Agencija za zaštitu osobnih podataka (AZOP) odlučila je da banke ne smiju naplaćivati naknadu za dostavljanje kreditne dokumentacije klijentu banke jer time krše Opću uredbu o zaštiti osobnih podataka (GDPR). AZOP tumači da GDPR jamči klijentu da u svakom trenutku ima pravo na što lakši pristup svim dokumentima koji uključuju njegove osobne podatke, a naplata naknade, posebno kada je riječ o dužniku koji je terećen kreditom, predstavlja financijsku prepreku.
Riječ je o slučaju u kojem je dužnik koji je 2007. sklopio ugovor o stambenom kreditu u švicarskim francima s Raiffeisen bankom zatražio 2019. od banke svoju kreditnu dokumentaciju kako bi mogao pokrenuti tužbu za povrat preplaćenog duga. Dokumentacija obuhvaća Ugovor o kreditu i sve anekse ugovora, otplatni plan i prijepis knjigovodstvene kartice.
Za dostavu navedene dokumentacije Raiffeisen banka je prema svom cjeniku klijentu naplatila naknadu od 197 kuna. “Izrada i dostava ugovorne dokumentacije regulirana je specijalnim propisima o potrošačkom kreditiranju” i ne pripada u domenu GDPR-a te da prilikom prikupljanja i kopiranja dokumenata imaju određene administrativne troškove, obrazlažu u Raiffeisen banci, piše Jutarnji list.
AZOP pak smatra da je riječ o osobnoj dokumentaciji koju banka ne smije naplatiti jer korisnik mora imati pravo pristupa svojim osobnim podacima. Naplaćivanje naknade povreda je prava iz članka 15.3 Opće odredbe o zaštiti osobnih podataka u kojem se navodi da korisnik u svakom trenutku ima pravo pristupiti svojim osobnim podacima.
Banka mora osigurati kopiju podataka koji se obrađuju
Voditelj obrade podataka, u ovom slučaju to je banka, mora klijentu “osigurati kopiju podataka koji se obrađuju”, a banka može naplatiti “razumnu cijenu” tek ako korisnik traži dodatne kopije.
Osim toga, Opća uredba o zaštiti osobnih podataka u uvodnom dijelu propisuje da bilo koja institucija koja obrađuje podatke mora prilagoditi svoje mehanizme kako bi klijent imao što lakši pristup svojim osobnim podacima, navodi u odluci AZOP.
Naplata naknade dužniku nije olakšavajući mehanizam i banka je dužna klijentu u roku od 15 dana dostaviti njegovu dokumentaciju bez naknade, zaključuje AZOP.
U protivnom, banka bi trebala biti sankcionirana, a kazna za kršenje Opće uredbe o zaštiti osobnih podataka iznosi od 20 milijuna kuna do 4 posto ukupnog godišnjeg prometa. No, regulator može izreći i blažu kaznu, primjerenu prekršaju. A AZOP je, navodi Jutarnji, zbog iste stvari već kaznio jednu neimenovanu banku sa 100 tisuća kuna.
Nakon odluke AZOP-a postavlja se pitanje što je s naknadama za dostavu dokumentacije koju je Raiffeisen banka već naplatila. Procjenjuje se da je kreditnu dokumentaciju u posljednje dvije godine, otkako je GDPR na snazi, zatražilo nekoliko tisuća dužnika. Prema neslužbenim procjenama riječ je o oko milijun kuna naknada. Oni bi sada mogli zatražiti povrat uplaćene naknade, ali prvo bi morali zatražiti od AZOP-a mišljenje za svoj konkretan slučaj koje bi bilo pravni temelj za povrat.
Iako to nisu potvrdili, Raiffeisen banka će vjerojatno pokušati sudski osporiti odluku AZOP-a. A od dosadašnje prakse neće odustati: “Usluge banke su usklađene s relevantnim potrošačkim propisima i mi nastavljamo poslovati u skladu sa svim zakonima. S obzirom na to da rješenje nije prošlo sve zakonske instance, odluka će se donijeti po konačnoj odluci nadležnih tijela”.
