Iz agencije za naplatu potraživanja B2 Kapital procurili su osobni podaci više od 77 tisuća fizičkih osoba, a kako prenose mediji, riječ je o dosad najvećem curenju osobnih podataka u Hrvatskoj. Index saznaje da se radi o podacima koji sadržavaju ime i prezime, OIB, datum rođenja, adresu stanovanja, naziv i OIB poslodavca, broj telefona/mobitela, e-mail, dugovanje prema B2 Kapitalu, iznos glavnice i iznos zateznih kamata te da je Agencija za zaštitu osobnih podataka (AZOP) započela istragu. Tvrtka B2 Kapital se o nastalom incidentu oglasila na svojoj web stranici u obavijesti u kojoj, između ostaloga, obavještava da je 13. prosinca od strane AZOP-a obaviještena o curenju podataka te da se poduzimaju potrebne radnje kako bi se saznalo o čijim podacima je riječ te će po saznanju iste osobe obavijestiti o povredi osobnih podataka i poduzetim mjerama.

Važno je imati na umu da Opća uredba nameće obvezu svim poslovnim subjektima da posluju samo s onim subjektima koji poštuju odredbe GDPR-a. Ukoliko se poslovni subjekti nađu u ulogama voditelja i izvršitelja obrade, kao što je to slučaj kada agencija za naplatu potraživanja vrši naplatu u ime banke, tada GDPR obvezuje da voditelj obrade, u ovom slučaju banka, uredi takav odnos sukladno zahtjevima GDPR-a i sklopi ugovor o obradi osobnih podataka s agencijom za naplatu potraživanja.

Sklapanju takvog ugovora   prethoditi obvezna provjera GDPR usklađenosti izvršitelja tj. agencije za naplatu potraživanja a posebice je banka u tom slučaju dužna izvršiti provjeru organizacijskih i tehničkih mjera zaštite koje je agencija za naplatu potraživanja implementirala kao i da li su one primjerene i učinkovite s obzirom na obradu koja se povjerava. Propuštanje sklapanja takvog ugovora ili propuštanja provjere izvršitelja obrade predstavlja kršenje GDPR a ujedno je jedan od pokazatelja nedovoljne usklađenosti poslovnih subjekata sa zahtjevima Opće uredbe, u ovom slučaju kako agencije za naplatu potraživanja tako i banke.

S obzirom da je činjenica da je banka ta koja je bila dužna provjeriti usklađenost agencije za naplatu potraživanja prije prijenosa osobnih podataka građana postavlja se pitanje, da li su banke i ako da, u kojoj mjeri vršile provjeru takvih agencija s obzirom na navedeno i osjetljivost podataka koje im prepuštaju?

Vrlo je važno utvrditi koji su podaci kompromitirani jer u slučaju da su procurili podaci koje je banka prenijela agenciji za naplatu potraživanja u svrhu naplate u ime banke tada o detaljima incidenta građane treba obavijestiti i sama banka kao i prijaviti incident nadzornom tijelu za podatke koje su odnosne na nju i pružiti   sve relevantne informacije o povredi osobnih podataka kao voditelj obrade.

Propuštanje istog predstavlja povredu GDPR.

Kada govorimo o incidentu s aspekta zaštite osobnih podataka potrebno je krenuti od samog početka, odnosno od zakonite osnove za obradu osobnih podataka sukladno GDPR i implementiranim organizacijskim i tehničkim mjerama zaštite.

Koje podatke agencija za naplatu potraživanja smije koristiti?

Zakonitu osnovu za obradu podataka kao što su ime i prezime, OIB, datum rođenja, adresa stanovanja, naziv i OIB poslodavaca, iznos glavnice i iznos zateznih kamata možemo pronaći u primjeni pravne norme i izvršavanju samog posla. Pojednostavljeno, to su podaci koje sam zakon određuje kao nužne podatke koje agencija za naplatu potraživanja treba obraditi kako bi se takav prijenos mogao ostvariti.

Međutim, broj telefona i e-mail adresa nisu podaci na čiju obradu zakon u tom slučaju obvezuje niti su nužni u odnosu na svrhu obrade tj. za prijenos potraživanja ili naplatu dospjelih potraživanja za klijente agencije.

To se očituje u činjenici da agencija već raspolaže s adresom dužnika kao obveznim podatkom putem koje može dostaviti sve potrebne obavijesti i informacije dužniku te može u slučaju potrebe zatražiti i njegov telefonski kontakt ili e-mail.

Što kada agencija za naplatu obrađuje telefonski kontakt dužnika?

Agencija za naplatu potraživanja mogla bi u određenim slučajevima na temelju svog legitimnog interesa kao zakonite osnove za obradu podataka prikupiti kontakt podatke dužnika kao što je broj telefona.

Primjerice, u slučaju kada ne uspijeva izvršiti dostavu potrebnih obavijesti dužniku putem pošte. U tom bi slučaju agencija mogla prikupiti kontakt podatke dužnika iz javno dostupnog izvora kako bi ga kontaktirala radi dogovora o novoj adresi dostave. Važno je napomenuti da pri tome agencija treba odmah po kontaktiranju dužniku pružiti informacije o izvoru prikupljanja podataka te sve ostale informacije sukladno GDPR-u, a koje uključuju i ostvarivanje njegovih prava kao što je pravo prigovora. Također, agencija treba upoznati dužnika da isticanjem prigovora dužnik može ograničiti ili u potpunosti zabraniti bilo koju daljnju obradu prikupljenog telefonskog kontakta ili e-maila. U suprotnom isto predstavlja kršenje GDPR-a.

Pri tome skrećemo pozornost kako prikupljanje i korištenje telefonskog kontakta radi informiranja o otplatnom planu ili podsjećanje dužnika na njegove obveze također nije nužno s obzirom da agencija već ima na raspolaganju adresu dužnika te bi takva obrada onda mogla predstavljati prekomjernu obradu osobnih podataka i kršenje GDPR.

Da li banka smije agenciji za naplatu potraživanja proslijediti kontakt telefon i e-mail adresu dužnika?

Kada se radi o prijenosu potraživanja banka ima obvezu proslijediti kontakt podatke dužnika agenciji za naplatu potraživanja kako bi ta agencija mogla izvršiti svoje obveze. Agencija u skladu s pozitivnim aktima treba dostaviti dužniku originale ili ovjerene preslike cesije i druge informacije putem pošte i upravo zato je adresa dužnika nužni podatak. Kontakt telefon i e-mail nigdje nisu kao takvi navedeni niti nužni za dostavu bilo kojih informacija kako bi se ispunila svrha obrade (prijenos potraživanja). Stoga ukoliko banka namjerava proslijediti kontakt telefon ili e-mail adresu dužnika za isto mora imati valjanu svrhu i zakonitu osnovu za takav prijenos, primjerice - pristanak dužnika u svrhu lakšeg ostvarivanja komunikacije s agencijom koja je preuzela njegovo dugovanje. U protivnom, isto predstavlja kršenje GDPR-a.

Je li agencija za naplatu potraživanja dostavila sve potrebne obavijesti građanima?

Agencija za naplatu potraživanja dužna je obavijestiti svakog građana o obradi njegovih osobnih podatka čije podatke obrađuje. Takve informacije, između ostaloga, uključuju koje podatke agencija obrađuje, na kojoj pravnoj osnovi kao i izvor prikupljanja podataka. To nam je posebice važno jer bi u tom slučaju znali koji je izvor prikupljanja kontakt telefona građana i na kojoj pravnoj osnovi s obzirom da kontakt telefon i e-mail građana nema zakonitu osnovu u pravnoj normi kao dio pravnog posla cesije tj. prijenosa potraživanja.

Propuštanje takve obavijesti o obradi osobnih podatka predstavlja kršenje GDPR te građani mogu podnijeti pritužbu nadzornom tijelu. Međutim, s obzirom na brojne novinske članke u kojima se spominje kontaktiranje dužnikovih članova obitelji, susjeda ili drugo od strane agencije za naplatu potraživanja, važno je istaknuti da ukoliko nije bilo valjane zakonite osnove za isto građani mogu pokrenuti i postupak naknade štete.

Tehničke i organizacijske mjere zaštite – ključni pokazatelj usklađenosti organizacije sa zahtjevima GDPR-a

Zaštita podataka obvezna je za sve subjekte koji obrađuju osobne podatke, uključujući obrte, udruge, velike i male tvrtke i druge organizacije kao što su npr. općina ili grad pa sve do multinacionalnog poduzeća.

Prema zahtjevima GDPR-a, temeljna je obveza tih subjekata provesti odgovarajuće mjere i potrebne zaštitne mjere kojima se osigurava učinkovita provedba načela zaštite podataka, a time i tehnička i integrirana zaštita podataka te prava i sloboda ispitanika. Pojam "odgovarajuće" kada je u pitanju GDPR znači da bi mjere i potrebne zaštitne mjere trebale biti prikladne za postizanje predviđene svrhe, odnosno njima se mora provoditi učinkovita zaštita podataka.

Upravo iz tog razloga su tehničke i organizacijske mjere zašite polazišno pitanje svakog incidenta.

Naime, GDPR obvezuje sve poslovne subjekte i druge organizacije koje obrađuju osobne podatke da osiguraju, a uzimajući u obzir najnovija dostignuća, trošak provedbe te prirodu, opseg, kontekst i svrhe obrade, kao i rizike različitih razina vjerojatnosti i ozbiljnosti za prava i slobode pojedinaca koji proizlaze iz obrade podataka - odgovarajuće tehničke i organizacijske mjere, poput pseudonimizacije.

Kako bi se očuvala sigurnost i spriječila obrada kojom se krši GDPR, poslovni subjekti moraju procijeniti rizike povezane s obradom i provesti mjere za njihovo umanjivanje, kao što je enkripcija. Kako bi se procijenili rizici za sigurnost podataka u obzir je potrebno uzeti rizike koje predstavlja obrada osobnih podataka poput slučajnog ili nezakonitog uništenja, gubitka, izmjene, neovlaštenog odavanja ili pristupa osobnim podacima koji su preneseni, pohranjeni ili na drugi način obrađivani, a što osobito može dovesti do fizičke, materijalne ili nematerijalne štete.

U cilju smanjenja rizika od povrede sigurnosti osobnih podataka ili umanjile njene posljedice, poslovnim subjektima su na raspolaganju čitav niz mjera koje se mogu odnositi na npr. napredna tehnička rješenja i osnovno osposobljavanje osoblja. Primjeri koji mogu biti prikladni, u kontekstu i rizicima povezanima s predmetnom obradom (incidentom), mogu uključivati pseudonimizaciju, omogućavanje ispitanicima da utječu na obradu, pružanje informacija o pohrani osobnih podataka, uspostavu sustava za detekciju zlonamjernog softvera, osposobljavanje zaposlenika o osnovnoj "kiberhigijeni", utvrđivanje sustava za upravljanje privatnošću i sigurnošću informacija, ugovorno obvezivanje voditelj/izvršitelj obrade na provedbu konkretnih praksi uključujući i smanjenja količine podataka. Međutim, svaki poslovni subjekt za sebe mora utvrditi jesu li mjere odgovarajuće za predmetnu obradu koju vrši kao i provoditi njihovo redovno preispitivanje.

Neovlašten pristup i krađa podataka mogu se dogoditi svakome. Važno je pri tome da li su uspostavljene odgovarajuće mjere zaštite kako bi se takvi incidenti sveli na najmanju moguću mjeru te ukoliko dođe do incidenta da li su podaci na odgovarajući način zaštićeni npr. pseudonimizacijom ili enkripcijom.

Uzimajući u obzir obavijest agencije B2 Kapital o curenju osobnih podataka, očekivano se postavlja pitanje građana jesu li implementirane odgovarajuće mjere zaštite posebice s obzirom na činjenicu da agencija obrađuje osobne podatke građana čija kompromitiranost zasigurno predstavlja visok rizik za prava i slobode građane ali i moguću materijalnu i nematerijalnu štetu.

Izostanak detekcije incidenta

Iz same obavijest agencije B2 Kapital građanima nije razvidno postojanje odgovarajućih i učinkovitih mjera zašita. Naime, pri uspostavi odgovarajućih mjera zaštite osobnih podataka očekivano je da će sustav u određenom dijelu detektirati nastali incident ili da se isto neposredno utvrdi sigurnosnim provjerama, a to se očito nije dogodilo s obzirom da je B2 Kapital o incidentu obavijestio samo nadzorno tijelo.

Kako se radi o kompromitaciji velike količine osobnih podataka, propuštanje uočavanja incidenta od strane agencije B2 Kapital zasigurno je signal za provjeru sigurnosnih mjera zašite osobnih podataka i temeljito preispitivanje takvih mjera, a posebice mjera koje se odnose na informacijsku sigurnost i ovlaštenja za pristup podacima.

Izostanak pseudonimizacije ili enkripcije podataka

Podaci su kompromitirani u svom izvornom obliku što ukazuje da podaci nisu pseudonimizirani niti je izvršena enkripcija s obzirom na rizik i prirodu podataka koja se obrađuje ili druga odgovarajuća zaštita.

Prekomjerno pružanje informacija o obradi (povreda načela transparentnosti obrade)

Politika privatnosti web stranice agencije B2 Kapital pruža informacije o svim obradama osobnih podataka koje ista provodi vezano za građane kao ispitanike. Ono što može ukazivati na neusklađenost rada agencije sa zahtjevima GDPR jest činjenica da politika web stranice treba pružati samo informacije o obradi osobnih podataka putem te web stranice i o legitimnim interesima tvrtke sukladno Smjernicama o transparentnosti Radne skupine za zaštitu osobnih podataka a što ovdje nije slučaj.

Naime, informacije o obradi osobnih podataka trebaju se pružati u trenutku kada su one relevantne za konkretnu obradu. Gomilanje informacija koje nisu važne za određenu obradu, kao što je gomilanje informacija o obradama koje agencija vrši u redovnom poslovanju, predstavlja zagušivanje ispitanika i odvraćanje od bitnih informacija čime se ne ostvaruje načelo transparentnosti kao jedno od temeljnih zahtjeva GDPR-a. Za nepoštivanje načela obrade predviđeno je najstrože kažnjavanje.

Je li odnos B2 Kapital i banke uređen u skladu s GDPR-om?

B2 Kapital u svojoj politici privatnosti na web stranici navodi kako, između ostaloga, provodi naplatu dospjelih potraživanja za svoje klijente. U tom slučaju B2 Kapital pojavljuje se u ulozi "izvršitelja obrade", dok se banka ili drugi subjekt za koga se vrši naplata potraživanja nalazi u ulozi "voditelja obrade" i isti su dužni urediti svoj odnos i obradu osobnih podataka sukladno zahtjevima GDPR-a.

Pojednostavljeno, banka ili drugi voditelj obrade dužan je sklopiti ugovor o obradi osobnih podataka s agencijom koja u njihovo ime provodi naplatu potraživanja i provjeriti da li takva agencija obrađuje osobne podatke u skladu s GDPR-om. S time u vezi, banka je bila dužna izvršiti provjeru jesu li implementirane odgovarajuće mjere zašite osobnih podatka. Propuštanje navedenog predstavlja kršenje GDPR-a. U ovom incidentu potrebno je obratiti   pozornost da u slučaju kompromitacije podataka građana nad kojima agencija provodi naplatu dospjelih potraživanja u ime banke, o detaljima incidenta građane treba obavijestiti i sama banka te pružiti relevantne informacije o povredi osobnih podataka kao voditelj obrade.

Što mogu napraviti građani?

Preporuke za građane izdalo je nadzorno tijelo, Agencija za zaštitu osobnih podataka, na svojim web stranicama. U tim preporukama, između ostalog, AZOP poziva da se građani obrate agenciji za naplatu potraživanja i zatraže pristup svojim osobnim podacima sukladno GDPR-u kako bi saznali jesu li njihovi podaci također izloženi.

Dodajemo da takav pristup građani mogu zatražiti i od banke koja je prenijela njihove podatke u agenciju za naplatu potraživanja u svrhu naplate duga. Važno je istaknuti da osobe čiji su podaci kompromitirani ali i ostale osobe čiji se podaci nisu obrađivali u skladu s GDPR-om mogu pokrenuti postupak naknade štete pred nadležnim sudom za pretrpljenu nematerijalnu i materijalnu štetu bilo od agencije za naplatu potraživanja ili banke u slučaju kompromitacije podataka koje je banka prenijela agenciji radi naplate dugovanja.

www.feralis.hr

Tko je Centar Feralis?

Hrvatski centar za zaštitu podataka Feralis je organizacija koja je aktivna u području zaštite prava i sloboda građana (ispitanika) s obzirom na zaštitu njihovih osobnih podataka te pomaže poslovnim subjektima u organizaciji poslovanja u skladu s Općom uredbom.

Kao predstavnik Hrvatske u Europskoj federaciji službenika za zaštitu podataka (EFDPO) pored ostalih aktivnosti, član je nekoliko odbora za zaštitu osobnih podataka od kojih izdvajamo Artificial Intelligence (AI), zdravstveni sektor i Članak 39. Opće uredbe za sprječavanje restrikcija nacionalnih zakonodavstva u pitanju pravnog savjetovanja službenika za zaštitu podatka u svezi zaštite osobnih podataka.

Povezane vijesti

• Prvo veliko kršenje osobnih podataka ZAPOSLENIH I U JAVNOM SEKTORU GRADA PULE I POREČA
• Ines Bolkovac, direktorica hrvatskog Centra za zaštitu osobnih podataka "Feralis": POLITIČARI NISU JEDNAKO ZAŠTIĆENI KAO DRUGI GRAĐANI
• Mini vodič za samostalno uređenje web stranice U SKLADU S GDPR-om