Prva GDPR kazna u Hrvatskoj: Banka kažnjena zbog neispunjavanja zahtjeva za pristup osobnim podacima

Prva GDPR kazna u Hrvatskoj: Banka kažnjena zbog neispunjavanja zahtjeva za pristup osobnim podacima

Izrečena je prva novčana GDPR kazna u Hrvatskoj, a Agencija za zaštitu osobnih podataka izrekla ju je jednoj kreditnoj agenciji, odnosno banci sa sjedištem u Zagrebu. 

U izvješću se ne navodi o kojoj se banci radi niti koji je iznos kazne, navedeni su samo razlozi izricanje kazne. Na rep.hr-ov upit o visini kazne iz AZOP-a su telefonski objasnili kako ne mogu odgovoriti o kolikom se iznosu radi, uz obrazloženje da on ne mora biti konačan, jer se još uvijek može pokrenuti upravni spor.

Banka je kažnjena zbog neispunjavanja zahtjeva za pristup osobnim podacima klijenata, kroz razdoblje od gotovo godinu dana. Čak 2.500 klijenata banke kontinuirano je od 25. svibnja 2018. do 30. travnja 2019. tražilo dostavu kopija kreditne dokumentacije koja se odnosi na sklopljene ugovore o kreditu u švicarskim francima s predmetnom bankom. Riječ je o dokumentima kao što su knjigovodstvene kartice, otplatni planovi, aneksi ugovora o kreditu, pregled promjena kamatnih stopa i drugi dokumenti koji sadrže njihove osobne podatke. Banka je zahtjeve odbijala uz pojašnjenje da se ne radi o osobnim podacima nego, prema Zakonu o potrošačkom kreditiranju i ostalim posebnim propisima, o kreditnoj dokumentaciji i da stoga zahtjevi za pristup osobnim podacima nisu osnovani. Na taj je način klijente onemogućavala u borbi za ostvarivanje prava u slučaju “Franak”.

Pristup osobnim podacima, odnosno dostavu tražene dokumentacije banka je ipak dala onim klijentima koji su se žalili AZOP-u, uz čak 34 rješenja za predaju sporne dokumentacije. No kako je i dalje odbijala zahtjeve ostalih klijenata, AZOP je odlučio po prvi puta od stupanja na snagu Opće uredbe o zaštiti podataka 25. travnja 2018. godine izreći upravno-novčanu kaznu zbog povrede članka 15. st. 1. i 3. Opće uredbe o zaštiti podataka - Pravo ispitanika na pristup.

U pojašnjenju ovom rješenju, Agencija navodi sljedeće: “Postupajući po pritužbama ispitanika AZOP je proveo postupak u kojem je utvrdio da  dokumentacija čiju su dostavu zatražili sadrži njihove osobne podatke te su sukladno čl. 57. i 58. Opće uredbe o zaštiti podataka donesena rješenja (34) u kojima je Banci naložena dostava dokumentacije/ kopija osobnih podataka svim ispitanicima koji su to zatražili. U postupku utvrđivanja povrede prava koji je AZOP proveo po službenoj dužnosti utvrđeno  je kako je osim pojedinačno podnesenih pritužbi AZOP-u u razdoblju od 25. 05. 2018. do 30. 04. 2019. Banka zaprimila znatno veći broj (oko 2500) takvih zahtjeva ispitanika kojima je također uskraćeno  pravo na dostavu kopija osobnih podataka. zbog čega se AZOP odlučio provesti postupak po službenoj dužnosti i izreći najstrožu korektivnu mjeru - upravno novčanu kaznu.”.

Agencija je iz svih dostupnih informacija zaključila da je banka prilikom navedenog kontinuiranog kršenja obveze iz Opće uredbe prema velikom broju ispitanika u dužem vremenskom trajanju postupala svjesno i s namjerom. Kao olakotnu okolnost prilikom utvrđivanja visine novčane kazne, AZOP navodi da je u obzir uzet stupanj suradnje s Agencijom kao nadzornim tijelom, koja je bila u skladu s obvezama voditelja obrade koje proizlaze iz Opće uredbe o zaštiti podataka (GDPR).

Iako mnogi GDPR još uvijek vide kao bauk i nepotrebnu komplikaciju, ovaj primjer odlično pokazuje smisao Opće uredbe, koliko god ona bila glomazna i ponekad nepraktična u primjeni, a to je zaštita osobnih podataka i pomoć u ostvarivanju prava građana.