Ovih dana svedočimo curenju ličnih podataka više od 77 hiljada građana, a radi se o podacima koji sadrže ime i prezime, OIB, datum rođenja, adresu stanovanja, naziv i OIB poslodavca, broj telefona, e-mail, dugovanje prema B2 Kapitalu, iznos glavnice i iznos zateznih kamata. Najvažnije pitanje svakog incidenta svakako su organizacione i tehničke mere zašite ličnih podataka međutim, a u ovom slučaju pojavljuje se i čitav niz prethodnih pitanja. Jedno od takvih pitanja je: čiji podaci su iscureli?
Jesu li iscureli lični podaci koje je agencija za naplatu potraživanja preuzela u postupku prenosa tj. otkupa dugovanja ili deo podataka koji su iscureli čine i podaci koje je agencija preuzela u svrhu naplate potraživanja za npr. banke ili druge klijente?
U slučaju curenja podataka koje je agencija za naplatu potraživanja preuzela u svrhu pružanja svoje usluge „naplate potraživanja“ tada se sukladno GDPR nalazi u ulozi izvršitelja obrada.
Sa stajališta GDPR-a, to znači da su banka ili drugi subjekt za koji agencija sprovodi naplatu dužni obavestiti nadzorno telo o incidentu vezano za svoje lične podatke koje je prosledila toj agenciji, ali isto tako i same građane o čijim podacima je reč.
Međutim, sama pozadina je ipak nešto dublja. Naime, u tom slučaju agencija za naplatu potraživanja i banka, teleoperater ili drugi klijent za kojeg agencija vrši naplatu, moraju sklopiti ugovor o obradi ličnih podataka. Takav ugovor mora sadržavati sve propisane elemente sukladno GDPR. Ono što je još važnije u ovom slučaju jest da voditelj obrade banke ili drugog subjekta za kojeg se provodi naplata, dužan ispitati i utvrditi je li agencija za naplatu potraživanja uskladila svoj rad s GDPR i primenjuje li odgovarajuće zaštitne mere ličnih podataka. Pojam „odgovarajuće“ kada je u pitanju GDPR znači da bi mere i potrebne zaštitne mere trebale biti prikladne za postizanje predviđene svrhe, odnosno njima se mora provoditi učinkovita zaštita podataka. Ono što je vrlo važno pri tome imati na umu da poslovni subjekti moraju moći dokazati da su uspostavljene mere upravo one koje su odgovarajuće.
U slučaju da su banka ili drugi subjekt za koji agencija za naplatu potraživanja provodi naplatu propustili poduzeti takvu proveru i sklopiti valjani ugovor onda je teret odgovornosti i na samom tom subjektu kao voditelju obrade. Pojednostavljeno, tada govorimo o kršenju ličnih podataka od strane same banke ili tog drugog subjekta koji isto nije učinio.
Ne zaboravimo pri tome da je rukovoditelj obrade, u tom slučaju banka ili drugi nalogodavac, odgovoran za lične podatke koje je prosledio agenciji za naplatu potraživanja.
Za građane to znači da pitanje povrede osobnih podataka i postupak naknade štete pre svega mogu pokrenuti protiv tih banaka ili drugih subjekata u čije ime se naplata vršila. U ovom trenutku zainteresirani građani mogu putiti zahtev za pristup svojim ličnim podacima i zatraže sve informacije o obradi svojih osobnih podatka kako od agencije za naplatu potraživanja B2 Kapital tako i od banaka ili drugih subjekata za koje je ta agencija vršila prema njima naplatu.
Preporuka je da građane nastave pratiti obaveštenja vezano za aktualni incident kako bi se saznali tačni podaci koji su iscureli i prema tome moglo postupati te svakako pratiti obaveštenja, savete i upute našeg nadzornog tela.
Izvor: Blic