AZOP je još 2019. objavio svoje stajalište na temu iz naslova:
https://azop.hr/obrada-osobnih-podataka-od-strane-agencije-za-naplatu-potrazivanja/
Izdvajamo:
"Navodimo kako se određena društva/agencije za naplatu potraživanja, između ostalog, bave poslovima naplate potraživanja odnosno poslovima otkupa potraživanja pa se tako u pojedinim slučajevima može raditi o povjeravanju određenih poslova izvršitelju obrade putem ugovora/drugog pravnog akta ili o prijenosu tražbina s jednog vjerovnika na drugog vjerovnika (primjerice s banke/teleoperatera na društvo/agenciju za naplatu potraživanja) putem ugovora o cesiji.
U nastavku odgovora objašnjavamo oba slučaja.
a) Povjeravanje određenih poslova izvršitelju obrade putem ugovora/drugog pravnog akta.
Člankom 4. točkom 8. Opće uredbe o zaštiti podataka definiran je izvršitelj obrade kao fizička ili pravna osoba, tijelo javne vlasti, agencija ili drugo tijelo koje obrađuje osobne podatke u ime voditelja obrade.
Članak 28. Opće uredbe o zaštiti podataka propisuje da se obrada koju provodi izvršitelj obrade uređuje ugovorom ili drugim pravnim aktom u skladu s pravom Unije ili pravom države članice, koji izvršitelja obrade obvezuje prema voditelju obrade, a koji navodi predmet i trajanje obrade, prirodu i svrhu obrade, vrstu osobnih podataka i kategoriju ispitanika te obveze i prava voditelja obrade.
Uzimajući u obzir najnovija dostignuća, troškove provedbe te prirodu, opseg, kontekst i svrhe obrade, kao i rizik različitih razina vjerojatnosti i ozbiljnosti za prava i slobode pojedinaca, voditelj obrade i izvršitelj obrade provode odgovarajuće tehničke i organizacijske mjere kako bi osigurali odgovarajuću razinu sigurnosti s obzirom na rizik (članak 32. Opće uredbe o zaštiti podataka).
Slijedom navedenog, ukoliko je voditelj obrade (primjerice: banka/teleoperater) sukladno članku 28. Opće uredbe o zaštiti podataka temeljem ugovora ili drugog pravnog akta povjerio obavljanje točno određenih poslova obrade osobnih podataka izvršitelju obrade (primjerice: društvu/agenciji za naplatu potraživanja) koji tu obradu provodi u ime voditelja obrade, takva obrada je zakonita odnosno sukladna članku 6. Opće uredbe o zaštiti podataka.
b) Prijenos tražbina s jednog vjerovnika na drugog vjerovnika putem ugovora o cesiji.
Osim navedenog, zakonita osnova za obradu osobnih podataka od strane društva/agencije za naplatu potraživanja, sukladno članku 6. Opće uredbe o zaštiti podataka mogao bi predstavljati poseban zakon, Zakon o obveznim odnosima („Narodne novine“, broj: 35/05, 41/08, 125/11, 78/15 i 29/18).
Naime, člankom 80. Zakona o obveznim odnosima reguliran je ustup tražbine (cesija) kao ugovor u kojem se tražbina s jednog vjerovnika može prenijeti na drugog vjerovnika, dok je člankom 82. istog zakona propisano da za ustup tražbine nije potreban pristanak dužnika, već je ustupitelj tražbine dužan obavijestiti dužnika o ustupanju.
S tim u vezi navodimo da sam ustup tražbine pretpostavlja i dostavljanje (obradu) osobnih podataka, odnosno ustupanje nije provedivo u praksi ako novi vjerovnik ne zna prema kome ima svoje novostečeno pravo potraživanja. Dakle, provedba instituta cesije nije moguća bez prosljeđivanja osobnih podataka.
Slijedom navedenog, a pod pretpostavkom da se radi o valjanom pravnom poslu sukladno odredbama Zakona o obveznim odnosima (cesiji, otkupu potraživanja i sl.) između voditelja obrade (primjerice: banke/teleoperatera) i nekog društva/agencije za naplatu potraživanja u svrhu naplate dospjelih, a nenaplaćenih tražbina, obrada osobnih podataka od strane društva/agencije za naplatu potraživanja odnosno novog vjerovnika je zakonita.
Nadalje, ističemo kako se informacije o prethodno navedenom odnosno o povjeravanju određenih poslova izvršitelju obrade ili prijenosu tražbina na drugog vjerovnika često nalaze u samom ugovoru, Općim uvjetima poslovanja ili nekom drugom aktu koji klijente/korisnike u potpunosti obvezuje, a što sukladno člancima 13. i 14. Opće uredbe o zaštiti podataka predstavlja informiranje klijenata/korisnika.
Također, naglašavamo kako je sukladno svojim zakonskim ovlastima Agencija za zaštitu osobnih podataka nadležna za praćenje i provođenje primjene Opće uredbe o zaštiti podataka u vezi sa obradom osobnih podataka te sukladno svojim ovlastima nije nadležna za tumačenje posebnih postupaka pred za to nadležnim tijelima koji se vode sukladno posebnim propisima (primjerice: utvrđivanje visine konkretnog duga odnosno tražbine).
Zaključno, za svaku obradu osobnih podataka mora postojati relevantna zakonita osnova iz članka 6. Opće uredbe o zaštiti osobnih podataka te izričita, zakonita svrha u koju se osobni podaci obrađuju, a voditelj i izvršitelj obrade su dužni, sukladno članku 32. Opće uredbe o zaštiti podataka provoditi odgovarajuće tehničke i organizacijske mjere kako bi se osigurala odgovarajuća razina sigurnosti osobnih podataka. Vezano uz navedeno, voditelj ili izvršitelj obrade su prilikom komunikacije s klijentom/korisnikom u obvezi nedvojbeno utvrditi njegov identitet kako ne bi došlo do zlouporabe osobnih podataka, a što nužno podrazumijeva davanje/obradu osobnih podatka.
Pri tome bi voditelj i izvršitelj obrade trebali poštivati pravo na privatnost u širem smislu te savjesno, pouzdano i odgovorno obrađivati samo osobne podatke stvarnog dužnika, a ne trećih osoba.
Image by jcomp on Freepik
#gdprcroatia
