FERALIS

Razmjena podataka o kreditnim zaduženjima - kako je to regulirano GDPR-om?

| Autor: Ines i Marko Krečak, Hrvatski centar za zaštitu osobnih podataka Feralis
Ilustracija (Pixabay)

Ilustracija (Pixabay)


Često dobivamo pitanja o obradi osobnih podataka u HROK-u, odnosno vezano za razmjenjivanje osobnih podataka o kreditnim obvezama građana između banaka koje su članice DOR sustava.

Prije svega potrebno je istaknuti da je došlo do određenih promjena stupanjem na snagu Opće uredbe, međutim nedugo zatim, već u kolovozu 2019. godine došlo je do promjene Zakona o kreditnim institucijama, temeljem kojeg je takva obrada osobnih podataka postala usklađena sa jednom od zakonitih osnova za obradu predviđene Općom uredbom.

Naime, kada govorimo o obradi osobnih podataka točnije, o njihovoj razmjeni između kreditnih institucija, tada se obrada vrši radi poštovanja pravnih obaveza voditelja obrade i to prije svega radi poštovanja propisa koji određuje da su kreditne institucije dužne u svrhu procjene kreditne sposobnosti ili upravljanja kreditnim rizikom, na zahtjev, razmjenjivati informacije, uključujući osobne podatke koji se odnose na njihove klijente ili su u vezi s njihovim klijentima.

S obzirom da su kreditne institucije dužne razmjenjivati takve podatke temeljem zakonske norme onda je i sama obrada zakonita, jer je takva obrada potrebna kako bi kreditna institucija poštovao svoje pravne obaveze.

Informacije i osobni podaci o klijentima koji se moraju razmjenjivati moraju biti nužni za procjenu kreditne sposobnosti ili upravljanje kreditnim rizikom, a uključuju sljedeće kategorije podataka:

a) identifikacijske podatke klijenta (pravna osobnost osobe, ime i prezime/naziv, OIB ili ako OIB nije dostupan, drugi identifikacijski broj, matični broj poslovnog subjekta)

b) podatke o postojećim i podmirenim ili na drugi način zatvorenim obvezama klijenta (vrsta obveze, ukupan iznos obveze, iznos i periodičnost anuiteta/rate, urednost u podmirivanju obveza, broj dospjelih, a neplaćenih obveza, njihov iznos te broj dana u zakašnjenju).

Podaci i informacije mogu se razmjenjivati najdulje četiri godine od dana kada je obveza u potpunosti podmirena ili na drugi način zatvorena.

Mnoge banke na svojim web stranicama u politikama privatnosti i danas imaju navedene informacije o obradi osobnih podataka u DOR sustavu pozivajući se na svoj legitimni interes i time unose dosta pitanja i nejasnoća. Onda kada se obrada vrši na temelju legitimnog interesa svatko ima pravo istaknuti prigovor na takvu obradu i zabraniti je ili ograničiti osim u slučaju ako taj legitimni interes nadilazi temeljna prava i slobode.

Najlakše ćemo isto razumjeti   kroz primjer, pa tako nećemo moći ograničiti obradu u slučaju videonadzora koji se provodi radi zaštite života i imovine jer naš interes neće biti iznad interesa zaštite života drugih ljudi. Međutim, ako provodimo obradu koja se temelji na legitimnom interesu voditelja obrade u svrhu marketinga onda takav interes ne nadilazi naša prava i slobode i svakako ćemo ga moći djelomično ili u potpunosti ograničiti.

Vratimo se na banke i njihov legitimni interes za koji je dvojbeno reći da njihova financijska dobit nadilazi temeljna prava i slobode građana čije podatke razmjenjuju. Postavlja se pitanje zašto se pružaju informacije da se podaci građana o kreditnom zaduženju obrađuju temeljem legitimnog interesa banke kada za to postoji zakonita osnova u pravnoj normi. Takve obrade se bitno razlikuju jer se obrada temeljem legitimnog interesa može djelomično ili u potpunosti ograničiti dok za obradu na temelju pravne norme to nije moguće. Sve navedeno u konačnici čini odgovornost voditelja obrade (u ovom slučaju banke) za pružanjem točnih i pravovremenih informacija o obradi osobnih podataka upitnom.

Ines i Marko Krečak, DPO Feralis

www.feralis.hr

Povezane vijesti


Podijeli: Facebook Twiter