Obrada osobnih podataka nakon prestanka ugovornog odnosa s bankom
Objavljeno 1.8.2024.
Agencija za zaštitu osobnih podataka zaprimila je zahtjev za utvrđivanje povrede prava na zaštitu osobnih podataka u kojemu se navodi kako se podnositelj zahtjeva obraćao službeniku za zaštitu podataka banke, tražeći brisanje osobnih podataka iz evidencija banke koji se koriste u svrhe marketinga, a po kojem zahtjevu banka nije postupila.
Također navodi da je dana 27. srpnja 2023. godine ponovno zaprimio poruku banke za potrebom ažuriranja podataka.
U ovoj upravnoj stvari uzete su u obzir izjave stranaka u postupku te je izvršen uvid u priloženu dokumentaciju. S time u vezi, utvrđeno je da je podnositelj zahtjeva dana 08. srpnja 2014. godine voditelju obrade osobnih podataka – banci dao privolu za obradu osobnih podataka u svrhe marketinga, koju nije povukao nakon prestanka ugovornog odnosa dana 30. studenoga 2017. godine.
Uvidom u obrazac privole banke utvrđeno je da je ista dana odvojeno od drugih svrha obrade podataka, dok je uvidom u predmetnu e-mail korespondenciju utvrđeno kako je podnositelj zahtjeva dana 13. prosinca 2021. godine obaviješten da je u sustavu banke evidentirana njegova suglasnost za obradu osobnih podataka u svrhe marketinga te da će se njegov upit u vezi korištenja podataka upućen banci tretirati kao zahtjev za ukidanje suglasnosti, koja je posljedično i ukinuta sa datumom 13. prosinca 2021. godine.
Što se tiče zaprimanja e-maila vezano uz ažuriranje podataka, utvrđeno je da je u pitanju bila tehnička pogreška u pogledu dohvata aktivnih klijenata
S time u vezi, ocijenjeno je kako banka nije imala zakonsku ovlast obrade osobnih podataka podnositelja zahtjeva (njegove e-mail adrese), a nakon prestanka ugovornog odnosa, iako banka najmanje jedanaest godina nakon prestanka poslovnog odnosa ima ovlast obrađivati osobne podatke, tj. isprave i ugovore koji se odnose na poslovni/ugovorni odnos (članak 160. stavak 2. Zakona o kreditnim institucijama).
Razumijeva se da klijent banke/podnositelj zahtjeva nakon prestanka ugovornog odnosa sa bankom razumno ne očekuje daljnju obradu osobnih podataka te u ovom slučaju nema mjesta niti postojanju legitimnog interesa za obradu osobnih podataka, kao pravne osnove za obradu osobnih podataka podnositelja zahtjeva.
Više u Rješenju.
Dostava izvoda prometa po računu opunomoćenoj osobi
Objavljeno 21.11.2023.
Agencija za zaštitu osobnih podataka zaprimila je zahtjev za utvrđivanje povrede prava na zaštitu osobnih podataka u kojemu podnositeljica zahtjeva navodi kako je banka prekršila odredbe Opće uredbe o zaštiti podataka na način da je izvode prometa po računu dostavila njezinom sinu dana 09. svibnja 2022. godine. Također, podnositeljica zahtjeva navodi kako je dana 22. kolovoza 2022. godine uskratila njezinom sinu X dostavu izvoda prometa po računu.
Zahtjev se odbija kao neosnovan.
Vezano uz navode podnositeljice zahtjeva kako je banka izvod po prometu na računu (koji sadrži njezine osobne podatke) ustupila njezinom sinu dana 09. svibnja 2022. godine te pritom prekršila odredbe Opće uredbe o zaštitu podataka, s tim u vezi, navodimo kako je u provedenom postupku na temelju utvrđenih činjenica i prikupljene dokumentacije utvrđeno kako je izvod prometa po računu podnositeljice zahtjeva ustupljen njezinom sinu temeljem punomoći od 27. prosinca 2013. godine, kao opunomoćeniku podnositeljice zahtjeva.
U konkretnom slučaju, banka je postupala u skladu sa svojim poslovnim procesima, a na način da je poduzela sve odgovarajuće mjere zaštite prilikom utvrđivanja identiteta osobe koja je u ime i za račun podnositeljice zahtjeva, putem priložene punomoći, zatražila dostavu izvoda prometa po računu. Dakle, iz postupanja banke, kao voditelja obrade može se zaključiti kako je ista osviještena u odnosu na postupanje sa osobnim podacima (u konkretnom slučaju izdavanja izvoda prometa po računu koji sadrži osobne podatke podnositeljice zahtjeva) u slučajevima kada se isti ustupaju drugim primateljima, u konkretnom slučaju sinu podnositeljice zahtjeva (kao opunomoćeniku) na način da ista sa oprezom pristupa utvrđivanju valjanosti punomoći za zastupanje.
Vezano za nezakonito postupanje banke dana 22. kolovoza 2022. godine, kako to navodi podnositeljica zahtjeva, iz dostavljenog očitovanja banke kao voditelj obrade razvidno je kako je djelatnica banke provela dodatne sigurnosne provjere valjanosti punomoći za zastupanje, a sve sa ciljem da osobni podaci podnositeljice zahtjeva budu ustupljeni osobi koja je za isto opunomoćena, a sukladno poslovnim procesima/procedurama.
Više u Rješenju.
Traženje preslike osobne iskaznice prilikom ažuriranja osobnih podataka
Agencija za zaštitu osobnih podataka zaprimila je zahtjev za utvrđivanje povrede prava na zaštitu osobnih podataka u kojemu podnositeljica zahtjeva navodi kako ju je kartična kuća tražila presliku njezinog osobnog dokumenta – osobne iskaznice prilikom ažuriranja njezinih osobnih podataka sukladno posebnim propisima.
Zahtjev nije osnovan.
U ovom upravnom postupku utvrđeno je kako su u konkretnom slučaju bili ispunjeni uvjeti poštene i zakonite obrade osobnih podataka iz članka 5. i 6. Opće uredbe o zaštiti podataka, a sve iz razloga što je predmetno društvo dokazalo postojanje zakonite pravne osnove za obradu osobnih podataka podnositeljice zahtjeva u navedenom opsegu prikupljanja osobnih podataka te prikupljanja preslike osobnog dokumenta-osobne iskaznice. Dakle, osobni podaci podnositeljice zahtjeva su obrađivani na pošten, zakonit i transparentan način kako to nalažu odredbe Opće uredbe o zaštiti podataka.
Više u Rješenju.
Ažuriranje osobnih podataka klijenata banke - dostava podataka i dokaza o izvorima imovine
Objavljeno 21.9.2022.
Agencija za zaštitu osobnih podataka zaprimila je zahtjev za utvrđivanje povrede prava na zaštitu osobnih podataka u kojemu podnositelj zahtjeva navodi kako je klijent banke te kako je 12. travnja 2022. godine primio obavijest elektroničkom poštom da dostavi svoje osobne podatke koje je banka dužna prikupljati sukladno posebnim propisima. S tim u vezi podnositelj zahtjeva navodi kako se od njega traže podaci o izvorima imovine te dokazi o istome.
Zahtjev nije osnovan.
U postupku je utvrđeno kako je predmetna banka od podnositelja zahtjeva zatražila osobne podatke putem Izjave klijenta o izvorima imovine i izvorima novčanih sredstava, a u svrhu praćenja poslovnog odnosa klijenta banke pod uvjetima i na način kako je to propisano Zakonom o sprječavanju pranja novca i financiranja terorizma, kao posebnog zakona. Iz dostavljenog obrasca Izjave razvidno je kako isti uključuje prikupljanje i provjeru podataka o izvoru imovine te izvoru sredstva koja jesu ili će biti predmet poslovnog odnosa.
Uzimajući u obzir odredbe Opće uredbe o zaštiti podataka i odredbe Zakona o sprječavanju pranja novca i financiranja terorizma, kao posebnog zakona, u ovom upravnom postupku, utvrđeno je kako je u konkretnom slučaju obrada osobnih podataka predmetne banke, kao voditelja obrade nužna u svrhu izvršavanja pravnih obveza, tj. zakonskih obveza voditelja obrade koje propisuje Zakon o sprječavanju pranja novca i financiranja terorizma.
U konkretnom slučaju za obradu osobnih podataka podnositelja zahtjeva postoji pravna osnova u smislu članka 6. Opće uredbe o zaštiti podataka i zakonita/opravdana svrha u smislu članka 5. Opće uredbe o zaštiti podataka
Više u Rješenju
