Mediji zadnjih dana pune svoje naslovnice vrućom temom „curenja“ ili, formalnije rečeno, neovlaštenog iznošenja osobnih podataka navodno više od 77.000 fizičkih osoba iz jedne agencije za naplatu potraživanja.
Za pretpostaviti je, s obzirom na temeljnu djelatnost te agencije, da se u cijelosti radi o osobnim podacima dužnika čija je dugovanja agencija otkupila od stvarnih vjerovnika (najčešće su to banke i telekomi) i svojim ih metodama naplaćuju te u skladu s ciljem svakog poduzetnika ostvaruju i određenu dobit.
Osobno smo fascinirani s koliko informacija mediji raspolažu ili izlaze u javnost, unatoč činjenici da Agencija za zaštitu osobnih podataka nije još objavila činjenice utvrđene tijekom nadzornih aktivnosti. Takvo postupanje AZOP-a nalazimo ispravnim uz obvezu njihovog nužnog opreza pri provođenju nadzornih aktivnosti i utvrđivanja činjenica o ovom sigurnosnom incidentu, jer je AZOP jedini relevantan čimbenik u cijeloj priči i svaka njihova riječ ima izrazitu težinu i ključan utjecaj na sve daljnje pravne postupke.
S druge strane, mediji su svojim objavama u priličnoj mjeri unaprijed posjeli agenciju za naplatu potraživanja na optuženičku klupu, ali i vjerovnike, prvenstveno banke, zbog dijeljenja osobnih podataka svojih dužnika. Čini mi se da se primarno traži krivac. Krivca traže i pojedine politički istaknute osobe koristeći ovu temu za dobivanje medijske pažnje.
Svim čitateljima se plasira informacija da su osobni podaci više od 77.000 osoba neovlašteno izneseni iz agencije za naplatu potraživanja i da su negdje objavljeni.
Međutim, uz najbolji trud ne uspijevamo pronaći informaciju gdje su izneseni, gdje su i kada neovlašteno objavljeni. Jako je puno nepoznanica i apeliramo na strpljivost svih involviranih strana dok AZOP ne izvrši puni uvid u sve aspekte vjerojatnog sigurnosnog incidenta i dok ne utvrdi sve činjenice.
U cijeloj toj priči izostao je ključan i definitivno te daleko najvažniji dio. Čovjek. Pojedinac. Ili, kako ga GDPR naziva, ispitanik.
Svi danas znaju za GDPR, iako ga većina i dalje pogrešno tumači ili nedovoljno razumije. Budimo realni, GDPR je postao najpoznatijom EU Uredbom prvenstveno zbog iznosa maksimalno zapriječenih kazni. Ništa nas drugo ne može tako „motivirati“ od zastrašujućih iznosa kazni. Istovremeno se u brojnim organizacijama na GDPR gleda s dva ekstremna stava: „Sad nam je sve zabranjeno“ ili „Radit ćemo kako smo oduvijek radili“.
Izostaje razumijevanje GDPR-a, razumijevanje pravila zaštite osobnih podataka kao jednog od temeljnih ljudskih prava.
A kada bismo bacili pogled samo na puni naslov GDPR-a:
UREDBA (EU) 2016/679 EUROPSKOG PARLAMENTA I VIJEĆA od 27. travnja 2016. o zaštiti pojedinaca u vezi s obradom osobnih podataka i o slobodnom kretanju takvih podataka te o stavljanju izvan snage Direktive 95/46/EZ (Opća uredba o zaštiti podataka)
uočili bismo ključne riječi „Uredba…o zaštiti pojedinca“.
Da, ta Uredba, taj GDPR o kojem premalo znamo i kojeg preslabo razumijemo, ima svoju temeljnu i primarnu zadaću štititi svakog od nas, svakog pojedinca, našeg susjeda, kolegu, člana obitelji i nas same.
Fokus u primjeni GDPR-a je čovjek, pojedinac, zaštita njegovih osobnih podataka i njegove privatnosti.
Međutim, čitajući objave u medijima ovih dana na temu curenja osobnih podataka nigdje ne nailazimo na fokus na običnog malog čovjeka, pojedinca koji je ušao u vrtlog dužništva i kojem su sada možda negdje objavljeni i njegovi osobni podaci koje možda zlorabe neki drugi pojedinci.
Možemo li zamisliti kako se pojedinci, njih više od 77.000 sada osjećaju, uz sve egzistencijalne brige i zabrinutost oko podmirivanja dugovanja pod pritiskom agencija za naplatu potraživanja?
Prvo pitanje koje moramo postaviti jesu li dužnici pravovremeno u skladu s obvezama i rokovima iz članka 14. GDPR-a upoznati s činjenicom da su njihova dugovanja temeljem propisa ustupljena agenciji za naplatu potraživanja zajedno s njihovim osobnim podacima.
Jesu li pri tom dužnici dobili sve informacije o agenciji za naplatu potraživanja, njihovom službeniku za zaštitu podataka, svrhi i pravnom temelju prikupljanja i daljnje obrade osobnih podataka dužnika, koje su točno osobne podatke dobili od vjerovnika ili javnih izvora i odakle su prikupili sve osobne podatke.
I definitivno najvažnije, jesu li dobili sve informacije o svojim pravima u svrhu zaštite osobnih podataka, prvenstveno na pravo na pristup svim svojim osobnim podacima i ulaganje prigovora na takve obrade.
Ovu je obvezu agencija za naplatu potraživanja morala izvršiti prilikom prve komunikacije i najkasnije u roku mjesec dana, što nije ni na koji način povezano s predmetnim sigurnosnim incidentom i curenjem osobnih podataka.
No, po nastanku ove povrede osobnih podataka dužnika, mora se postaviti pitanje je li itko dao informacije tim dužnicima jesu li njihova imena, OIB-ovi, email adrese, adrese stanovanja, brojevi telefona i njihova dugovanja javno objavljeni, jesu li njihove obitelji sada predmetom ismijavanja i podrugivanja ili trebaju očekivati prijetnje na vlastita prava i slobode?
Dobili smo više upita čitatelja GDPR Croatia portala gdje mogu provjeriti jesu li na popisu osoba čiji su osobni podaci kompromitirani. Naravno, ne može se niti ne smije davati cijeli popis, ali je nužno odmah i bez odlaganja jasno informirati pogođene osobe jesu li im osobni podaci izloženi.
Je li itko dao tim ljudima upute kako se zaštititi i spriječiti daljnje negativne učinke zbog neovlaštenog iznošenja osobnih podataka i možebitne neželjene javne objave?
Jedino je AZOP 21.12.2022. izašao s uputama u cilju prevencije nastanka daljnjih šteta za pogođene pojedince.
Prema članku 34. GDPR-a, sve te fizičke osobe morale su biti izravno obaviještene od strane agencije za naplatu potraživanja ili od samih vjerovnika o vjerojatnim posljedicama na njih, o mjerama koje su poduzete radi umanjenja rizika za dužnike i o kontaktima službenika za zaštitu podataka kojem se svaki pojedinac može i treba izravno javiti radi dodatnih informacija i ostvarivanja svojih prava na zaštitu podataka.
GDPR predviđa, ako se odgovorne strane ne odluče to napraviti, da AZOP može naložiti takvu obvezu.
A čemu služi takvo obavještavanje? Da ljudi, koji postanu žrtve nečije pogreške, mogu temeljem pravovremenih informacija pripremiti se za dodatne nevolje i na dodatan oprez i da prilikom uočavanja neželjenih posljedica mogu iste prijaviti AZOP-u i policiji.
Možda će se susresti s pokušajima krađe identiteta, možda će neki prevaranti pokušati kod telekoma sklopiti pretplatničke ugovore za najskuplje tarife i najnovije mobilne uređaje.
No, vidimo da se ovih dana u medijima raspravlja o otkrivanju podataka o email adresama i telefonskim brojevima. Pri tom se zanemaruje istinska važnost otkrivanja ključnih podataka o dugovanjima pojedinaca, koji su itekako osjetljivi osobni podaci i s kojima treba postupati vrlo oprezno.
Članak 9. GDPR-a pojmom posebnih kategorija osobnih podataka ne smatra podatke o dugovanjima.
Ali ih uvodna izjava 75. GDPR-a definira osobnim podacima čija obrada može prouzročiti fizičku, materijalnu ili nematerijalnu štetu, posebno ako ta obrada može dovesti do diskriminacije, krađe identiteta ili prijevare, financijskog gubitka, štete za ugled, gubitka povjerljivosti osobnih podataka zaštićenih poslovnom tajnom, neovlaštenog obrnutog postupka pseudonimizacije, ili bilo koje druge znatne gospodarske ili društvene štete; ili ako ispitanici mogu biti uskraćeni za svoja prava i slobode ili spriječeni u obavljanju nadzora nad svojim osobnim podacima; ako se obrađuju osobni podaci koji odaju rasno ili etničko podrijetlo, politička mišljenja, vjerska ili filozofska uvjerenja, članstvo u sindikatu i ako je riječ o obradi genetičkih podataka, podataka koji se odnose na zdravlje ili spolni život ili kaznene osude i kažnjiva djela ili povezane sigurnosne mjere; ako se procjenjuju osobni aspekti, osobito analiza ili predviđanje aspekata u vezi s učinkom na poslu, ekonomskim stanjem, zdravljem, osobnim preferencijama ili interesima, pouzdanošću ili ponašanjem, lokacijom ili kretanjem.
Jesmo li sigurni koliko su podaci o dugovanjima točni i ažurni?
Možda će naići na omalovažavanje, vrijeđanje, na štete na ugled u zajednici. Hoće li nekome biti odbijen zahtjev za životno važnim kreditom ili financiranjem projekta ili kupnjom nekretnine?
Je li itko obavijestio sve te pojedince čiji su osobni podaci s dugovanjima ostali nezaštićeni da im potencijalno izrečene kazne AZOP-a neće biti primjerena zadovoljština?
Je li itko tim ljudima jasno i jednostavnim jezikom pojasnio da moraju otvoriti sudske postupke zbog materijalne ili nematerijalne štete kako bi ostvarili pravo na naknadu pretrpljene štete uzrokovane postupcima voditelja ili izvršitelja obrade?
Jedino je AZOP 21.12.2022. to učinio.
Jesu li svi involvirani u svom fokusu zadržali obične male ljude? Jesu li?
Gdje je nestao čovjek, onaj isti pojedinac iz punog naziva EU Uredbe ili ispitanik iz GDPR-a…
AZOP je dao kvalitetan savjet svim dužnicima koji sada strepe da su njihovi osobni podaci i stanja dugova kompromitirani. AZOP poziva sve njih da zatraže pristup svojim osobnim podacima u skladu s člankom 15. GDPR-a i dostavu informacije jesu li njihovi osobni podaci i u kojem opsegu obuhvaćeni povredom osobnih podataka.
Kontakt službenika za zaštitu podataka B2 Kapital: Ova e-mail adresa je zaštićena od spambota. Potrebno je omogućiti JavaScript da je vidite..
#gdprcroatia