Nova pravila za zaštitu osobnih podataka donose nam jasnija i nešto veća prava, a tvrtkama i tijelima javne uprave nešto veće obaveze. Krajnje pojednostavljeno, našim se osobnim podacima mora rukovati u skladu s općim etičkim načelima. Vjerojatno ne postoji osoba koja samu sebe ne doživljava etičnom, a kako su ljudi različiti, tako su različite i njihove percepcije tog pojma.
Preporuka za unapređenje zaštite osobnih podataka u bankarskom sektoru objavljena na web stranicama Agencije za zaštitu osobnih podataka zorno prikazuje različito poimanje etičnosti u hrvatskom bankarskom sektoru. Ona ukazuje na niz nepravilnosti i nedostataka kojima se direktno krše prava građana, a čiji opseg značajno varira od banke do banke. Kako AZOP sam navodi, zaprimljen je veći broj upita od strane građana kao i Društva za zaštitu potrošača Hrvatske a koji su se odnosili na prikupljanje i daljnju obradu osobnih podataka klijenata banke.
Banke su prikupljanje podataka pravdale regulativom iz područja sprječavanja pranja novca i zaštite od terorizma, a posebice FATCA regulativom SAD-a. Znakovito je da su se, kako i sama preporuka AZOP-a kaže, traženi podaci razlikovali od banke do banke. Regulativa temeljem koje su banke ovaj postupak pokrenule prilično jasno određuje set podataka koji bi banka trebala prikupiti, a to je: ime i prezime, prebivalište, datum rođenja, mjesto rođenja, identifikacijski broj, te naziv, broj i naziv izdavatelja identifikacijske isprave.
FATCA (Foreign Account Tax Compliance Act) je pak regulativa namijenjena sprječavanju porezne evazije američkih poreznih obveznika koja sa velikom većinom Hrvata nema nikakve veze. Kako na svojim web stranicama navodi porezna uprava, temeljem ove regulative hrvatske su banke dužne informirati o financijskim aktivnostima poreznih obveznika SAD-a. Dakle jedini podatak koji banke zapravo trebaju temeljem FATCA jest da li klijent banke je ili nije porezni obveznik u SAD-u.
AZOP je pravilno uočio da su banke bez pravne osnove krenule prikupljati velike količine osobnih podataka klijenata što mnoge čine i danas, odnosno da je opseg traženih podataka često značajno veći od opsega pokrivenog regulativom na koju se banke prilikom prikupljanja pozivaju, kao i da klijenti nisu na transparentan način upoznati za svrhom prikupljana prekomjerne količine podataka. AZOP u svojoj preporuci upozorava na potrebu jasnog informiranja klijenata o razlozima prikupljanja osobnih podataka, te obvezu traženja privole za sve osobne podatke koji se ne prikupljaju temeljem neke druge zakonski prihvatljive osnove. Pored toga, upozorava na potrebu primjene odgovarajućih mjera za zaštitu prikupljenih osobnih podataka i njihovu obradu u skladu sa temeljem prikupljanja.
Spomenute aktivnosti banke su prema naputku porezne uprave pokrenule 2014. godine. Zašto je to onda danas toliko važno? Zato što spomenuta preporuka AZOP-a očito nije ozbiljno doživljena. Banke i dalje često prikupljaju i obrađuju osobne podatke bez pravne podloge, kršeći time pravo na zaštitu osobnih podataka građana. AZOP je na evidentno kršenje Zakona o zaštiti osobnih podataka mogao reagirati kažnjavanjem banaka, a reagirao je samo preporukom. Zašto? Maksimalna kazna za ovaj prekršaj je 20.000 kn. U izuzetnim slučajevima 40.000 kn. Čak i za najmanju banku, ovo je zanemariva kazna.
Za osam mjeseci počinje se primjenjivati Opća uredba o zaštiti osobnih podataka kojom se letvica kažnjavanja postavlja malo više. Na 20 milijuna eura ili 4% ukupnog globalnog godišnjeg prihoda banke (što je veće). Pored toga, banka je za kršenje ove uredbe dužna i obeštetiti svoje klijente. Neka je šteta nastala bespravnim prikupljanjem i obradom podataka samo 100 kuna po klijentu, pomnožena sa brojem klijenta odšteta bi mogla dosezati i stotine milijuna. Banke, kao i mnoge druge tvrtke i tijela javne uprave intenzivno rade na usklađivanju svog postupanja s osobnim podacima sa zahtjevima nove Uredbe. Hoće li uspjeti? Vidjet ćemo.
* Autor je suosnivač Ostendo Consultinga, specijalizirane tvrtke koja o informacijskoj sigurnosti i sukladnosti savjetuje tvrtke iz SAD-a i Europe
Za sudjelovanje u komentarima je potrebna prijava, odnosno registracija ako još nemaš korisnički profil....