Agencija za zaštitu osobnih podataka (dalje u tekstu: AZOP)1 zaprimila je predstavku2 ispitanika koji je naveo kako se prilikom korištenja mobilnog bankarstva te banke prikupljaju popisi svih instaliranih aplikacija i programa na mobilnim uređajima klijenata.
Po zaprimanju predstavke AZOP je pokrenuo postupak po službenoj dužnosti zbog moguće aktivnosti obrade koja nije u skladu s odredbama Opće uredbe o zaštiti podataka u odnosu na veći broj ispitanika te je, nakon okončanja nadzornog postupanja, Erste banci izrekao upravnu novčanu kaznu u ukupnom iznosu od 1.500.000,00 eura zbog višestrukih kršenja odredbi Opće uredbe o zaštiti podataka.
Utvrđeno je da banka obrađuje osobne podatke 433 922 ispitanika (korisnika) putem programskog rješenja implementiranog unutar aplikacije mobilnog bankarstva bez pravne osnove iz članka 6. stavka 1.3 u vezi s člankom 5. stavkom 1. točkom a) Opće uredbe o zaštiti podataka4.
Način na koji je banka povrijedila prava ispitanika
Konkretno, banka je implementirala program unutar aplikacije mobilnog bankarstva za Android i Huawei operativne sustave koji skenira sadržaj mobilnog uređaja te prenosi i pohranjuje, između ostaloga, i popis svih instaliranih aplikacija i programa u centraliziranu bazu podataka banke, što predstavlja izraziti, prekomjeran i neopravdan upliv u privatnost.
Utvrđenja AZOP-a tijekom nadzornog postupka
Iako je banka tijekom nadzornog postupanja navodila kako pravna osnova za prikupljanje popisa svih instaliranih aplikacija i programa proizlazi iz Delegirane uredbe, kao i Zakona o platnom prometu, AZOP je utvrdio kako navedeni pravni propisi ne sadrže formulaciju niti intenciju koja bi opravdala prikupljanje, odnosno pohranjivanje popisa svih instaliranih aplikacija na mobilnom uređaju ispitanika.
Nadalje, prilikom ugovaranja usluge mobilnog bankarstva banka nije pružila transparentne informacije korisnicima o obradi njihovih osobnih podataka, čime nije osigurala poštivanje zahtjeva iz članaka 12.5 i 13.6, a u svezi s člankom 5. stavkom 1. točkom a) Opće uredbe o zaštiti podataka.
Naime, prilikom preuzimanja aplikacije korisnik ima mogućnost putem dostupne poveznice pristupiti informacijama o obradi osobnih podataka, no one su namijenjene posjetiteljima internetske stranice banke te se ni na koji način ne osvrću niti spominju obradu osobnih podataka putem aplikacije mobilnog bankarstva. Predmetna obrada osobnih podataka spominje se izrazito šturo i u Informacijama o obradi osobnih podataka. Slijedom navedenog, banka nije pružila adekvatne informacije o obradi osobnih podataka u odnosu na obradu putem aplikacije mobilnog bankarstva, a osobito u vezi s prikupljanjem popisa svih instaliranih aplikacija na mobilnom uređaju korisnika. Predmetna obrada bila je u tom dijelu praktički provedena u tajnosti, a ispitanicima je znatno otežan pristup bitnim informacijama o podacima koji se o njima prikupljaju.
Osim povrede načela transparentnosti, AZOP je utvrdio da banka prilikom izbora, odnosno dizajniranja programskog rješenja nije provodila odgovarajuće tehničke i organizacijske mjere kojima se osigurava da se na integrirani način obrađuju samo osobni podaci nužni za svrhu obrade, čime nije osigurano poštivanje zahtjeva iz članka 25. stavka 2.7, a u vezi s člankom 5. stavkom 1. točkom c) Opće uredbe o zaštiti podataka.
Kako se u rješenju AZOP-a ističe, banka je kao voditelj obrade osobnih podataka, mogla i morala implementirati rješenje koje manje zadire u privatnost ispitanika, primjerice rješenje koje bi centralizirano pohranjivalo samo informacije o aplikacijama koje su na „crnoj listi“ čime bi se u manjoj mjeri zadiralo u privatnost ispitanika, a ne popis svih instaliranih programa i aplikacija na mobilnom uređaju.
AZOP dodatno obrazlaže kako banka u okviru predmetne aktivnosti obrađuje prekomjernu količinu osobnih podataka, pri čemu ne uzima u obzir da pojedine aplikacije mogu otkrivati ili upućivati na osobne podatke, uključujući i posebne kategorije osobnih podataka (npr. podatke o zdravlju, političkim ili vjerskim uvjerenjima ili seksualnoj orijentaciji). Time se dodatno potvrđuje da implementirano rješenje nije postavljeno na način koji osigurava obradu isključivo nužnih i proporcionalnih podataka u odnosu na svrhu obrade.
Naposljetku, treba istaknuti kako predmetno rješenje kojim je Erste banci izrečena upravna novčana kazna nije pravomoćno. Banka je kao voditelj obrade ovlaštena protiv ovog rješenja, temeljem Zakon o provedbi Opće uredbe o zaštiti podataka pokrenuti upravni spor pred nadležnim upravnim sudom u roku od 30 dana od dana dostave rješenja.
Zaključak
Zaključno, predmetna odluka AZOP-a razotkriva čestu, ali i dalje problematičnu praksu u kojoj se složena tehnička ili sigurnosna rješenja nastoje opravdati širokim i nedovoljno preciznim pristupom obradi osobnih podataka. U konkretnom slučaju pokazalo se da se pozivanje na funkcionalnost aplikacije i sigurnost sustava ne može koristiti kao univerzalno opravdanje za prikupljanje opsežnih kategorija osobnih podataka, osobito kada izostaje jasna i razumljiva komunikacija prema ispitanicima o stvarnom dosegu takve obrade.
Odluka dodatno potvrđuje da se zahtjevi transparentnosti ne svode na formalno ispunjenje informativnih obveza, već podrazumijevaju da ispitanik u svakom trenutku može razumjeti koje se podatke o njemu obrađuje, u koju svrhu i na temelju koje pravne osnove. Kada se taj standard ne ispuni, čak i kod velikih i regulatorno nadziranih subjekata poput banaka, nadzorno tijelo je dužno intervenirati, neovisno o tržišnoj snazi ili reputaciji voditelja obrade.
Izrečena upravna novčana kazna stoga ima širi značaj od samog sankcioniranja pojedinačne povrede. Ona upućuje na potrebu ozbiljnog preispitivanja prakse „minimalne usklađenosti“, u kojoj se Opća uredba o zaštiti podataka promatra kao formalna prepreka, a ne kao okvir za odgovorno upravljanje osobnim podacima. U tom smislu, ovaj slučaj predstavlja upozorenje svim voditeljima obrade da se usklađenost ne mjeri opsegom dokumentacije, već stvarnim poštovanjem temeljnih prava ispitanika.
Maja Bilić Paulić, mag. iur.
IZVORI:
^ 1 AZOP kao samostalno i neovisno državno tijelo, nadzire provedbu Uredbe (EU) 2016/679 Europskog parlamenta i Vijeća od 27. 04. 2016. o zaštiti pojedinaca u vezi s obradom osobnih podataka i o slobodnom kretanju takvih podataka te o stavljanju izvan snage Direktive 95/46/EZ (u daljnjem tekstu: Opća uredba o zaštiti podataka) i obavlja poslove u okviru djelokruga i nadležnosti utvrđenih Zakonom o provedbi Opće uredbe o zaštiti podataka („Narodne novine“, br. 42/18).
^ 2 Pravo na podnošenje predstavke jedno od temeljnih procesnih prava u sustavu zaštite osobnih podataka, sukladno članku 77. Opće uredbe o zaštiti podataka, a kojim se osigurava djelotvoran nadzor nad zakonitošću obrade osobnih podataka. Riječ je o pravu ispitanika da se obrati nadzornom tijelu kada smatra da je obradom njegovih osobnih podataka došlo do povrede odredbi Opće uredbe o zaštiti podataka ili nacionalnih provedbenih propisa.
Podnošenjem predstavke pokreće se postupanje nadzornog tijela, koje je ovlašteno ispitati navode ispitanika, utvrditi činjenično stanje te, ovisno o okolnostima konkretnog slučaja, provesti nadzorni ili upravni postupak. U okviru svojih zakonskih ovlasti nadzorno tijelo može poduzeti korektivne mjere prema voditelju ili izvršitelju obrade, uključujući izdavanje upozorenja, naloga za usklađivanje ili izricanje upravnih novčanih kazni. Ispitanik se pritom obavještava o tijeku i ishodu postupka povodom podnesene predstavke.
Pravo na predstavku ostvaruje se neovisno o drugim pravnim sredstvima, pa njegovo korištenje ne isključuje mogućnost sudske zaštite niti pravo ispitanika na naknadu štete u slučaju da je povredom propisa o zaštiti osobnih podataka pretrpio materijalnu ili nematerijalnu štetu.
^ 3 Sukladno članku 6. Opće uredbe o zaštiti podataka obrada je zakonita samo ako i u onoj mjeri u kojoj je ispunjeno najmanje jedno od sljedećega: (a) ispitanik je dao privolu za obradu svojih osobnih podataka u jednu ili više posebnih svrha; (b) obrada je nužna za izvršavanje ugovora u kojem je ispitanik stranka ili kako bi se poduzele radnje na zahtjev ispitanika prije sklapanja ugovora; (c) obrada je nužna radi poštovanja pravnih obveza voditelja obrade; (d) obrada je nužna kako bi se zaštitili ključni interesi ispitanika ili druge fizičke osobe; (e) obrada je nužna za izvršavanje zadaće od javnog interesa ili pri izvršavanju službene ovlasti voditelja obrade; (f) obrada je nužna za potrebe legitimnih interesa voditelja obrade ili treće strane, osim kada su od tih interesa jači interesi ili temeljna prava i slobode ispitanika koji zahtijevaju zaštitu osobnih podataka, osobito ako je ispitanik dijete
^ 4 Sukladno članku 5. stavku 1. točki a) Opće uredbe o zaštiti podataka, osobni podaci moraju biti: (a) zakonito, pošteno i transparentno obrađivani s obzirom na ispitanika („zakonitost, poštenost, transparentnost”);
^ 5 Svrha članka 12. Opće uredbe o zaštiti podataka je osigurati da informacije i postupanje prema ispitaniku budu transparentni, razumljivi i učinkoviti.
Voditelj obrade dužan je ispitaniku pružiti sve propisane informacije i odgovore na zahtjeve u jasnom, jednostavnom i lako dostupnom obliku, uz posebnu pažnju kada se informacije odnose na djecu. Informacije se u pravilu pružaju pisanim ili elektroničkim putem, a iznimno i usmeno, uz prethodnu provjeru identiteta.
Voditelj obrade mora aktivno olakšavati ostvarivanje prava ispitanika te postupati po njegovim zahtjevima bez nepotrebnog odgađanja, najkasnije u roku od mjesec dana, uz mogućnost produljenja roka u složenijim slučajevima. Ako po zahtjevu ne postupi, dužan je ispitanika obrazloženo obavijestiti o razlozima i uputiti ga na mogućnost podnošenja predstavke nadzornom tijelu i korištenja pravnih lijekova.
Ostvarivanje prava ispitanika u pravilu je besplatno, osim ako su zahtjevi očito neutemeljeni ili pretjerani, pri čemu teret dokazivanja takvih okolnosti snosi voditelj obrade. Radi zaštite podataka, voditelj obrade ovlašten je zatražiti dodatne informacije radi provjere identiteta ispitanika.
^ 6Članak 13. Opće uredbe o zaštiti podataka propisuje obvezu informiranja ispitanika u trenutku prikupljanja osobnih podataka, kada se podaci prikupljaju izravno od njega. Riječ je o ključnom instrumentu ostvarivanja načela zakonitosti, poštenosti i transparentnosti obrade.
Voditelj obrade dužan je ispitaniku jasno predočiti svoj identitet, svrhe i pravnu osnovu obrade, legitimne interese (ako su relevantni), primatelje podataka te informacije o eventualnim prijenosima podataka u treće zemlje ili međunarodne organizacije.
Osim osnovnih informacija, ispitaniku se moraju pružiti i dodatne informacije potrebne za poštenu obradu, uključujući razdoblje pohrane podataka, prava koja mu pripadaju (pristup, ispravak, brisanje, prigovor, prenosivost), pravo na povlačenje privole, pravo na podnošenje pritužbe nadzornom tijelu, kao i informacije o obveznosti davanja podataka i mogućim posljedicama njihova neuskrac´ivanja. Posebno se naglašava obveza informiranja o postojanju automatiziranog donošenja odluka, uključujući izradu profila.
Ako voditelj obrade namjerava osobne podatke koristiti u novu, različitu svrhu, ispitanika je o tome dužan unaprijed informirati. Obveza informiranja ne primjenjuje se ako ispitanik već raspolaže relevantnim informacijama.
^ 7 Sukladno članku 25. stavku 2. Opće uredbe o zaštiti podataka, voditelj obrade provodi odgovarajuće tehničke i organizacijske mjere kojima se osigurava da integriranim načinom budu obrađeni samo osobni podaci koji su nužni za svaku posebnu svrhu obrade. Ta se obveza primjenjuje na količinu prikupljenih osobnih podataka, opseg njihove obrade, razdoblje pohrane i njihovu dostupnost. Točnije, takvim se mjerama osigurava da osobni podaci nisu automatski, bez intervencije pojedinca, dostupni neograničenom broju pojedinca.
