Vrlo zanimljiv slučaj dolazi nam iz Španjolske, a koji je rezultirao kaznom od čak 3.000.000 EUR banci.
 
Banka je dostavila podatke o svom bivšem klijentu agenciji za procjenu kreditnog rizika, unatoč tome što je bivši klijent banke u takvom statusu "bivšeg" još od 2014.
 
Banka je priznala da je angažirala agenciju za procjenu kreditnog rizika za bivšeg klijenta, za slučaj da bivši klijent ponovno postane klijent.
 
Pri tom je banka priznala da izrađuje profile svojih klijenata, i to u svrhe procjene njihove kreditne sposobnosti temeljem nekih propisa i u marketinške svrhe temeljem privole klijenta.
 
U okviru takvog profiliranja obrađivali su se prikupljeni osobni podaci o broju osobne iskaznice, datumu rođenja, financijskim podacima, sociodemografskim pokazateljima s obzirom na područje u kojem klijent stanuje, nacionalnost, vrsta stanovanja, starost i socijalni status, ekonomski pokazatelje kao npr. prihodi, plaća, vrsta posla i procjena rizika.
 
Španjolsko nadzorno tijelo je detaljno analiziralo postupanje banke i utvrdilo:
 
- Klijent nije bio primjereno informiran o vrsti profiliranja koje će se provoditi nad njim, a da bi mogao dati slobodnu i nedvojbenu privolu za takvo profiliranje za procjenu kreditne sposobnosti.
 
- Istovremeno, klijentu nije dana informacija da će dobivati promidžbene poruke od trećih strana i za proizvode i usluge koje nisu u uskoj vezi s odnosom s bankom.
 
- Informacije dane klijentu definitivno nisu dovoljne da bi klijent mogao razumjeti o kakvoj se obradi njegovih osobnih podataka radi i kolika je detaljnost samog njegovog profila.
 
- Klijent je jednom privolom bio tražen da pristane na profiliranje i primanje marketinških poruka te dijeljenje njegovih podataka s drugim pravnim osobama unutar grupacije banke
 
Iz navedenih razloga je nadzorno tijelo za zaštitu osobnih podataka zaključilo da banka nije osigurala preduvjete da bi izričita privola klijenta bila valjana i zakonita, prvenstveno zbog izostanka nužnih detalja o obradama osobnih podataka i svrhama davanja privole, da pojedinaca mora dati privolu zasebno za svaku pojedinu svrhu i utvrdili su da je izrada profila klijenta previše invazivna metoda s obzirom na definiranu svrhu.
 
A što kaže GDPR?
 
Što je profiliranje: To je oblik automatizirane obrade osobnih podataka koji se sastoji od uporabe osobnih podataka za ocjenu određenih osobnih aspekata povezanih s pojedincem, posebno za analizu ili predviđanje aspekata u vezi s radnim učinkom, ekonomskim stanjem, zdravljem, osobnim sklonostima, interesima, pouzdanošću, ponašanjem, lokacijom ili kretanjem tog pojedinca kada ona proizvodi pravne učinke koji se odnose na ispitanika ili na njega snažno utječu
 
1. Pojedinac mora biti informiran o postupku izrade profila i posljedicama takve izrade profila.
 
2. Ako se osobni podaci obrađuju u svrhu izravnog marketinga, pojedinac bi morao imati pravo prigovora na takvu obradu, uključujući izradu profila u mjeri u kojoj je povezana s takvim izravnim marketingom, bilo u odnosu na početnu ili daljnju obradu, u bilo koje vrijeme i besplatno. To bi se pravo svakom pojedincu trebalo izričito dati na znanje i predstaviti mu se jasno i odvojeno od svih drugih informacija.
 
3. Pojedinac mora biti upoznat s logikom ili algoritmom profiliranja, kao i o važnosti i mogućim posljedicama profiliranja na pojedinca.
 
4. Pojedinac mora imati pravo na to da se na njega ne odnosi odluka, što može obuhvaćati mjeru, kojom se procjenjuju osobni aspekti u vezi s njim koja se isključivo temelji na automatiziranoj obradi i koja proizvodi pravne učinke koji se odnose na njega ili slično na njega znatno utječu, poput automatskog odbijanja zahtjeva za kreditom putem interneta ili prakse zapošljavanja putem interneta bez ikakve ljudske intervencije.
 
5. Profiliranje je dozvoljeno samo u tri slučaja:
 
a) ako je potrebno radi sklapanja ugovora ili izvršenje ugovora, npr. kreditiranja, ali uz prethodnu punu informiranost o izvoru podataka ili s kime se isti dijele
b) ako je dopušteno propisima EU ili RH
c) ako je pojedinac dao izričitu privolu
 
U konkretnom španjolskom slučaju primjećujemo da je banka koristila svoj nadmoćan položaj u odnosu na klijenta koji traži određene opcije financiranja, i nije mu osigurala punu informiranost o načinima i svrhama naknadnih obrada već prikupljenih podataka o njemu tijekom godina korištenje usluga banke.
 
Više o tom slučaju:
 
https://gdprhub.eu/index.php?title=AEPD_(Spain)_-_PS/00500/2020&mtc=today
 
 
 
Photo by Kampus Production from Pexels