Agencija za zaštitu osobnih podataka (AZOP) je donijela rješenje kojim se jednoj od kreditnih institucija sa sjedištem u Zagrebu, odnosno banci, ne navodeći njen naziv, izriče novčana kazna zbog povrede članka 15. st. 3. Opće uredbe o zaštiti podataka (GDPR), točnije zbog odbijanja dostave osobnih podataka klijentima banke.

Naime, još od listopada 2018. godine AZOP intenzivno zaprima pritužbe klijenata banke u kojima navode da su se obraćali banci sa zahtjevom za dostavom podataka, da banka na njihove podnesene zahtjeve i traženje, kontinuirano odbija dostavu njihovih osobnih podataka tj. dostavu kreditne dokumentacije koja se odnosi na sklopljene ugovore o kreditu u švicarskim francima (CHF).

Klijenti su se obraćali banci legitimno i s pretpostavkom poštivanja i primjene prava na pristup svojim osobnim podacima temeljem čl. 15. st. 1. i 3. GDPR-a, na način da su zatražili dostavu kopija kreditne dokumentacije (npr. knjigovodstvena kartica, otplatni plan, aneks ugovora o kreditu, pregled promjena kamatnih stopa), koja sadrži njihove osobne podatke.
Banka je, iako u svojstvu voditelja obrade na kojeg se primjenjuje GDPR-a, odbila ispitanicima omogućiti pristup osobnim podacima/dostavu tražene dokumentacije, navodeći da prema Zakonu o potrošačkom kreditiranju i ostalim posebnim propisima ne radi se o pristupu osobnim podacima klijenata, već o kreditnoj dokumentaciji za koju nema obveze dostavljanja jer se radi o otplaćenim kreditima te je  uporno odbijala dostaviti klijentima presliku osobnih podataka koje o njima obrađuje.

Postupajući po pritužbama klijenata banke AZOP je proveo postupak u kojem je utvrdio da  dokumentacija čiju su dostavu zatražili sadrži njihove osobne podatke te su sukladno čl. 57. i 58. GDPR-a donesena 34 rješenja u kojima je banci naložena dostava dokumentacije/ kopija osobnih podataka svim klijentima koji su to zatražili.
U postupku utvrđivanja povrede prava koji je AZOP proveo utvrđeno  je kako je osim pojedinačno podnesenih pritužbi AZOP-u u razdoblju od 25. 05. 2018. do 30.04. 2019. godine banka zaprimila znatno veći broj (oko 2.500 ) takvih zahtjeva klijenata kojima je također uskraćeno  pravo na dostavu kopija osobnih podataka. zbog čega se AZOP odlučio provesti postupak i izreći najstrožu korektivnu mjeru, odnosno novčanu kaznu.

Primarni razlog za izricanje upravno novčane kazne je u činjenici kako, niti nakon već prethodno donesenih naloga u 34 rješenja banka nije ispoštivala prava klijenata zajamčenih GDPR-om. Budući da izricanje blažih korektivnih mjera (nalog za dostavu osobnih podataka) nije uspjelo izvesti banku na poštivanje GDPR-a, AZOP je izrekao novčanu kaznu.

AZOP se prilikom odmjeravanja visine kazne vodio sa kriterijima  koji su propisani u čl. 83.  st. 1. GDPR-a; prije svega uzeto je u obzir da je opisanim postupanjem banke došlo do teže povrede kršenja prava klijenata koja je regulirana čl. 83. st. 5. b) GDPR-a za čije kršenje je propisana kazna do 20.000.000 eura.
Također kao jedan od kriterija kod utvrđivanja visine novčane kazne uzeto je u obzir da je povredom obuhvaćeno preko 2.500 građana RH koji su banci podnijeli zahtjev za pristup svojim osobnim podacima, a kojima banka kao voditelj obrade nije udovoljila. Isto tako, uzeta je u obzir činjenica da se radi o povredi dužeg vremenskog  trajanja u razdoblju od 25. svibnja 2018. do 30. travnja 2019. godine, tj. o dužem vremenskom razdoblju od skoro godinu dana u kojem su podnositelji zahtjeva bili onemogućeni u ostvarivanju svojih prava.
Iz takvog postupanja banke jasno proizlazi kako je Banka bila svjesna činjenice da se na opisani način uskraćuje pristup osobnim podacima klijentima, odnosno zaštita njihovih temeljnih prava koja su zajamčena GDPR-om. Dakle, utvrđeno je da je banka prilikom kršenja obveze iz GDPR-a postupala svjesno i s namjerom, osobito iz razloga što se ne radi o izoliranom slučaju kršenja prava ispitanika, već o uskraćivanju  ostvarivanja prava većem broju klijenata (2.577), o dužem vremenskom trajanju same povrede te da pristup osobnim podacima nije omogućen niti nakon donošenja pojedinačnih rješenja u kojima je banci naloženo omogućavanje ostvarivanja prava sukladno čl. 15. st. 3. GDPR-a u pojedinačnim slučajevima, a što svakako ukazuje na ozbiljnost učinjene povrede.

Upravo takvim ponašanjem, odnosno ne postupanjem banke u skladu s obvezama iz GDPR-a, evidentno je da banka kao voditelj obrade nije, ni na koji način, aktivno uložila napor za ublažavanjem eventualno mogućih nastalih posljedica i rizika za prava i slobode ispitanika koji su obuhvaćeni predmetnom povredom.

Osim navedenog, prilikom utvrđivanja iznosa kazne uzeto je u obzir da je AZOP kao nadzorno tijelo za područje zaštite osobnih podataka u RH za navedeno kršenje saznalo od samih građana, a točan broj klijenata potvrdila  je i banka. Stoga  se može smatrati kako je odbijanjem zahtjeva klijenata banka izravno izbjegla određene financijske troškove koji se mogu smatrati stjecanjem imovinske koristi na štetu klijenata.

Isto tako kao jedan od kriterija uzeta je u obzir i činjenica da prema saznanjima AZOP-a, banci nije do sada utvrđena povreda prava klijenata sukladno čl. 15. st. 3. GDPR-a, kao niti druga relevantna kršenja odredbi GDPR-a što je uzeto u obzir prilikom utvrđivanja visine novčane kazne. Također, prilikom utvrđivanja kazne uzet je u obzir i stupanj suradnje s AZOP-om kao nadzornim tijelom, koja je u konkretnom slučaju bila u skladu s obvezama voditelja obrade koje proizlaze iz GDPR-a.

Podijeli:

 

Vezane objave