Hrvatsko nadzorno tijelo za praćenje provedbe Opće uredbe o zaštiti podataka (GDPR) odnosno Agencija za zaštitu osobnih podataka (AZOP) u petak je objavilo rješenje o izricanju upravno-novčane kazne jednoj banci zbog kontinuiranog odbijanja dostave osobnih podataka ispitanicima koji su je tražili uvid u svoju kreditnu dokumentaciju. Unatoč čak 34 ranije donesena rješenja od strane nadzornog tijela, u kojima joj je bila naložena dostava predmetnih podataka svim ispitanicima koji su to zatražili, banka je to kontinuirano odbijala.
Građani su od banke zatražili dostavu svojih osobnih podataka odnosno dostavu kreditne dokumentacije koja se odnosi na sklopljene ugovore o kreditu u švicarskim francima koje su podigli u toj banci. Unatoč tome što su zahtjevi građana bili legitimni i s pretpostavkom poštivanja i primjene prava na pristup svojim osobnim podacima propisanih GDPR-om, te je zatražena dokumentacija zaista sadržavala njihove osobne podatke, banka im je konzumiranje tog prava odbila omogućiti. Službeno obrazloženje banke bilo je da se prema Zakonu o potrošačkom kreditiranju i ostalim posebnim propisima ne radi se o pristupu osobnim podacima ispitanika, već o kreditnoj dokumentaciji za koju nema obveze dostavljanja jer se radi o otplaćenim kreditima.
Tijekom postupka utvrđivanja povrede prava u pojedinačnim prijavama građana, nadzorno tijelo je utvrdilo i kako je ista banka u razdoblju od gotovo godine dana, odnosno od dana početka primjene GDPR-a 25.05.2018. godine pa sve do 30.04.2019. godine, zaprimila preko 2500 zahtjeva građana kojima je uskratila pravo na dostavu kopija njihovih osobnih podataka.
S obzirom da se banka već bila oglušila na čak 34 AZOP-ove ranije izrečene blaže korektivne mjere odnosno naloga za dostavom osobnih podataka građanima koji su mu podnijeli prijavu, nadzorno tijelo se odlučilo na izricanje kazne kao jedine efikasne mjere.
Iako AZOP ne navodi točno ime banke, niti točan iznos izrečene kazne, obrazložio je da se prilikom odmjeravanja visine kazne vodio kriterijima propisanim GDPR-om i okolnostima slučaja. Tako je navedeno u rješenju da je uzeto u obzir da je tom povredom prava obuhvaćeno preko 2500 građana RH koji su podnijeli zahtjev za pristup svojim osobnim podacima, da se radi o povredi dužeg vremenskog trajanja, te najvažnije, da je banka izrijekom 34 prijašnje blaže korektivne mjere itekako bila svjesna činjenice da se na opisani način uskraćuje pravo na pristup osobnim podacima građana.
Za kršenje GDPR-a u skladu s propisanim kriterijima predviđena je kazna do 20 milijuna eura, no, kako u rješenju nadzornog tijela nije objavljen njen točan iznos, zasad ga možemo samo nagađati. Izvornik rješenja AZOP-a dostupan je ovdje.