP-a o pogrešnoj pravnoj osnovi za obradu kontaktnih podataka od strane banaka iskazan jedino u odgovoru na novinarsko pitanje Index Istraga. Stoga je iznimno bitno da AZOP ovaj stav javno objavi putem svojih kanala komuniciranja te, osim toga i bitnije od toga, izda jasne upute ispitanicima, bankama i agencijama kako postupati do usvajanja novih politika privatnosti, koje su u skladu s GDPR-om.
AZOP mora brzo reagirati
"Za početak, banke bi trebale dobiti uputu da prilikom prodaje dugova do daljnjega ne dostavljaju kontaktne podatke svojih klijenata. Nadalje, agencije za naplatu potraživanja bi trebale dobiti uputu da do daljnjega prestanu s obradom kontaktnih podataka i pozivima klijentima jer se radi o nezakonito prikupljenim podacima, ili čak da sve te podatke promptno izbrišu", ističe Prkut.
Kako kaže Prkut, potrebno je ispitanicima dati točne i nedvosmislene informacije o njihovim pravima, u prvom redu imaju li pravo tražiti brisanje osobnog podatka koji je prikupljen i obrađen temeljem pogrešne pravne osnove.
"AZOP mora izdati i jasnu uputu agencijama kako tretirati eventualne prigovore ispitanika na obradu kontaktnih podataka, odnosno prigovor na maltretiranje pozivima. Radi se o novom pravu s kojim nisu upoznati ni ispitanici ni agencije za naplatu potraživanja. Dok AZOP ne izda formalno mišljenje i javno ga objavi, nalazimo se u limbu, ni na nebu ni na zemlji. Nedopustivo je da se ove nezakonite prakse i kršenja prava građana nastave do službenog mišljenja nadzornog tijela na koje se može čekati mjesecima ili čak godinama. Trenutno su sve oči uprte u AZOP, od kojeg se očekuje brza, jasna i nedvosmislena reakcija", zaključuje Duje Prkut.