Agencija za zaštitu osobnih podataka1 (u daljnjem tekstu: AZOP) po provedbi upravnog nadzora nad trgovačkim društvom B2 KAPITAL d.o.o. – vodećom agencijom za naplatu potraživanja u Republici Hrvatskoj kao voditeljem obrade osobnih podataka, donijela je odluku o izricanju upravne novčane kazne u iznosu od 2.265.000,00 eura (u protuvrijednosti 17.065.642,50 kuna) i to zbog povrede odredbi o zaštiti osobnih podataka propisanih Uredbom (EU) 2016/679 Europskog parlamenta i Vijeća od 27. 04. 2016. o zaštiti pojedinaca u vezi s obradom osobnih podataka (u daljnjem tekstu: Opća uredba o zaštiti podataka). Ostaje za vidjeti hoće li utvrđeni propusti biti sankcionirani u eventualnom kaznenom postupku, ukoliko bude pokrenut, budući da izrečena upravna novčana kazna kao sankcija kao ne isključuje moguću individualnu kaznenu odgovornost, ukoliko nadležni sud propuste društva B2 KAPITAL d.o.o. ocijeni kao kazneno djelo nedozvoljene uporabe osobnih podataka.
Uvod
U prosincu 2022. godine AZOP je zaprimio anonimnu prijavu iz koje proizlazi kako trgovačko društvo B2 KAPITAL d.o.o. u svojstvu agencije za naplatu potraživanja neovlašteno obrađuje veći broj podataka, kao što su ime i prezime, datum rođenja, OIB, adresa stanovanja, naziv i OIB poslodavca, dugovanje prema društvu B2 KAPITAL d.o.o., iznos glavnice te iznos zateznih kamata, a koji podaci obuhvaćaju i osobne podatke ukupno 77.317 fizičkih osoba u svojstvu dužnika s nepodmirenim dugovanjem prema kreditnim institucijama, a koje je temeljem ugovora o cesiji od istih otkupila imenovana agencija za naplatu potraživanja.
Temeljem zaprimljene prijave, a po službenoj dužnosti, AZOP je u okviru svojim zakonom propisanih nadzornih ovlasti, u prosincu 2022. pokrenuo postupak nadzora nad društvom B2 KAPITAL d.o.o. kao voditeljem obrade te po provedbi istog utvrdio sljedeće povrede prava na zaštitu osobnih podataka iz Opće uredbe o zaštiti podataka:
-
„Voditelj obrade nije na jasan i točan način informirao svoje ispitanike o obradi njihovih osobnih podataka putem obavijesti o obradi osobnih podataka (politike privatnosti), a u pogledu pravne osnove kod povrata preplaćenih sredstava, što je protivno odredbi članka 13. stavka 1. Opće uredbe o zaštiti podataka. Time je došlo do netransparentne obrade osobnih podataka ispitanika (odnosno pogrešnog informiranja u pogledu pravne osnove obrade iz članka 6. stavka 1. Opće uredbe o zaštiti podataka) kojih je u trenutku provođenja nadzora bilo (najmanje) 132 652, a politika privatnosti ostala je nepromijenjena te povreda još nije otklonjena, odnosno traje od 25. svibnja 2018. do danas.
-
Protivno odredbi članka 28. stavka 3. Opće uredbe o zaštiti podataka, voditelj obrade nije sklopio ugovor o obradi osobnih podataka s izvršiteljem obrade za uslugu praćenja jednostavnog stečaja potrošača te je time ugrožena sigurnost osobnih podataka 83 896 ispitanika (OIB), budući da je sklapanje ugovora s izvršiteljem obrade jedna od svojevrsnih sigurnosnih poluga koja osigurava da su jasno ugovorena pravila obrade osobnih podataka, njihov tijek u poslovnom odnosu između voditelja i izvršitelja obrade te kako bi se voditelj obrade osigurao da izvršitelj obrade zadovoljava tehničke i organizacijske mjere zaštite kod obrade osobnih podataka velikog broja ispitanika. Utvrđeno je kako je navedena povreda trajala od prihvata ponude za pružanje usluge praćenja jednostavnog stečaja potrošača, odnosno od 14. veljače 2019. do 26. veljače 2021. kada je došlo do prekida poslovne suradnje.
-
Voditelj obrade nije poduzimao odgovarajuće tehničke i organizacijske mjere zaštite kod obrade osobnih podataka, što je protivno članku 32. stavku 1. točke b) i d) i stavku 2. Opće uredbe o zaštiti podataka. Nepoduzimanjem odgovarajućih mjera došlo je do kršenja sigurnosti osobnih podataka svih ispitanika (najmanje 132 652 u trenutku nadzora), odnosno njihovih osnovnih identifikacijskih podataka (najmanje u strukturi: ime i prezime, datum rođenja i OIB) te posljedično i svih osobnih podataka koji su zavedeni u sustavima pohrane agencije za naplatu potraživanja, a koji su financijske prirode te su na taj način prilično osjetljivi. U postupku je utvrđeno kako povreda traje najmanje od 2019. godine te još nije otklonjena, a sve uslijed nepoduzimanja odgovarajućih mjera zaštite.“
Odluka AZOP-a
Po provedenom postupku nadzora nad društvom B2 KAPITAL d.o.o., AZOP je utvrdio da imenovano društvo kao voditelj obrade osobnih podataka2 najveći stupanj odgovornosti snosi zbog nepoduzimanja tehničkih mjera zaštite, budući da je upravo zbog manjkavosti u takvom sustavu sigurnosti došlo do nesigurne obrade većeg broja osobnih podataka.
Naime, kako iz odluke AZOP-a proizlazi – B2 KAPITAL d.o.o. je izgubio potpuni nadzor nad kretanjem osobnih podataka njihovih ispitanika te nije mogao objasniti uzroke neovlaštene eksfiltracije (izvlačenja) osobnih podataka.
AZOP je pri donošenju svoje odluke u obzir uzeo i okolnosti provedbe postupka nadzora nad društvom B2 KAPITAL d.o.o., pa je tako kao otegotnu ocijenio okolnost manjkave suradnje u samoj provedbi predmetnog postupka. Kako iz obrazloženja AZOP-ove odluke proizlazi, „nakon više dopisa poslanih od strane Agencije u svrhu traženja dodatnog očitovanja ili dokumentacije od strane voditelja obrade, na iste je odgovarao pred zadnje dane postavljenog roka te slao dopise za potrebe produženja roka i pojašnjenja zatraženih okolnosti, iako je isto mogao zatražiti i prije, a što je u određenoj mjeri utjecalo na odugovlačenje postupka. Također, na višekratna traženja Agencije za zaštitu osobnih podataka određene dokumentacije (izlista sistemskih zapisa), voditelj obrade iste nije dostavio.“
Nadalje, AZOP je prilikom donošenja odluke kao otegotnu okolnost ocijenio i činjenicu da B2 KAPITAL d.o.o. kao voditelj obrade do današnjeg dana nije obavijestio AZOP o poduzimanju dodatnih mjera zaštite koje bi prevenirale buduće rizike od utvrđenih povreda te kako do danas nije prilagodio politiku privatnosti dostupnu na njihovim mrežnim stranicama.
Konačno, u obrazloženju svoje odluke, AZOP ističe kako je „u konkretnom slučaju riječ o kršenju više odredbi Opće uredbe o zaštiti podataka i to od strane jedne od vodećih kompanija u području naplate potraživanja, a koja si nije smjela dopustiti da obrađuje osobne podatke velikog broja ispitanika na netransparentan i nesiguran način“. Pored navedenog, AZOP navodi da B2 KAPITAL d.o.o. kao voditelj obrade vjerojatno ne bi nikada ni uočio eksfiltraciju, odnosno izvlačenje osobnih podataka preko 77 317 ispitanika iz svog sustava da AZOP temeljem anonimne prijave nije proveo nadzorne aktivnosti, ali i da dodatno pogoršava situaciju to što do današnjeg dana nije razjasnio sve okolnosti nastale povrede određenog opsega osobnih podataka, a što dodatno potvrđuje da su mjere zaštite osobnih podataka društva B2 KAPITAL d.o.o. kao voditelja obrade neodgovarajuće i manjkave.
Pored svega navedenog, AZOP u svojoj odluci ističe kako je u konkretnom slučaju riječ o mogućoj individualnoj kaznenopravnoj odgovornosti, ukoliko se utvrdi da istaknuti propusti društva B2 KAPITAL d.o.o. sadrže elemente kaznenog djela, a što je u nadležnosti Ministarstva unutarnjih poslova, koje provodi kriminalističko istraživanje u okviru svojih zakonom propisanih nadležnosti.
Odluka AZOP-a
Po provedenom postupku nadzora nad društvom B2 KAPITAL d.o.o., AZOP je utvrdio da imenovano društvo kao voditelj obrade osobnih podataka2 najveći stupanj odgovornosti snosi zbog nepoduzimanja tehničkih mjera zaštite, budući da je upravo zbog manjkavosti u takvom sustavu sigurnosti došlo do nesigurne obrade većeg broja osobnih podataka.
Naime, kako iz odluke AZOP-a proizlazi – B2 KAPITAL d.o.o. je izgubio potpuni nadzor nad kretanjem osobnih podataka njihovih ispitanika te nije mogao objasniti uzroke neovlaštene eksfiltracije (izvlačenja) osobnih podataka.
AZOP je pri donošenju svoje odluke u obzir uzeo i okolnosti provedbe postupka nadzora nad društvom B2 KAPITAL d.o.o., pa je tako kao otegotnu ocijenio okolnost manjkave suradnje u samoj provedbi predmetnog postupka. Kako iz obrazloženja AZOP-ove odluke proizlazi, „nakon više dopisa poslanih od strane Agencije u svrhu traženja dodatnog očitovanja ili dokumentacije od strane voditelja obrade, na iste je odgovarao pred zadnje dane postavljenog roka te slao dopise za potrebe produženja roka i pojašnjenja zatraženih okolnosti, iako je isto mogao zatražiti i prije, a što je u određenoj mjeri utjecalo na odugovlačenje postupka. Također, na višekratna traženja Agencije za zaštitu osobnih podataka određene dokumentacije (izlista sistemskih zapisa), voditelj obrade iste nije dostavio.“
Nadalje, AZOP je prilikom donošenja odluke kao otegotnu okolnost ocijenio i činjenicu da B2 KAPITAL d.o.o. kao voditelj obrade do današnjeg dana nije obavijestio AZOP o poduzimanju dodatnih mjera zaštite koje bi prevenirale buduće rizike od utvrđenih povreda te kako do danas nije prilagodio politiku privatnosti dostupnu na njihovim mrežnim stranicama.
Konačno, u obrazloženju svoje odluke, AZOP ističe kako je „u konkretnom slučaju riječ o kršenju više odredbi Opće uredbe o zaštiti podataka i to od strane jedne od vodećih kompanija u području naplate potraživanja, a koja si nije smjela dopustiti da obrađuje osobne podatke velikog broja ispitanika na netransparentan i nesiguran način“. Pored navedenog, AZOP navodi da B2 KAPITAL d.o.o. kao voditelj obrade vjerojatno ne bi nikada ni uočio eksfiltraciju, odnosno izvlačenje osobnih podataka preko 77 317 ispitanika iz svog sustava da AZOP temeljem anonimne prijave nije proveo nadzorne aktivnosti, ali i da dodatno pogoršava situaciju to što do današnjeg dana nije razjasnio sve okolnosti nastale povrede određenog opsega osobnih podataka, a što dodatno potvrđuje da su mjere zaštite osobnih podataka društva B2 KAPITAL d.o.o. kao voditelja obrade neodgovarajuće i manjkave.
Pored svega navedenog, AZOP u svojoj odluci ističe kako je u konkretnom slučaju riječ o mogućoj individualnoj kaznenopravnoj odgovornosti, ukoliko se utvrdi da istaknuti propusti društva B2 KAPITAL d.o.o. sadrže elemente kaznenog djela, a što je u nadležnosti Ministarstva unutarnjih poslova, koje provodi kriminalističko istraživanje u okviru svojih zakonom propisanih nadležnosti.