Ovih dana svjedočimo curenju osobnih podataka više od 77 tisuća građana a kako saznaje Indeks radi se o podacima koji sadrže ime i prezime, OIB, datum rođenja, adresu stanovanja, naziv i OIB poslodavca, broj telefona/mobitela, e-mail, dugovanje prema B2 Kapitalu, iznos glavnice i iznos zateznih kamata. Najvažnije pitanje svakog incidenta svakako su organizacijske i tehničke mjere zašite osobnih podataka međutim, u ovom slučaju pojavljuje se i čitav niz prethodnih pitanja. Jedno od takvih pitanja je čiji podaci su iscurili?
Da li su iscurili osobni podaci koje je agencija za naplatu potraživanja preuzela u postupku prijenosa tj. otkupa dugovanja ili dio podataka koji su iscurili čine i podaci koje je agencija preuzela u svrhu naplate potraživanja za npr. banke ili druge klijente?
U slučaju curenja podataka koje je agencija za naplatu potraživanja preuzela u svrhu pružanja svoje usluge „naplate potraživanja“ tada se sukladno GDPR nalazi u ulozi izvršitelja obrada.
Sa stajališta GDPR to znači da tada banka ili drugi subjekt za koji agencija provodi naplatu dužna je obavijestiti nadzorno tijelo o incidentu vezano za svoje osobne podatke koje je proslijedila toj agenciji ali isto tako i same građene o čijim podacima je riječ.
Međutim, sama pozadina je ipak nešto dublja. Naime, u tom slučaju agencija za naplatu potraživanja i banka, teleoperater ili drugi klijent za kojeg agencija vrši naplatu moraju sklopiti ugovor o obradi osobnih podataka. Takav ugovor mora sadržavati sve propisane elemente sukladno GDPR. Ono što je još važnije u ovom slučaju jest da je voditelj obrade banka ili drugi subjekt za kojeg se provodi naplata, dužan ispitati i utvrditi da li je agencija za naplatu potraživanja uskladila svoj rad s GDPR i da li primjenjuje odgovarajuće zaštitne mjere osobnih podataka. Pojam „odgovarajuće“ kada je u pitanju GDPR znači da bi mjere i potrebne zaštitne mjere trebale biti prikladne za postizanje predviđene svrhe, odnosno njima se mora provoditi učinkovita zaštita podataka. Ono što je vrlo važno pri tome imati na umu da poslovni subjekti moraju moći dokazati da su uspostavljene mjere upravo one koje su odgovarajuće.
U slučaju da je banka ili drugi subjekt za koji agencija za naplatu potraživanja provodi naplatu propustila učiniti takvu provjeru i sklopiti valjani ugovor onda je teret odgovornosti i na samom tom subjektu kao voditelju obrade. Pojednostavljeno, tada govorimo o kršenju osobnih podataka od strane same banke ili tog drugog subjekta koji isto nije učinio.
Ne zaboravimo pri tome je voditelj obrade, u tom slučaju banka ili drugi nalogodavac odgovoran za osobne podatke koje je proslijedio agenciji za naplatu potraživanja.
Za građane to znači da pitanje povrede osobnih podataka i postupak naknade štete prije svega mogu pokrenuti protiv tih banaka ili drugih subjekata u čije ime se naplata vršila. U ovom trenutku zainteresirani građani mogu putiti zahtjev za pristup svojim osobnim podacima i zatraže sve informacije o obradi svojih osobnih podatka kako od agencije za naplatu potraživanja B2 Kapital tako i od banaka ili drugih subjekata za koje je ta agencija vršila prema njima naplatu.
Preporuka je pratiti obavijesti vezano za aktualni incident kako bi se saznali točni podaci koji su iscurili i prema tome moglo postupati te svakako pratiti obavijesti, savjete i upute našeg nadzornog tijela