B2 KAPITAL – NAJVEĆE CURENJE OSOBNIH PODATAKA
Da li banke krše GDPR?
Da li su banke sukladno svojoj obvezi provjerile agencije za naplatu potraživanja? Propuštanje takve provjere predstavlja kršenje GDPR i od strane banke
Da li su banke prijavile incident za podatke koje su odnosne na istu?
Da li su banke imale uređen odnos za agencijama za naplatu potraživanja na što su bile obvezne prema GDPR?
Samo je dio pitanja koja se pojavljuju ovim incidentom.
Iz agencije za naplatu potraživanja
B2 Kapital procurili su osobni podaci više od 77 tisuća fizičkih osoba, a kako prenose mediji, riječ je o dosad najvećem curenju osobnih podataka u Hrvatskoj.
Index saznaje da se radi o podacima koji sadržavaju
ime i prezime, OIB, datum rođenja, adresu stanovanja, naziv i OIB poslodavca, broj telefona/mobitela, e-mail, dugovanje prema B2 Kapitalu, iznos glavnice i iznos zateznih kamata te da je Agencija za zaštitu osobnih podataka (AZOP) započela istragu. Tvrtka B2 Kapital se o nastalom incidentu oglasila na svojoj web stranici u obavijesti u kojoj, između ostaloga, obavještava da je 13. prosinca od strane AZOP-a obavještena o curenju podataka te da se poduzimaju potrebne radnje kako bi se saznalo o čijim podacima je riječ te će po saznanju iste osobe obavijestiti o povredi osobnih podataka i poduzetim mjerama.
Važno je imati na umu da Opća uredba nameće obvezu svim poslovnim subjektima da posluju samo sa onim subjektima koji poštuju odredbe GDPR. Ukoliko se poslovni subjekti nađu u ulogama voditelja i izvršitelja obrade, kao što je to slučaj kada agencija za naplatu potraživanja vrši naplatu u ime banke tada GDPR obvezuje da voditelj obrade, u ovom slučaju banka, uredi takav odnos sukladno zahtjevima GDPR i sklopi ugovor o obradi osobnih podataka s agencijom za naplatu potraživanja.
Sklapanju takvog ugovora prethoditi obvezna provjera GDPR usklađenosti izvršitelja tj. agencije za naplatu potraživanja a posebice je banka u tom slučaju dužna izvršiti provjeru organizacijskih i tehničkih mjera zaštite koje je agencija za naplatu potraživanja implementirala kao i da li su one primjerene i učinkovite s obzirom na obradu koja im se povjerava. Propuštanje sklapanja takvog ugovora ili propuštanja provjere izvršitelja obrade predstavlja kršenje GDPR a ujedno je jedan od pokazatelja nedovoljne usklađenosti poslovnih subjekata sa zahtjevima Opće uredbe, u ovom slučaju kako agencije za naplatu potraživanja tako i banke.
S obzirom da je činjenica da je banka ta koja je bila dužna provjeriti usklađenost agencije za naplatu potraživanja prije prijenosa osobnih podataka građana postavlja se pitanje, da li su banke i ako da, u kojoj mjeri vršile provjeru takvih agencija s obzirom na navedeno i osjetljivost podataka koje im prepuštaju?
U slučaju da su procurili podaci koje je banka prenijela agenciji za naplatu potraživanja u svrhu naplate duga, o detaljima incidenta građane treba obavijestiti i sama banka kao i prijaviti incident nadzornom tijelu za podatke koje su odnosne na nju te pružiti sve relevantne informacije o povredi osobnih podataka kao voditelj obrade.
Propuštanje istog predstavlja povredu GDPR.
ZAKONITA OSNOVA ZA OBRADU OSOBNIH PODATAKA
Kada govorimo o incidentu s aspekta zaštite osobnih podataka potrebno je krenuti od samog početka, odnosno od zakonite osnove za obradu osobnih podataka sukladno GDPR i implementiranim organizacijskim i tehničkim mjerama zašite.
Koje podatke agencija za naplatu potraživanja smije koristiti u slučaju prijenosa potraživanja?
Zakonitu osnovu za obradu podataka kao što su ime i prezime, OIB, datum rođenja, adresa stanovanja, naziv i OIB poslodavaca, iznos glavnice i iznos zateznih kamata možemo pronaći u primjeni pravne norme i izvršavanju samog posla. Pojednostavljeno, to su podaci koje sam zakon određuje kao nužne podatke koje agencija za naplatu potraživanja treba obraditi kako bi se takav prijenos mogao ostvariti.
Međutim, broj telefona i e-mail adresa nisu podaci na čiju obradu zakon u tom slučaju obvezuje niti su nužni u odnosu na svrhu obrade tj. za prijenos potraživanja ili naplatu dospjelih potraživanja za klijente agencije.
To se očituje u činjenici da agencija već raspolaže s adresom dužnika kao obveznim podatkom putem koje može dostaviti sve potrebne obavijesti i informacije dužniku te može u slučaju potrebe zatražiti i njegov telefonski kontakt ili e-mail.
Što kada agencija za naplatu obrađuje telefonski kontakt dužnika?
Agencija za naplatu potraživanja mogla bi u određenim slučajevima na temelju svog legitimnog interesa kao zakonite osnove za obradu podataka prikupiti kontakt podatke dužnika kao što je broj telefona. Primjerice, u slučaju kada ne uspijeva izvršiti dostavu potrebnih obavijesti dužniku putem pošte. U tom bi slučaju agencija mogla prikupiti kontakt podatke dužnika iz javno dostupnog izvora kako bi ga kontaktirala radi dogovora o novoj adresi dostave.
Važno je napomenuti da je pri tome agencija dužna odmah po kontaktiranju dužniku pružiti informacije o izvoru prikupljanja podataka te sve ostale informacije sukladno GDPR a koje uključuju i ostvarivanje njegovih prava kao što je pravo prigovora. Također, agencije treba upoznati dužnika da isticanjem prigovora dužnik može ograničiti ili u potpunosti zabraniti bilo koju daljnju obradu prikupljenog telefonskog kontakta ili e-maila.
Skrećemo pozornost kako prikupljanje i korištenje telefonskog kontakta radi informiranja o otplatnom planu ili podsjećanje dužnika na njegove obveze također nije nužnu s obzirom da agencija već ima na raspolaganju adresu dužnika te bi takva obrada onda mogla predstavljati prekomjernu obradu osobnih podataka i kršenje GDPR.
Da li banka smije agenciji za naplatu potraživanja proslijediti kontakt telefon i e-mail adresu dužnika?
Kada se radi o prijenosu potraživanja banka ima obvezu proslijediti kontakt podatke dužnika agenciji za naplatu potraživanja kako bi ta agencija mogla izvršiti svoje obveze. Agencija u skladu s pozitivnim aktima treba dostaviti dužniku originale ili ovjerene preslike cesije i druge informacije putem pošte i upravo zato je adresa dužnika nužni podatak. Kontakt telefon i e-mail nigdje nisu kao takvi navedeni niti nužni za dostavu bilo kojih informacija kako bi se ispunila svrha obrade (prijenos potraživanja).
Stoga ukoliko banka namjerava proslijediti kontakt telefon ili e-mail adresu dužnika, za isto mora imati valjanu svrhu i zakonitu osnovu za takav prijenos, primjerice - pristanak dužnika u svrhu lakšeg ostvarivanja komunikacije s agencijom koja je preuzela njegovo dugovanje. U protivnom, isto predstavlja kršenje GDPR.
Često se u medijima postavljalo pitanje legitimnog interesa banke za proslijeđivanje kontakt telefona agenciji za naplatu potraživanja. Međutim, uputa AZOP-a vezano za legitimni interes čini se da se pogrešno shvatila. Naime, banka ne može imati legitimni interes kao zakonitu osnovu za otkrivanje i prijenos telefonskog kontakta svog klijenta već samo agencija za naplatu potraživanja može imati takvu zakonitu osnovu za prikupljanje podatka iz npr. javno dostupnog izvora kako bi kontaktirala sada svog dužnika.
Da li je agencija za naplatu potraživanja dostavila sve potrebne obavijesti građanima?
Agencija za naplatu potraživanja dužna je obavijestiti svakog građana o obradi njegovih osobnih podatka čije podatke obrađuje.
Takve informacije, između ostaloga, uključuju koje podatke agencija obrađuje, na kojoj pravnoj osnovi kao i izvor prikupljanja podatka. To nam je posebice važno jer bi u tom slučaju znali koji je izvor prikupljanja kontakt telefona građana i na kojoj pravnoj osnovi s obzirom da kontakt telefon i e-mail građana nema zakonitu osnovu u pravnoj normi kao dio pravnog posla cesije tj. prijenosa potraživanja.
Propuštanje takve obavijesti o obradi osobnih podatka predstavlja kršenje GDPR te građani mogu podnijeti pritužbu nadzornom tijelu. Međutim, s obzirom na brojne novinske članke u kojima se spominje kontaktiranje dužnikovih članova obitelji, susjeda ili drugo od strane agencije za naplatu potraživanja, važno je istaknuti da ukoliko nije bilo valjane zakonite osnove za isto građani mogu pokrenuti i postupak naknade štete.
TEHNIČKE I ORGANIZACIJSKE MJERE ZAŠTITE – ključni pokazatelj usklađenosti organizacije sa zahtjevima GDPR
Zaštita podataka obvezna je za sve subjekte koji obrađuju osobne podatke, uključujući obrte, udruge, velike i male tvrtke i druge organizacije kao što su npr. općina ili grad pa sve do multinacionalnog poduzeća. Prema zahtjevima GDPR temeljna je obveza tih subjekata provesti odgovarajuće mjere i potrebne zaštitne mjere kojima se osigurava učinkovita provedba načela zaštite podataka, a time i tehnička i integrirana zaštita podataka te prava i sloboda ispitanika.
Pojam „odgovarajuće“ kada je u pitanju GDPR znači da bi mjere i potrebne zaštitne mjere trebale biti prikladne za postizanje predviđene svrhe, odnosno njima se mora provoditi učinkovita zaštita podataka. Ono što je vrlo važno imati na umu da poslovni subjekti moraju moći dokazati da su uspostavljene mjere upravo one koje su odgovarajuće.
Upravo iz tog razloga su tehničke i organizacijske mjere zašite polazišno pitanje svakog incidenta.
Naime, GDPR obvezuje sve poslovne subjekte i druge organizacije koje obrađuju osobne podatke da osiguraju, a uzimajući u obzir najnovija dostignuća, trošak provedbe te prirodu, opseg, kontekst i svrhe obrade, kao i rizike različitih razina vjerojatnosti i ozbiljnosti za prava i slobode pojedinaca koji proizlaze iz obrade podataka - odgovarajuće tehničke i organizacijske mjere, poput pseudonimizacije. Kako bi se očuvala sigurnost i spriječila obrada kojom se krši GDPR, poslovni subjekti moraju procijeniti rizike povezane s obradom i provesti mjere za njihovo umanjivanje, kao što je enkripcija. Kako bi se procijenili rizici za sigurnost podataka u obzir je potrebno uzeti rizike koje predstavlja obrada osobnih podataka poput slučajnog ili nezakonitog uništenja, gubitka, izmjene, neovlaštenog odavanja ili pristupa osobnim podacima koji su preneseni, pohranjeni ili na drugi način obrađivani, a što osobito može dovesti do fizičke, materijalne ili nematerijalne štete.
U cilju smanjenja rizika od povrede sigurnosti osobnih podataka ili umanjile njene posljedice, poslovnim subjektima su na raspolaganju čitav niz mjera koje se mogu odnositi na npr. napredna tehnička rješenja i osnovno osposobljavanje osoblja. Primjeri koji mogu biti prikladni, u kontekstu i rizicima povezanima s predmetnom obradom (incidentom), mogu uključivati pseudonimizaciju, omogućavanje ispitanicima da utječu na obradu, pružanje informacija o pohrani osobnih podataka, uspostavu sustava za detekciju zlonamjernog softvera, osposobljavanje zaposlenika o osnovnoj „kiberhigijeni”, utvrđivanje sustava za upravljanje privatnošću i sigurnošću informacija, ugovorno obvezivanje voditelj/izvršitelj obrade na provedbu konkretnih praksi uključujući i smanjenja količine podataka. Međutim, svaki poslovni subjekt za sebe mora utvrditi jesu li mjere odgovarajuće za predmetnu obradu koju vrši kao i provoditi njihovo redovno preispitivanje.
Neovlašten pristup i krađa podataka može se dogoditi svakome i isto ne povlači nužno kažnjavenje. Važno je da li su uspostavljene odgovarajuće mjere zaštite kako bi se takvi incidenti sveli na najmanju moguću mjeru te ukoliko dođe do incidenta da li su podaci na odgovarajući način zaštićeni npr. pseudonimizacijom ili enkripcijom i da se postupa prema GDPR pravilima.
Uzimajući u obzir obavijest agencije B2 Kapital o curenju osobnih podataka, očekivano se postavlja pitanje građana da li su implementirane odgovarajuće mjere zaštite posebice s obzirom na činjenicu da agencija obrađuje osobne podatke građana čija kompromitacija zasigurno predstavlja visok rizik za prava i slobode građane ali i moguću materijalnu i nematerijalnu štetu.
Izostanak detekcije incidenta
Iz same obavijest agencije B2 Kapital građanima nije razvidno postojanje odgovarajućih i učinkovitih mjera zašita.
Naime, pri uspostave odgovarajućih mjera zašite osobnih podataka očekivano je da sustav u određenom dijelu detektirati nastali incident ili da se isto neposredno utvrdi sigurnosnim provjerama a što je izgledno da se nije dogodilo s obzirom da je B2 Kapital o incidentu obavijestilo samo nadzorno tijelo. Kako se radi o kompromitaciji velike količine osobnih podataka, propuštanje uočavanja incidenta od strane agencije B2 Kapital zasigurno je signal je za provjeru sigurnosnih mjera zašite osobnih podataka i temeljito preispitivanje takvih mjera, a posebice mjera koje se odnose na informacijsku sigurnost i ovlaštenja za pristup podacima.
Izostanak pseudonimizacije ili enkripcije podataka
Podaci su kompromitirani u svom izvornom obliku što ukazuje da podaci nisu pseudonimizirani niti je izvršena enkripcija s obzirom na rizik i prirodu podataka koja se obrađuje ili druga odgovarajuća zaštita.
Prekomjerno pružanje informacija o obradi (pitanje povrede načela transparentnosti obrade)
Politika privatnosti web stranice agencije B2 Kapital pruža informacije o raznim obradama osobnih podataka koje tvrtka provodi. Ono što može ukazivati na neusklađenost rada te agencije sa zahtjevima GDPR jest činjenica da politika web stranice treba pružati samo informacije o obradi osobnih podataka putem te web stranice i o legitimnim interesima tvrtke sukladno Smjernicama o transparentnosti Radne skupine za zaštitu osobnih podataka a što ovdje nije slučaj.
Naime, informacije o obradi osobnih podataka trebaju se pružati u trenutku kada su one relevantne za konkretnu obradu. Gomilanje informacija koje nisu važne za određenu obradu, kao što je gomilanje informacija o obrada koje agencija vrši u redovnom poslovanju, predstavlja zagušivanje ispitanika i odvraćanje od bitnih informacija čime se ne ostvaruje načelo transparentnosti kao jedno od temeljnih zahtjeva GDPR. Za nepoštivanje načela obrade predviđeno je najstrože kažnjavanje.
Da li je odnos B2 Kapital i banke uređen u skladu s GDPR?
B2 Kapital u svojoj politici privatnosti na web stranici navodi kako, između ostaloga, provodi naplatu dospjelih potraživanja za svoje klijente.
U tom slučaju B2 Kapital pojavljuje se u ulozi „izvršitelja obrade“ dok se banka ili drugi subjekt za koga se vrši naplata potraživanja nalazi u ulozi „voditelja obrade“ i isti su dužni urediti svoj odnos i obradu osobnih podataka sukladno zahtjevima GDPR.
Pojednostavljeno, banka ili drugi voditelj obrade dužan je sklopiti ugovor o obradi osobnih podataka s agencijom koja u njihovo ime provodi naplatu potraživanja i provjeriti da li takva agencija obrađuje osobne podatke u skladu s GDPR. S time u vezi, banka je bila dužna izvršiti provjeru da li su implementirane odgovarajuće mjere zašite osobnih podatka. Propuštanje navedenog predstavlja kršenje GDPR.
U slučaju kompromitacije podataka građana nad kojima agencija provodi naplatu dospjelih potraživanja u ime banke, o detaljima incidenta građane treba obavijestiti i sama banka te pružiti sve relevantne informacije o povredi osobnih podataka kao voditelj obrade.
Što mogu napraviti građani?
Preporuke za građane izdalo je nadzorno tijelo Agencija za zaštitu osobnih podataka na svojim web stranicama koju u cijelosti možete vidjeti
OVDJE. U tim preporukama, između ostaloga, AZOP poziva da se građani obrate agenciji za naplatu potraživanja i zatraže pristup svojim osobnim podacima sukladno GDPR kako bi saznali da li su njihovi podaci izloženi. Dodajemo da takav pristup građani mogu zatražiti i od banke koja ja prenijela njihove podatke u agenciju za naplatu potraživanja u svrhu naplate duga prema banci.
Važno je istaknuti da osobe čiji su podaci kompromitirani ali i ostale osobe čiji se podaci nisu obrađivali u skladu s GDPR mogu pokrenuti postupak naknade štete pred nadležnim sudom za pretrpljenu nematerijalnu i materijalnu štetu bilo od agencije za naplatu potraživanja ili banke u slučaju kompromitacije podataka koje je banka prenijela agenciji radi naplate dugovanja.
Više o incidentu:
