U cijeloj Europskoj uniji, pa tako i u Hrvatskoj, traje intenzivno upoznavanje građana i tvrtki s Općom uredbom EU-a o zaštiti podataka (GDPR) koja bi od kraja svibnja ove godine trebala strogo kažnjavati zloupotrebe prilikom prikupljanja osobnih podataka građana, ali pojedine hrvatske banke nastavljaju po starom i gnjave svoje klijente tražeći njihove osobne podatke u opsegu i na način koji budi sumnju sve većeg broja klijenata.

Banke se u ovom pitanju ponašaju po staroj narodnoj "ako prođe, prođe", a prolazi im već dugo zbog mekanog pristupa Agencije za zaštitu osobnih podataka prema moćnim financijskim igračima.

Jedan od čitatelja Forum.tm.-a (podaci poznati redakciji), pred zaključenje ovog teksta požalio se kako su ga iz Sberbanke tražili da ispuni "Upitnik za politički izložene osobe" u kojem traži podatke i o članovima obitelji pozivajući se na famozni Zakon o sprečavanju pranja novca i financiranja terorizma. Banka je u ovom slučaju ostala kratkih rukava što se tiče traženih informacija jer je klijent smatrao da banka na nezakonit način prikuplja podatke, ali je pitanje koliko je građana u posljednje dvije godine dalo podatke koje su banke tražile pod prijetnjom uskraćivanja pristupa računu pozivajući na pojedine zakonske odredbe, najčešće na Zakon o sprečavanju pranja novca i financiranja terorizma.

Banke već gotovo tri godine vrše pritisak na klijente da im pruže cijeli niz osobnih podataka na koje građani nisu obavezni odgovoriti, a neke od banaka takva pitanja nameću i pravdaju zakonskim obavezama, što može biti namjerno ili zbog neznanja bankarskih službenika.

REAGIRALA I VLADA

Tako je Vlada još 2015. godine odgovorila tadašnjoj saborskoj zastupnici Mireli Holy da je "izvršenim uvidom od strane Agencije za zaštitu osobnih podataka (AZOP) u obrazac Upitnika, koji su pojedinačno sastavile pojedine banke, utvrđeno je da sadržaj Upitnika nije unificiran, odnosno jednoznačan, već se opseg prikupljanja osobnih podataka, kao i način informiranja stranaka o pravnom temelju za obradu osobnih podataka razlikuje od banke do banke, a utvrđeno je i da se putem navedenih obrazaca prikuplja znatno veći opseg osobnih podataka nego što propisuje Zakon. Naime, od strane Agencije utvrđeno je kako banke nisu na dovoljno jasan i transparentan način upoznale svoje stranke koji se opseg podataka prikuplja kao obvezan i temeljem kojih propisa, a koji se podaci prikupljaju kao dobrovoljni, odnosno fakultativni temeljem privole stranaka i u koju svrhu se privola daje".

Prije gotovo dvije godine na snagu je stupio Sporazum između Vlade Republike Hrvatske i Vlade Sjedinjenih Američkih Država o unaprjeđenju ispunjavanja poreznih obveza na međunarodnoj razini i provedbi (FATCA), a uz niz drugih zakona, poput Zakona o sprečavanju pranju novca i financiranja terorizma, Općeg poreznog zakona i sličnih nastao je kaos u tumačenju opsega prikupljanja podataka pa su banke tražile niz osobnih informacija o svojim klijentima koji, primjerice, nikad nisu poslovali sa SAD-om niti su bili u toj zemlji.

Zakonom o sprečavanju pranja novca i financiranja terorizma propisano je da se za fizičku osobu prikupljaju osobni podaci u sljedećem opsegu: ime i prezime, prebivalište, datum rođenja, mjesto rođenja, identifikacijski broj, te naziv, broj i naziv izdavatelja identifikacijske isprave.

"Banka može i pribaviti podatke i pribavljanje podataka (između ostaloga) o namjeni i predviđenoj prirodi poslovnog odnosa, uključivo s informacijom o djelatnosti stranke, te također i podatke o izvoru sredstava koja jesu ili će biti predmet transakcije ili poslovnog odnosa. Dodatno na navedeno člankom 26. istog Zakona je glede mjera stalnog praćenja poslovnog odnosa propisano između ostaloga da obveznik je dužan brižljivo pratiti poslovne aktivnosti koje stranka provodi kod njega, čime se osigurava poznavanje stranke, uključujući poznavanje izvora sredstava kojima stranka posluje, te da je obveznik dužan pratiti poslovne aktivnosti koje stranka obavlja kod njega primjenjujući sljedeće mjere: (…) praćenje i ažuriranje prikupljenih dokumenata i podataka o strankama, uključujući i provođenje ponovne godišnje dubinske analize stranke (…) Stoga iz navedenog proizlaze i situacije česte u komunikaciji ispitanika, odnosno klijenata sa bankovnim službenicima kada ih se ponovno ili dodatno (ponekad i bez dovoljno informacija ili netaktično) pita i traži osobne podatke ili dodatne informacije", kažu u AZOP-u.

Agencija je Hrvatskoj udruzi banaka, kao krovnoj instituciji svih banaka, 2015. godine uputila Preporuku za unapređenje zaštite osobnih podataka kako bi na taj način što učinkovitije upoznala sve financijske institucije s potrebom informiranja građana o svrsi i pravnom temelju za prikupljanje osobnih podataka.

ŠUTNJA BANKARA

Koliko je HUB držao do mišljenja Agencije, pokazuje nastavak odgovora tadašnje Vlade: "S obzirom na to da je od dostavljanja Preporuke Agencije Hrvatskoj udruzi banaka prošlo dosta vremena, da HUB, niti banke nisu obavijestili Agenciju o postupanjima koja su im naložena navedenom Preporukom, Agencija je 9. srpnja 2015. godine dodatno zatražila od HUB-a da je obavijesti o postupanjima i poduzetim mjerama u skladu s Preporukom. Međutim, Agencija do danas nije zaprimila nikakvu obavijest".

Zagrebačka banka, kao najveća banka u Hrvatskoj, prijetila je do prije nekoliko mjeseci blokadom računa i Katarini Turković Gulin. "Tražili su moje osobne podatke, a da nisu ni jednom obrazložili svrhu svojih zahtjeva. Shvaćam da im prošireni podaci nekad trebaju za dubinsku analizu i slično, ali su prijetili da će mi uskratiti pristup mojem novcu ako ne udovoljim n njihovom zahtjevu kojeg nisu znali obrazložiti", kaže Turković Gulin čije je zakonski prihvatljive podatke banka već imala.

Banka nije odustajala tako lako, ali nije ni Turković Gulin, pa je zbog zaštite svojih prava slala dopise AZOP-u i HNB-u. Iz HNB-a su joj u opširnom odgovoru kazali, između ostalog, da banke "imaju pravo prikupljati podatke klijenata na temelju postojeće regulative, a koji se mogu prikupiti i putem posebno pripremljenog upitnika u dijelu koji je za određenu stranku i njezino poslovanje primjeren".

"Međutim", nastavili su u HNB-u, "isto tako želimo ponoviti da se podaci koje banka traži, a koji nisu propisani važećim propisima smiju prikupljati isključivo uz suglasnost klijenta. Tako primjerice podaci o broju djece i bračnom statusu nisu nužni za postizanje mjera iz Zakona i, ukoliko klijent odluči banci uskratiti suglasnost za davanje traženih fakultativnih podataka, banka takvu odluku mora poštovati", kazali su iz HNB-a.

Nakon toga joj je banka javila da je sve u redu i da su podaci usklađeni. Ali u srpnju prošle godine banka je ponovo zatražila da joj dostavi podatke, što je ona ponovo odbila. I opet je trajala duga borba protiv bančina zahtjeva koji nije bio obrazložen i na kraju je banka popustila, zadovoljivši se preslikom osobne karte koju je već imala u svojem registru.

Banke su još polovicom lipnja 2015. godine krenule u toliko masovno prikupljanje osobnih podataka klijenata da je to ponukalo tadašnju saborsku zastupnicu Mirelu Holy da postavi zastupničko pitanje tadašnjem premijeru Zoranu Milanoviću kako bi Vlada objasnila građanima na temelju čega banke zahtijevaju njihove podatke uz prijetnju raskida poslovnog odnosa i nemogućnošću korištenja bankarskih usluga na području cijele države.

Vlada joj je odgovorila da banke smiju prikupljati podatke na temelju nekoliko zakona, kao što je Zakon o zaštiti osobnih podataka, Zakon o sprečavanju pranja novca i financiranja terorizma, Opći porezni zakon, Zakon o administrativnoj suradnji u području poreza i sličnih.

Međutim, Vlada je još tada utvrdila da su banke prilikom prikupljanja osobnih podataka bile dužne primijeniti Načelo razmjernosti koje u ovom postupku obrade osobnih podataka nalaže prikupljanje samo onih osobnih podataka koji su nužni za ispunjenje zakonom utvrđene svrhe, odnosno da se osobni podaci ne smiju prikupljati u većem opsegu nego što je nužno da bi se postigla zakonom utvrđena svrha.

Agencija je smatrala da bi banke mogle prikupljati od svojih stranaka samo one osobne podatke koji se odnose na stranke koje su u određenom poslovnom odnosu s bankom i koji su nužni za uspostavu takvog poslovnog odnosa, ali ne i osobne podatke koji se odnose na članove njihovih obitelji, osobito djece ili druge uzdržavane članove, osim u slučaju ako to nije propisano posebnim zakonom.

Prilikom prikupljanja osobnih podataka na temelju privole, banke su dužne voditi računa da se prikupljaju samo oni podaci koji su nužni za ostvarenje točno utvrđene svrhe te da se prikupljeni podaci dalje obrađuju i koriste samo u svrhe za koje je dana privola.

Agencija je tada, sukladno zakonskim ovlastima, obavila nadzore u više banaka, između ostalog i u Zagrebačkoj banci, te je nadzornim aktivnostima utvrdila da sve banke od stranaka prikupljaju osobne podatke u vrlo velikom opsegu pozivajući se na Zakon, kao i na privolu stranaka.

"Sve ostale osobne podatke koje banke odluče prikupljati, a koji ne budu taksativno navedeni u Zakonu ili drugom propisu, banka može prikupljati isključivo uz privolu stranaka, ali pri tome također treba voditi brigu o opsegu osobnih podataka tj. da se prikupljaju samo oni osobni podaci koji su nužni za ispunjenje svrhe u koju se daje privola te isto tako treba voditi računa da se prikupljeni osobni podaci putem privole mogu dalje obrađivati samo u svrhu za koju je osoba dala privolu i samo u vremenskom razdoblju dok traje takva privola", stoji u odgovoru Vlade iz 2015. godine.

SPORA AGENCIJA

Agenciji smo poslali nekoliko pitanja u vezi problematičnog prikupljanja podataka i za odgovore na svaki set pitanja trebali smo čekati po mjesec dana. Zanimalo nas je što bi banke trebale učiniti s onim podacima koje su građani dali na temelju prijetnji banaka da će im blokirati račune i hoće li ih banke sada morati brisati. AZOP nam nije odgovorio na to pitanje, poslavši odgovor na šest stranica u kojem se pravničkim i birokratiziranim jezikom poziva na niz zakona i čiji je zaključak da je bankama zapravo dopušteno sve i ništa, ovisno o tumačenju zakonskih odredbi. Sljedeće odgovore na konkretna pitanja jesu li banke zloupotrebljavale Zakon o pranju novca i je li AZOP do sada pokrenuo kaznene ili prekršajne postupke pred nadležni tijelima, čekali smo idućih mjesec dana.

Agencija kaže da do sada nisu utvrdili zloupotrebe Zakona o sprečavanju pranja novca, na temelju kojeg se banke najčešće pozivaju kad prikupljaju podatke pa do sada nije predložila ni jedan postupak prekršajne ili kaznene odogovornosti banaka pred kaznenim tijelom. Dodaju, međutim, da banke često daju nedostatne ili nedovoljno jasne, a ponekad čak i krivo iskazane informacije koje su dostupne ili se prezentiraju klijentima, što u Agenciji smatraju glavnim uzrokom nesporazuma, nerazumijevanja ili sumnje u utemeljenost i svrhovitost prikupljanja određenih osobnih podataka, iako se "u biti ne radi o stvarnoj nezakonitosti prikupljanja ili obrade osobnih podataka".

Tijekom 2017. godine Agencija je primila 30 prijava građana zbog sumnje da banke prikupljaju podatke u većem opsegu nego što bi smjele. Građani, kažu u Agenciji, nisu uputili zahtjeve za zaštitu prava, nego samo upite i predstavke pa Agencija nije imala temelj za donošenje rješenja o eventualnoj povredi prava. Kažu da su stoga bankama uputili preporuke.

A da Agencija ponekad može preuzeti inicijativu i ipak pokazati mišiće, govori i slučaj iz 2015. godine, kada je potkraj travnja donijela odluku kojom se zabranjuje objavljivanje podataka iz imovinskih kartica dužnosnika na web-stranicama Povjerenstva za odlučivanje o sukobu interesa.

Iz HUB-a nam nisu odgovorili kad smo im postavili pitanja u vezi s brisanjem nepotrebnih osobnih podataka iz registara banaka, nego su nam telefonski poručili da banke ne zloupotrebljavaju nikakve zakone te dobronamjerno kazali da je bez oglasa teško održati portal na zahtjevnom medijskom tržištu.

Odgovor AZOP-a već dugo čeka Denis Smajo, koordinator udruge Franak, koji je tražio zaštitu Agencije jer smatra da su ga iz Diners Cluba tražili podatke o privatnom životu izvan zakonskog opsega i bez opravdana razloga. Kazao je da će njegova udruga više pažnje usmjeriti na ovakvu praksu banaka, a AZOP mu je već dao mig – morat će tražiti zahtjev za zaštitu prava, pa Agencija može očekivati sve veći broj zahtjeva članova udruge i njihovih simpatizera.

Dobra vijest za građane Hrvatske je da strogi GDPR - osim visokih kazni prekršitelja do 20 milijuna eura, odnosno do 4 posto godišnjeg prometa na svjetskoj razini - predviđa i osnivanje Europskog odbora za zaštitu podataka koji će, između ostalog, nadzirati nacionalne agencije, u ovom slučaju AZOP.

Tekst je financiran sredstvima Fonda za poticanje pluralizma i raznovrsnosti elektroničkih medija Agencije za elektroničke medije za 2018. godinu