Objavljeno: 5.6.2019.
Agencija za zaštitu osobnih podataka zaprimila je upit vezan za obradu osobnih podataka u svrhu naplate dospjelih, a nenaplaćenih tražbina od strane društava/agencija za naplatu potraživanja, s tim u vezi navodimo sljedeće:
Sukladno članku 5. Uredbe (EU) 2016/679 Europskog parlamenta i Vijeća od 27. travnja 2016. o zaštiti pojedinaca u vezi s obradom osobnih podataka i o slobodnom kretanju takvih podataka te o stavljanju izvan snage Direktive 95/46/EZ (Opća uredba o zaštiti podataka) SL EU L119 osobni podaci moraju biti zakonito, pošteno i transparentno obrađivani s obzirom na ispitanika, prikupljeni u posebne, izričite i zakonite svrhe, primjereni, relevantni i ograničeni na ono što je nužno u odnosu na svrhe u koju se obrađuju, točni i prema potrebi ažurni.
Člankom 6. Opće uredbe o zaštiti podataka obrada je zakonita samo ako i u onoj mjeri u kojoj je ispunjeno najmanje jedno od sljedećega: ispitanik je dao privolu za obradu svojih osobnih podataka u jednu ili više posebnih svrha; obrada je nužna za izvršavanje ugovora u kojem je ispitanik stranka ili kako bi se poduzele radnje na zahtjev ispitanika prije sklapanja ugovora; obrada je nužna radi poštovanja pravnih obveza voditelja obrade; obrada je nužna kako bi se zaštitili ključni interesi ispitanika ili druge fizičke osobe; obrada je nužna za izvršavanje zadaće od javnog interesa ili pri izvršavanju službene ovlasti voditelja obrade; obrada je nužna za potrebe legitimnih interesa voditelja obrade ili treće strane, osim kada su od tih interesa jači interesi ili temeljna prava i slobode ispitanika koji zahtijevaju zaštitu osobnih podataka, osobito ako je ispitanik dijete.
Sukladno načelima poštene i transparentne obrade Opća uredba o zaštiti podataka zahtijeva se da je ispitanik informiran o postupku obrade i njegovim svrhama sukladno odredbama članka 13. Opće uredbe o zaštiti podataka kojim je propisano koje je sve informacije voditelj obrade dužan pružati svojim ispitanicima ako se osobni podaci prikupljaju od ispitanika odnosno na odredbe članka 14. ukoliko osobni podaci nisu dobiveni od ispitanika.
Navodimo kako se određena društva/agencije za naplatu potraživanja, između ostalog, bave poslovima naplate potraživanja odnosno poslovima otkupa potraživanja pa se tako u pojedinim slučajevima može raditi o povjeravanju određenih poslova izvršitelju obrade putem ugovora/drugog pravnog akta ili o prijenosu tražbina s jednog vjerovnika na drugog vjerovnika (primjerice s banke/teleoperatera na društvo/agenciju za naplatu potraživanja) putem ugovora o cesiji. U nastavku odgovora objašnjavamo oba slučaja.
a) Povjeravanje određenih poslova izvršitelju obrade putem ugovora/drugog pravnog akta.
Člankom 4. točkom 8. Opće uredbe o zaštiti podataka definiran je izvršitelj obrade kao fizička ili pravna osoba, tijelo javne vlasti, agencija ili drugo tijelo koje obrađuje osobne podatke u ime voditelja obrade.
Članak 28. Opće uredbe o zaštiti podataka propisuje da se obrada koju provodi izvršitelj obrade uređuje ugovorom ili drugim pravnim aktom u skladu s pravom Unije ili pravom države članice, koji izvršitelja obrade obvezuje prema voditelju obrade, a koji navodi predmet i trajanje obrade, prirodu i svrhu obrade, vrstu osobnih podataka i kategoriju ispitanika te obveze i prava voditelja obrade.
Uzimajući u obzir najnovija dostignuća, troškove provedbe te prirodu, opseg, kontekst i svrhe obrade, kao i rizik različitih razina vjerojatnosti i ozbiljnosti za prava i slobode pojedinaca, voditelj obrade i izvršitelj obrade provode odgovarajuće tehničke i organizacijske mjere kako bi osigurali odgovarajuću razinu sigurnosti s obzirom na rizik (članak 32. Opće uredbe o zaštiti podataka).
Slijedom navedenog, ukoliko je voditelj obrade (primjerice: banka/teleoperater) sukladno članku 28. Opće uredbe o zaštiti podataka temeljem ugovora ili drugog pravnog akta povjerio obavljanje točno određenih poslova obrade osobnih podataka izvršitelju obrade (primjerice: društvu/agenciji za naplatu potraživanja) koji tu obradu provodi u ime voditelja obrade, takva obrada je zakonita odnosno sukladna članku 6. Opće uredbe o zaštiti podataka.
b) Prijenos tražbina s jednog vjerovnika na drugog vjerovnika putem ugovora o cesiji.
Osim navedenog, zakonita osnova za obradu osobnih podataka od strane društva/agencije za naplatu potraživanja, sukladno članku 6. Opće uredbe o zaštiti podataka mogao bi predstavljati poseban zakon, Zakon o obveznim odnosima („Narodne novine“, broj: 35/05, 41/08, 125/11, 78/15 i 29/18).
Naime, člankom 80. Zakona o obveznim odnosima reguliran je ustup tražbine (cesija) kao ugovor u kojem se tražbina s jednog vjerovnika može prenijeti na drugog vjerovnika, dok je člankom 82. istog zakona propisano da za ustup tražbine nije potreban pristanak dužnika, već je ustupitelj tražbine dužan obavijestiti dužnika o ustupanju.
S tim u vezi navodimo da sam ustup tražbine pretpostavlja i dostavljanje (obradu) osobnih podataka, odnosno ustupanje nije provedivo u praksi ako novi vjerovnik ne zna prema kome ima svoje novostečeno pravo potraživanja. Dakle, provedba instituta cesije nije moguća bez prosljeđivanja osobnih podataka.
Slijedom navedenog, a pod pretpostavkom da se radi o valjanom pravnom poslu sukladno odredbama Zakona o obveznim odnosima (cesiji, otkupu potraživanja i sl.) između voditelja obrade (primjerice: banke/teleoperatera) i nekog društva/agencije za naplatu potraživanja u svrhu naplate dospjelih, a nenaplaćenih tražbina, obrada osobnih podataka od strane društva/agencije za naplatu potraživanja odnosno novog vjerovnika je zakonita.
Nadalje, ističemo kako se informacije o prethodno navedenom odnosno o povjeravanju određenih poslova izvršitelju obrade ili prijenosu tražbina na drugog vjerovnika često nalaze u samom ugovoru, Općim uvjetima poslovanja ili nekom drugom aktu koji klijente/korisnike u potpunosti obvezuje, a što sukladno člancima 13. i 14. Opće uredbe o zaštiti podataka predstavlja informiranje klijenata/korisnika.
Također, naglašavamo kako je sukladno svojim zakonskim ovlastima Agencija za zaštitu osobnih podataka nadležna za praćenje i provođenje primjene Opće uredbe o zaštiti podataka u vezi sa obradom osobnih podataka te sukladno svojim ovlastima nije nadležna za tumačenje posebnih postupaka pred za to nadležnim tijelima koji se vode sukladno posebnim propisima (primjerice: utvrđivanje visine konkretnog duga odnosno tražbine).
Zaključno, za svaku obradu osobnih podataka mora postojati relevantna zakonita osnova iz članka 6. Opće uredbe o zaštiti osobnih podataka te izričita, zakonita svrha u koju se osobni podaci obrađuju, a voditelj i izvršitelj obrade su dužni, sukladno članku 32. Opće uredbe o zaštiti podataka provoditi odgovarajuće tehničke i organizacijske mjere kako bi se osigurala odgovarajuća razina sigurnosti osobnih podataka. Vezano uz navedeno, voditelj ili izvršitelj obrade su prilikom komunikacije s klijentom/korisnikom u obvezi nedvojbeno utvrditi njegov identitet kako ne bi došlo do zlouporabe osobnih podataka, a što nužno podrazumijeva davanje/obradu osobnih podatka. Pri tome bi voditelj i izvršitelj obrade trebali poštivati pravo na privatnost u širem smislu te savjesno, pouzdano i odgovorno obrađivati samo osobne podatke stvarnog dužnika, a ne trećih osoba.