Čitajte nas:
GLAS ISTRE NOVINE - Razmjena podataka o kreditnim zaduženjima - kako je to regulirano GDPR-om?
SEEbiz - HROK razmjena podataka o kreditnim zaduženjima i GDPR
Često dobivamo pitanja o obradi osobnih podataka u HROK-u, odnosno vezano za razmjenjivanje osobnih podataka o kreditnim obvezama građana između banaka koje su članice DOR sustava. Prije svega potrebno je istaknuti da je došlo do određenih promjena stupanjem na snagu Opće uredbe, međutim nedugo zatim, već u kolovozu 2019. godine došlo je do promjene Zakona o kreditnim institucijama, temeljem kojeg je takva obrada osobnih podataka postala usklađena sa jednom od zakonitih osnova za obradu predviđene Općom uredbom.
Kada govorimo o obradi osobnih podataka točnije, o njihovoj razmjeni između kreditnih institucija, tada se obrada vrši radi poštovanja pravnih obaveza voditelja obrade i to prije svega radi poštovanja propisa koji određuje da su kreditne institucije dužne u svrhu procjene kreditne sposobnosti ili upravljanja kreditnim rizikom, na zahtjev, razmjenjivati informacije, uključujući osobne podatke koji se odnose na njihove klijente ili su u vezi s njihovim klijentima.
S obzirom da su kreditne institucije dužne razmjenjivati takve podatke temeljem zakonske norme onda je i sama obrada zakonita, jer je takva obrada potrebna kako bi kreditna institucija poštovao svoje pravne obaveze.
Informacije i osobni podaci o klijentima koji se moraju razmjenjivati moraju biti nužni za procjenu kreditne sposobnosti ili upravljanje kreditnim rizikom, a uključuju sljedeće kategorije podataka:
- identifikacijske podatke klijenta (pravna osobnost osobe, ime i prezime/naziv, OIB ili ako OIB nije dostupan, drugi identifikacijski broj, matični broj poslovnog subjekta)
- podatke o postojećim i podmirenim ili na drugi način zatvorenim obvezama klijenta (vrsta obveze, ukupan iznos obveze, iznos i periodičnost anuiteta/rate, urednost u podmirivanju obveza, broj dospjelih, a neplaćenih obveza, njihov iznos te broj dana u zakašnjenju).
Podaci i informacije mogu se razmjenjivati najdulje četiri godine od dana kada je obveza u potpunosti podmirena ili na drugi način zatvorena.
PRAKSA BANAKA U RH
Mnoge banke na svojim web stranicama u politikama privatnosti i danas imaju navedene informacije o obradi osobnih podataka u DOR sustavu pozivajući se na svoj legitimni interes i time unose dosta pitanja i nejasnoća. Onda kada se obrada vrši na temelju legitimnog interesa svatko ima pravo istaknuti prigovor na takvu obradu i zabraniti je ili ograničiti osim u slučaju ako taj legitimni interes nadilazi temeljna prava i slobode.
PRIMJER
Najlakše ćemo isto razumjeti kroz primjer, pa tako nećemo moći ograničiti obradu u slučaju videonadzora koji se provodi radi zašite života i imovine jer naš interes neće biti iznad interesa zaštite života drugih ljudi. Međutim, ako provodimo obradu koja se temelji na legitimnom interesu voditelja obrade u svrhu marketinga onda takav interes ne nadilazi naša prava i slobode i svakako ćemo ga moći djelomično ili u potpunosti ograničiti.
Vratimo se na banke i njihov legitimni interes za koji je dvojbeno reći da njihova financijska dobit nadilazi temeljna prava i slobode građana čije podatke razmjenjuju. Postavlja se pitanje zašto se pružaju informacije da se podaci građana o kreditnom zaduženju obrađuju temeljem legitimnog interesa banke kada za to postoji zakonita osnova u pravnoj normi.
Takve obrade se bitno razlikuju jer se obrada temeljem legitimnog interesa može djelomično ili u potpunosti ograničiti dok za obradu na temelju pravne norme to nije moguće.
Sve navedeno u konačnici čini odgovornost voditelja obrade (u ovom slučaju banke) za pružanjem točnih i pravovremenih informacija o obradi osobnih podataka upitnom.
Autori: Ines i Marko Krečak, DPO Feralis
Povezane teme:
Pravo na pristup osobnim podacima - slučaj Raiffeisen bank
Prva GDPR kazna u RH izrečena je jednoj od banaka
Elektronički potpis, OIB & GDPR
Povezane usluge:
Službenik za zaštitu podataka
Ponošenje pritužbe na obradu osobnih podataka
