Članice Evropske Unije poslednjih godina pokazuju izrazito visok stepen svesti o značaju zaštite podataka o ličnosti i sprovođenju Opšte uredbe o zaštiti podataka o ličnosti (GDPR) u delo. Svedoci smo izricanja milionskih novčanih kazni za kršenje GDPR u državama kao što su Irska, Nemačka i Francuska velikim igračima poput kompanija Meta, H&M i Google.
Uprkos tome, kaznena politika zemalja u regionu nije bila toliko oštra, a nadzorni organi za sprovođenje GDPR u tim zemljama su uglavnom pružali još jednu šansu kompanijama da se usklade, pre izricanja novčanih kazni. Tako je barem bilo sve do maja 2023. godine, kada je Agencija za zaštitu osobnih podataka u Hrvatskoj (AZOP ili Agencija) izrekla novčanu kaznu u iznosu od čak 2.265.000,00 eura prema društvu sa ograničenom odgovorošću – B2 Kapital iz Zagreba zbog kršenja GDPRa.
Čime se B2 Kapital bavi i kako je došlo do ovog presedana?
B2 Kapital d.o.o. je agencija za naplatu potraživanja i jedna od vodećih kompanija u pružanju finansijskih usluga u naplati i upravljanju potraživanjima, koja pripada norveškoj Grupi B2Holding ASA.
Hrvatska Agencija za zaštitu osobnih podataka je 2022. godine zaprimila anonimnu žalbu sa obrazloženim navodima da B2 Kapital nije adekvatno rukovao ličnim podacima desetina hiljada fizičkih lica, uz šta je priložena i USB flash memorija sa sačuvanim ličnim podacima fizičkih lica, među kojima su njihovo ime, prezime, datum rođenja i OIB (osobni identifikacijski broj). Konkretno, na USB-u su se nalazili podaci čak 77.317 fizičkih lica koji su imali nepodmireno dugovanje prema kreditnim institucijama, a koje je otkupio B2 Kapital.
Budući da B2 Kapital nije mogao da objasni kako je došlo do neovlašćenog curenja ovih podataka, ni kako su oni dostavljeni Agenciji za zaštitu osobnih podataka putem USB stika, čini se da rukovalac podacima o ličnosti nije obezbedio odgovarajuću zaštitu podacima i nije uopšte imao kontrolu i nadzor nad njihovim kretanjem.
Čime je B2 Kapital zaslužio kaznu od 2.265.000,00 eura?
B2 Kapital je, prema navodima Agencije, svojim postupcima odnosno nečinjenjem prekršio više odredaba GDPR-a, što je, zajedno sa dodatnim otežavajućim okolnostima koje mu se stavljaju na teret, dovelo do izricanja višemilionske kazne. Konkretno, navodi se da je B2 Kapital učinio sledeće propuste:
1. Lica nisu jasno i tačno obaveštena o obradi njihovih podataka o ličnosti putem politike privatnosti.
Rukovalac podacima o ličnosti je dužan da na transparentan i istinit način obavesti lica čiji se podaci obrađuju o tome koji su to podaci koji su predmet obrade, koja je svrha i pravni osnov obrade, koliko dugo će se ti podaci čuvati, kao i o svim ostalim informacijama od značaja koje su jasno definisane u GDPRu.
Konkretno, B2 Kapital je pogrešno informisao lica čije je podatke obrađivao o pravnom osnovu obrade podataka pri povraćaju više plaćenih sredstava, gde je netačno navedeno da je obrada neophodna u cilju zaštite životno važnih interesa lica na koje se podaci odnose ili drugog fizičkog lica.
Na taj način, Agencija smatra da je došlo do netransparente obrade podataka o ličnosti, odnosno pogrešnog informisanja 132.652 lica (koliko ih je bilo u momentu sprovođenja nadzora).
2. Nije sklopljen ugovor između rukovaoca (B2 Kapital) i obrađivača podataka o ličnosti.
Ukoliko pored rukovaoca podacima, postoji drugo lice koje u ime i za račun rukovaoca obrađuje podatke o ličnosti – obrađivač, rukovalac mora da zaključi Ugovor o obradi podataka o ličnosti sa tim obrađivačem u vezi sa poverenom obradom.
Cilj takvog ugovora je da se obezbedi jednak nivo zaštite podataka o ličnosti i u sitaucijama kad rukovalac nije neposredni obrađivač podataka, a njime se uređuje predmet i trajanje obrade, priroda i svrha obrade, vrsta podataka o ličnosti i vrsta lica o kojima se podaci obrađuju, kao i prava i obaveze ugovornih strana.
Kako je B2 Kapital koristio uslugu drugog pravnog lica prilikom praćenja stečaja potrošača, a obrada podataka koju je tom prilikom ustupao obrađivaču nije bila regulisana bilo kakvim ugovorom, AZOP je zauzeo stav da takva obrada nije bila u skladu sa GDPR-om.
Tačnije, AZOP je utvrdio da je propuštanjem B2 Kapitala da zaključi Ugovor o obradi podataka o ličnosti ugrožena sigurnost podataka preko 83.000 lica, a navedena povreda je trajala gotovo 2 godine.
3. Nisu preduzete tehničke i organizacione mere, neophododne za sigurnu obradu podataka o ličnosti.
Kao najveći propust na strani B2 Kapital, Agencija nalazi nedostatak primene odgovarajućih tehničkih i organizacionih mera kako bi se obezbedila sigurnost obrade i podataka o ličnosti.
Rukovalac i obrađivač imaju dužnost da sprovedu odgovarajuće tehničke i organizacione mere kako bi se obezbedio nivo bezbednosti koji odgovara riziku povrede prava lica čiji su podaci predmet obrade, a posebno od slučajnog ili nezakonitog uništenja, gubitka, izmene i neovlašćenog otkrivanja.
Između ostalog, pomenute mere podrazumevaju sposobnost da se osigura stalna poverljivost, integritet, dostupnost i otpornost sistema za obradu podataka, kao i omogućavanje procesa za redovno testiranje, procenu i ocenu efikasnosti tehničkih i organizacionih mera za obezbeđivanje bezbednosti obrade.
Budući da je anonimna žalba koja je upućena Agenciji za zaštitu osobnih podataka sadržala podatke 77.317 ljudi, sve ukazuje na to da su izostale mere koje je B2 Kapital morao da preduzme.
Time je, kako AZOP tvrdi, B2 Kapital potpuno izgubio nadzor nad kretanjem podataka o ličnosti, te nije mogao da objasni uzroke neovlašćenog curenja podataka.
4. B2 Kapital nije pokazao zadovoljavajuć nivo saradnje sa hrvatskom Agencijom za zaštitu osobnih podataka.
Nedostatak saradnje u postupku utvrđivanja povreda odredaba GDPR-a se pokazao kao otežavajuća okolnost, koja se uzela u obzir prilikom procene visine kazne.
Naime, B2 Kapital je odgovore na dopise Agencije za zaštitu osobnih podataka slao poslednjeg dana određenog roka ili je tražio produženje rokova i pojašnjenja zahteva hrvatskog organa u poslednji čas, kada je to, prema navodima Agencije, očigledno mogao da zatraži i u ranijem trenutku.
Pored toga, Agencija kao dodatnu otežavajuću okolnost ističe da B2 Kapital i nakon ponovljenih zahteva za dostavljanjem dokumentacije koja je bila potrebna za svrhu sprovođenja istrage, takve dokumente nikada nije dostavio.
5. Nisu preduzete nikakve mere da se otklone pomenute povrede GDPR-a.
Iako mu je neusklađenost svog poslovanja sa odredbama o zaštiti podataka o ličnosti već bila poznata, prema navodima Agencije, B2 Kapital je propustio da ispravi prethodne greške i preduzme mere koje bi sprečile da se povrede privatnosti lica čije podatke obrađuje dešavaju u budućnosti.
Dok je prethodno pomenuta saradnja sa obrađivačem okončana, politika privatnosti na sajtu rukovaoca nije ažurirana od 2018. godine do dana donošenja odluke Agencije, niti je Agencija obaveštena o preduzimanju tehničkih i organizacionih mera koje bi obezbedile odgovarajuću zaštitu ličnih podataka. Ove činjenice su se takođe tretirale kao otežavajuća okolnost u odluci AZOP.
Iako se nakon 5 godina, od kada je započeto sa potpunom primenom GDPR-a, može konstatovati napredak na polju primene odredaba o zaštiti podataka o ličnosti u državama regiona, zaštita podataka fizičkih lica i dalje nije dostigla nivo zaštite koji je obezbeđen u državama zapadne i severne Evrope.
Agencija za zaštitu osobnih podataka u Hrvatskoj je to prepoznala objavljujući da neinformisanost i neznanje ne mogu više predstavljati opravdanje i izgovor za kršenje osnovnih prava hrvatskih i evropskih građana.
Uprkos tome što Srbija još uvek nije članica Evropske Unije, srpski nacionalni Zakon o zaštiti podataka o ličnosti praktično je preuzeo odredbe iz GDPR-a, te su nivo zaštite podataka o ličnosti koji se zahteva tim propisom i standardi koje predviđa prilikom obrade podataka o ličnosti jednaki onima koji su propisani GDPR-om. Shodno tome, a imajući u vidu činjenicu da Poverenik za informacije od javnog značaja i zaštitu podataka o ličnosti prati primenu GDPR i trendove u zaštiti podataka na nivou EU, smatramo da je samo pitanje vremena kada će i Poverenik početi da primenjuje oštriju kaznenu politiku i izriče visoke novčane kazne za kršenje Zakona o zaštiti podataka o ličnosti.
Pored toga, rukovaoci podacima o ličnosti van Evropske Unije bi trebalo da budu svesni da oni, pod određenim uslovima, takođe mogu biti podvrgnuti ekstrateritorijalnom dejstvu odredaba GDPR-a, kao i kaznama koje se izriču na osnovu ove uredbe.
Kako je poštovanje propisa o zaštiti podataka o ličnosti postao imperativ, ovo bi trebalo da bude poslednja prilika svim kompanijama koje prikupljaju i obrađuju podatke o ličnosti da nauče iz tuđih grešaka i usklade svoje poslovanje sa relevantnim normama.
