Prije 3 godine vodili smo projekt usklađivanja jedne od najpoznatijih velikih tehnoloških kompanija u Hrvatskoj, i kad smo krenuli sklapati ugovor o obradi podataka s izvršiteljem obrade, također super poznatom tvrtkom, ušli smo u konflikt s njihovom osobom za zaštitu podataka, koja je tvrdila da unutar ugovora o obradi podataka treba navesti i kategorije osobnih podataka koje će se možda jednom u budućnosti prikupljati.
 
Mi smo se tome izravno protivili da je stvar eskalirala do uprava dviju poznatih tvrtki. Ali nismo odustali od svojih uvjerenja.
 
Sad bismo voljeli kada bi spomenuta osoba pročitala ovaj post koji nam opisuje slučaj iz Poljske.
 
Fizička osoba je podnijela pritužbu poljskom nadzornom tijelu protiv svoje banke, nakon što je podnijela zahtjev banci da joj obustavi slanje raznih marketinških oglasa. Nakon prigovora izravno banci, banka je postupila prema njegovom zahtjevu i zatvorila njegov račun.
 
Međutim, nešto kasnije je banka informirala svog bivšeg klijenta da zadržava njegove osobne podatke:
 
- ime, prezime
- podatke o osobnom identifikacijskom dokumentu
- datum isteka osobne iskaznice
- zemlju izdavanja osobne iskaznice
- identifikacijski broj (OIB)
- datum rođenja
- mjesto rođenja
- zemlju rođenja
- mjesto prebivališta
- nacionalnost
- imena roditelja
- bračni status
- majčino djevojačko prezime
- spol
- adresu stanovanja
- email adresu
- mobilni broj
- kućni broj
- vrstu zaposlenja
- korištene bankovne usluge
 
sve temeljeći na bančinom legitimnom interesu u svrhe postavljanja, ostvarivanja ili obrane pravnih zahtjeva u slučaju eventualne tužbe bivšeg klijenta.
 
Nadzorno tijelo jasno je izreklo uputu da se po ukidanju bankovnog računa mora prestati sa svakom obradom osobnih podataka bivšeg klijenta banke, osim ako su nužni radi postavljanja, ostvarivanja ili obrane pravnih zahtjeva prema članku 17. stavku 3. točki e. GDPR-a.
 
Međutim, ključna razlika između neispravnog opravdanja banke za zadržavanjem osobnih podataka i upute nadzornog tijela je činjenica da se mora raditi o aktualnom slučaju tužbe protiv banke, a ne hipotetskom eventualnom slučaju jednom u budućnosti.
 
Nadzorno tijelo zatražilo je banku da izbriše sve te podatke.
 
Na kraju priče slučaj je po žalbi banke došao i na upravni sud koji je potvrdio stajalište nadzornog tijela da se temeljem legitimnog interesa mogu zadržati osobni podaci za obranu pravnih zahtjeva ako su oni zaista i otvoreni, ali ne i za slučajeve kada bi ti podaci možda jednog dana u eventualnoj budućnosti mogli biti od koristi.
 
Zaključak je da se osobni podaci ne smiju obrađivati na zakonitom temelju koji će vrijediti možda u budućnosti.
 
I uvodna izjava 64. GDPR-a lijepo kaže:
 
"Voditelj obrade ne bi smio pohraniti osobne podatke samo zato da bi mogao odgovoriti na moguće zahtjeve."
 
 
Više o slučaju:
 
https://gdprhub.eu/index.php?title=WSA_Warszawa_-_II_SA/Wa_607/20&mtc=today
 
 
 
 
Photo by Artem Saranin from Pexels