Pristup kreditnoj dokumentaciji preminule osobe
Objavljeno 27.5.2025.
Agencija za zaštitu osobnih podataka zaprimila je 23. listopada 2024. zahtjev za utvrđivanje povrede prava po. U zahtjevu podnositelj u bitnome ističe kako su on i mldb. Y čiji je podnositelj zahtjeva zakonski zastupnik, uputili banci kao pravnom sljedniku ZZ zahtjev za dostavu kreditne dokumentacije odnosne na ugovor o kreditu sklopljen od strane, prema navodu podnositelja njihove prednice, pokojne R i ZZ. Nadalje, podnositelj zahtjeva navodi da je banci kao pravnom sljedniku ZZ predmetni zahtjev upućen u cilju razmatranja mogućnosti restitucije zbog primjene ništetnih odredaba te je istome priloženo i rješenje o nasljeđivanju iz kojeg je razvidno da podnositelj zahtjeva i mldb. Y, u odnosu na sada pokojnu korisnicu kredita, imaju status zakonskih i univerzalnih nasljednika. Budući da je banka odbila udovoljiti zahtjevu podnositelja uz obrazloženje da to može učiniti samo na traženje suda, podnositelj zahtjeva smatra da je navedenim činom došlo do povrede članka 15. stavka 3. Opće uredbe o zaštiti podataka te od Agencije traži da voditelju obrade naloži omogućavanje pristupa traženoj kreditnoj dokumentaciji.
Zahtjev za utvrđivanje povrede prava na zaštitu osobnih podataka podnositelja zahtjeva odbija se kao neosnovan.
U provedenom postupku od strane Agencije utvrđeno je kako se podnositelj zahtjeva obratio Agenciji sa zahtjevom za utvrđivanje povrede prava iz članka 15. Opće uredbe o zaštiti podataka no utvrđeno je kako se traženi podaci odnose na osobne podatke preminule osobe te odredbe Opće uredbe o zaštiti podataka u predmetnom slučaju nisu primjenjive odnosno osobni podaci umrlih osoba ne uživaju zaštitu Opće uredbe o zaštiti podataka.
Posljedično navedenome, u konkretnom slučaju, nema elemenata povrede prava na zaštitu osobnih podataka, a samim time niti osnove za postupanje Agencije.
Napominjemo kako podnositelj nije ispitanik u smislu odredbi i definicija Opće uredbe o zaštiti podataka što je jasno propisano člankom 4. stavkom 1. točka 1. budući da osobni podaci koje je zatražio od voditelja obrade nisu njegovi osobni podaci. Na tu činjenicu ne utječu niti odredbe Zakona o nasljeđivanju (“Narodne novine“ broj: 48/03, 163/03, 35/05, 127/13, 33/15, 14/19) niti odredbe Zakona o kreditnim institucijama (“Narodne novine“ broj: 159/13, 19/15, 102/15, 15/18, 70/19, 47/20, 146/20, 151/22, 145/24) koji se u konkretnom slučaju primjenjuju kao posebni zakoni i reguliraju predmetnu materiju, a tumačenje i provedba istih nije u nadležnosti Agencije. U predmetnom slučaju mjerodavna je činjenica da su podaci zatraženi od strane podnositelja zahtjeva osobni podaci odnosni na preminulu osobu što dalje proizvodi pravne posljedice kako je ranije navedeno.
Više u Rješenju.
Obrada osobnih podataka u OSR sustavu
Objavljeno 27.5.2025.
Agencija za zaštitu osobnih podataka zaprimila je zahtjev za utvrđivanje povrede prava na zaštitu osobnih podataka u kojem podnositeljica zahtjeva u bitnome navodi kako društvo X u sustav OSR dostavlja netočne podatke po njenom tekućem računu te da je netočan podatak o datumu zatvaranje obveze 30. rujna 2021. godine, budući da je obvezu, tj. dugovanje podmirila dana 18. siječnja 2021. godine. Navodi, kako se društtvu X obraćala sa zahtjevom za brisanje i ispravak osobnih podataka u OSR sustavu, posebice u odnosu na brisanje povijesnih podataka koji su stariji više od četiri godine.
Zahtjev nije osnovan.
Slijedom navedenog, u cjelokupno provedenom postupku nisu utvrđene nepravilnosti u pogledu obrade osobnih podataka podnositeljice zahtjeva, odnosno nisu utvrđena kršenja Opće uredbe o zaštiti podataka. Banka, kao voditelj obrade osobnih podataka, u konkretnom slučaju obrađuje točne osobne podatke podnositeljice zahtjeva te iz tog razloga nisu ispunjeni uvjeti za ispravak osobnih podataka, kako je to zatražila podnositeljica zahtjeva. Isto tako, u ovom slučaju nisu ispunjeni uvjeti niti za brisanje osobnih podataka podnositeljice zahtjeva u OSR sustavu, vezano uz status obveze, budući da za to nisu ispunjeni zakonski uvjeti iz članka 321. Zakona o kreditnim institucijama, tj. nije proteklo četiri godine od zatvaranja/podmirenja obveze, računajući od dana 30. rujna 2021. godine, za koji datum je utvrđeno da je točan podatak o zatvaranju obveze/podmirenju duga podnositeljice zahtjeva.
S time u vezi, valja naglasiti kako Banka, kao voditelj obrade osobnih podataka, obrađuje točne osobne podatke podnositeljice zahtjeva u smislu članka 5.1.d) Opće uredbe o zaštiti podataka, za čiju obradu ima pravnu osnovu iz članka 6.1.c) Opće uredbe o zaštiti podataka (obrada je nužna radi poštovanja odredaba članka 321. Zakona o kreditnim institucijama, kao posebnog zakona).
Više u Rješenju.
Obrada osobnih podataka nakon prestanka ugovornog odnosa s bankom
Objavljeno 1.8.2024.
Agencija za zaštitu osobnih podataka zaprimila je zahtjev za utvrđivanje povrede prava na zaštitu osobnih podataka u kojemu se navodi kako se podnositelj zahtjeva obraćao službeniku za zaštitu podataka banke, tražeći brisanje osobnih podataka iz evidencija banke koji se koriste u svrhe marketinga, a po kojem zahtjevu banka nije postupila.
Također navodi da je dana 27. srpnja 2023. godine ponovno zaprimio poruku banke za potrebom ažuriranja podataka.
U ovoj upravnoj stvari uzete su u obzir izjave stranaka u postupku te je izvršen uvid u priloženu dokumentaciju. S time u vezi, utvrđeno je da je podnositelj zahtjeva dana 08. srpnja 2014. godine voditelju obrade osobnih podataka – banci dao privolu za obradu osobnih podataka u svrhe marketinga, koju nije povukao nakon prestanka ugovornog odnosa dana 30. studenoga 2017. godine.
Uvidom u obrazac privole banke utvrđeno je da je ista dana odvojeno od drugih svrha obrade podataka, dok je uvidom u predmetnu e-mail korespondenciju utvrđeno kako je podnositelj zahtjeva dana 13. prosinca 2021. godine obaviješten da je u sustavu banke evidentirana njegova suglasnost za obradu osobnih podataka u svrhe marketinga te da će se njegov upit u vezi korištenja podataka upućen banci tretirati kao zahtjev za ukidanje suglasnosti, koja je posljedično i ukinuta sa datumom 13. prosinca 2021. godine.
Što se tiče zaprimanja e-maila vezano uz ažuriranje podataka, utvrđeno je da je u pitanju bila tehnička pogreška u pogledu dohvata aktivnih klijenata
S time u vezi, ocijenjeno je kako banka nije imala zakonsku ovlast obrade osobnih podataka podnositelja zahtjeva (njegove e-mail adrese), a nakon prestanka ugovornog odnosa, iako banka najmanje jedanaest godina nakon prestanka poslovnog odnosa ima ovlast obrađivati osobne podatke, tj. isprave i ugovore koji se odnose na poslovni/ugovorni odnos (članak 160. stavak 2. Zakona o kreditnim institucijama).
Razumijeva se da klijent banke/podnositelj zahtjeva nakon prestanka ugovornog odnosa sa bankom razumno ne očekuje daljnju obradu osobnih podataka te u ovom slučaju nema mjesta niti postojanju legitimnog interesa za obradu osobnih podataka, kao pravne osnove za obradu osobnih podataka podnositelja zahtjeva.
Više u Rješenju.
Dostava izvoda prometa po računu opunomoćenoj osobi
Objavljeno 21.11.2023.
Agencija za zaštitu osobnih podataka zaprimila je zahtjev za utvrđivanje povrede prava na zaštitu osobnih podataka u kojemu podnositeljica zahtjeva navodi kako je banka prekršila odredbe Opće uredbe o zaštiti podataka na način da je izvode prometa po računu dostavila njezinom sinu dana 09. svibnja 2022. godine. Također, podnositeljica zahtjeva navodi kako je dana 22. kolovoza 2022. godine uskratila njezinom sinu X dostavu izvoda prometa po računu.
Zahtjev se odbija kao neosnovan.
Vezano uz navode podnositeljice zahtjeva kako je banka izvod po prometu na računu (koji sadrži njezine osobne podatke) ustupila njezinom sinu dana 09. svibnja 2022. godine te pritom prekršila odredbe Opće uredbe o zaštitu podataka, s tim u vezi, navodimo kako je u provedenom postupku na temelju utvrđenih činjenica i prikupljene dokumentacije utvrđeno kako je izvod prometa po računu podnositeljice zahtjeva ustupljen njezinom sinu temeljem punomoći od 27. prosinca 2013. godine, kao opunomoćeniku podnositeljice zahtjeva.
U konkretnom slučaju, banka je postupala u skladu sa svojim poslovnim procesima, a na način da je poduzela sve odgovarajuće mjere zaštite prilikom utvrđivanja identiteta osobe koja je u ime i za račun podnositeljice zahtjeva, putem priložene punomoći, zatražila dostavu izvoda prometa po računu. Dakle, iz postupanja banke, kao voditelja obrade može se zaključiti kako je ista osviještena u odnosu na postupanje sa osobnim podacima (u konkretnom slučaju izdavanja izvoda prometa po računu koji sadrži osobne podatke podnositeljice zahtjeva) u slučajevima kada se isti ustupaju drugim primateljima, u konkretnom slučaju sinu podnositeljice zahtjeva (kao opunomoćeniku) na način da ista sa oprezom pristupa utvrđivanju valjanosti punomoći za zastupanje.
Vezano za nezakonito postupanje banke dana 22. kolovoza 2022. godine, kako to navodi podnositeljica zahtjeva, iz dostavljenog očitovanja banke kao voditelj obrade razvidno je kako je djelatnica banke provela dodatne sigurnosne provjere valjanosti punomoći za zastupanje, a sve sa ciljem da osobni podaci podnositeljice zahtjeva budu ustupljeni osobi koja je za isto opunomoćena, a sukladno poslovnim procesima/procedurama.
Više u Rješenju.
Traženje preslike osobne iskaznice prilikom ažuriranja osobnih podataka
Agencija za zaštitu osobnih podataka zaprimila je zahtjev za utvrđivanje povrede prava na zaštitu osobnih podataka u kojemu podnositeljica zahtjeva navodi kako ju je kartična kuća tražila presliku njezinog osobnog dokumenta – osobne iskaznice prilikom ažuriranja njezinih osobnih podataka sukladno posebnim propisima.
Zahtjev nije osnovan.
U ovom upravnom postupku utvrđeno je kako su u konkretnom slučaju bili ispunjeni uvjeti poštene i zakonite obrade osobnih podataka iz članka 5. i 6. Opće uredbe o zaštiti podataka, a sve iz razloga što je predmetno društvo dokazalo postojanje zakonite pravne osnove za obradu osobnih podataka podnositeljice zahtjeva u navedenom opsegu prikupljanja osobnih podataka te prikupljanja preslike osobnog dokumenta-osobne iskaznice. Dakle, osobni podaci podnositeljice zahtjeva su obrađivani na pošten, zakonit i transparentan način kako to nalažu odredbe Opće uredbe o zaštiti podataka.
Više u Rješenju.
Ažuriranje osobnih podataka klijenata banke - dostava podataka i dokaza o izvorima imovine
Objavljeno 21.9.2022.
Agencija za zaštitu osobnih podataka zaprimila je zahtjev za utvrđivanje povrede prava na zaštitu osobnih podataka u kojemu podnositelj zahtjeva navodi kako je klijent banke te kako je 12. travnja 2022. godine primio obavijest elektroničkom poštom da dostavi svoje osobne podatke koje je banka dužna prikupljati sukladno posebnim propisima. S tim u vezi podnositelj zahtjeva navodi kako se od njega traže podaci o izvorima imovine te dokazi o istome.
Zahtjev nije osnovan.
U postupku je utvrđeno kako je predmetna banka od podnositelja zahtjeva zatražila osobne podatke putem Izjave klijenta o izvorima imovine i izvorima novčanih sredstava, a u svrhu praćenja poslovnog odnosa klijenta banke pod uvjetima i na način kako je to propisano Zakonom o sprječavanju pranja novca i financiranja terorizma, kao posebnog zakona. Iz dostavljenog obrasca Izjave razvidno je kako isti uključuje prikupljanje i provjeru podataka o izvoru imovine te izvoru sredstva koja jesu ili će biti predmet poslovnog odnosa.
Uzimajući u obzir odredbe Opće uredbe o zaštiti podataka i odredbe Zakona o sprječavanju pranja novca i financiranja terorizma, kao posebnog zakona, u ovom upravnom postupku, utvrđeno je kako je u konkretnom slučaju obrada osobnih podataka predmetne banke, kao voditelja obrade nužna u svrhu izvršavanja pravnih obveza, tj. zakonskih obveza voditelja obrade koje propisuje Zakon o sprječavanju pranja novca i financiranja terorizma.
U konkretnom slučaju za obradu osobnih podataka podnositelja zahtjeva postoji pravna osnova u smislu članka 6. Opće uredbe o zaštiti podataka i zakonita/opravdana svrha u smislu članka 5. Opće uredbe o zaštiti podataka
Više u Rješenju
