Korona i biznis
14. ožujak 2020.

Izrečena prva GDPR kazna u Hrvatskoj - jednoj banci prijeti 20 milijuna eura kazne

piše Natalija Parlov Una
una@apicura.hr
piše Natalija Parlov Una [email protected]

Hrvatsko nadzorno tijelo za praćenje provedbe Opće uredbe o zaštiti podataka (GDPR) odnosno Agencija za zaštitu osobnih podataka (AZOP) u petak je objavilo rješenje o izricanju upravno-novčane kazne jednoj banci zbog kontinuiranog odbijanja dostave osobnih podataka ispitanicima koji su je tražili uvid u svoju kreditnu dokumentaciju. Unatoč čak 34 ranije donesena rješenja od strane nadzornog tijela, u kojima joj je bila naložena dostava predmetnih podataka svim ispitanicima koji su to zatražili, banka je to kontinuirano odbijala. 

Građani su od banke zatražili dostavu svojih osobnih podataka odnosno dostavu kreditne dokumentacije koja se odnosi na sklopljene ugovore o kreditu u švicarskim francima koje su podigli u toj banci. Unatoč tome što su zahtjevi građana bili legitimni i s pretpostavkom poštivanja i primjene prava na pristup svojim osobnim podacima propisanih GDPR-om, te je zatražena dokumentacija zaista sadržavala njihove osobne podatke, banka im je konzumiranje tog prava odbila omogućiti. Službeno obrazloženje banke bilo je da se prema Zakonu o potrošačkom kreditiranju i ostalim posebnim propisima ne radi se o pristupu osobnim podacima ispitanika, već o kreditnoj dokumentaciji za koju nema obveze dostavljanja jer se radi o otplaćenim kreditima.

Tijekom postupka utvrđivanja povrede prava u pojedinačnim prijavama građana, nadzorno tijelo je utvrdilo i kako je ista banka u razdoblju od gotovo godine dana, odnosno od dana početka primjene GDPR-a 25.05.2018. godine pa sve do 30.04.2019. godine, zaprimila preko 2500 zahtjeva građana kojima je uskratila pravo na dostavu kopija njihovih osobnih podataka.

S obzirom da se banka već bila oglušila na čak 34 AZOP-ove ranije izrečene blaže korektivne mjere odnosno naloga za dostavom osobnih podataka građanima koji su mu podnijeli prijavu, nadzorno tijelo se odlučilo na izricanje kazne kao jedine efikasne mjere.

Iako AZOP ne navodi točno ime banke, niti točan iznos izrečene kazne, obrazložio je da se prilikom odmjeravanja visine kazne vodio kriterijima propisanim GDPR-om i okolnostima slučaja. Tako je navedeno u rješenju da je uzeto u obzir da je tom povredom prava obuhvaćeno preko 2500 građana RH koji su podnijeli zahtjev za pristup svojim osobnim podacima, da se radi o povredi dužeg vremenskog trajanja, te najvažnije, da je banka izrijekom 34 prijašnje blaže korektivne mjere itekako bila svjesna činjenice da se na opisani način uskraćuje pravo na pristup osobnim podacima građana.

Za kršenje GDPR-a u skladu s propisanim kriterijima predviđena je kazna do 20 milijuna eura, no, kako u rješenju nadzornog tijela nije objavljen njen točan iznos, zasad ga možemo samo nagađati. Izvornik rješenja AZOP-a dostupan je ovdje.

Autorica: Natalija Parlov Una, doktorandica Međunarodnih odnosa te stručnjakinja za informacijsku sigurnost i bihevioralni digitalni marketing. Autorica je brojnih znanstvenih i stručnih radova iz područja informacijske sigurnosti, bihevioralnog marketinga, plasmana na vanjska tržišta i međunarodnih odnosa. Konzultantica je inozemnim i domaćim tvrtkama te institucijama u poljima procesne forenzike, informacijske sigurnosti, bihevioralne marketinške analitike te usklađivanja poslovanja s europskom pravnom regulativom. Auditorica je najveće njemačke certifikacijske kuće TÜV NORD za međunarodne standarde sustava upravljanja informacijskom sigurnosti ISO 27001, sustava upravljanja društvenom sigurnosti i kontinuitetom poslovanja ISO 22301, sustava upravljanja kvalitetom ISO 9001 te sustava upravljanja za suzbijanje podmićivanja ISO 37001. Direktorica je dviju tvrtki: PARLOV Digital Intelligence za bihevioralni digitalni marketing te APICURA Business Intelligence za informacijsku sigurnost i usklađivanje s europskom pravnom regulativom. LinkedIn