Jesu li banke i HROK prekršile zakon? Registar o dužnicima nije postojao, no banke su ipak bez izričite suglasnosti građana prikupljale i razmjenjivale podatke!

Zbog stupanja na snagu Opće uredbe o zaštiti podataka (GDPR) EU u svibnju 2018. Hrvatski registar obveza po kreditima (HROK) "privremeno je zastao s razmjenom podataka i izdavanjem kreditnih izvješća za građane". HROK je pak nastavio izdavati izvješća za pravne osobe, ali je prestao za obrte, OPG-ove, slobodna zanimanja i građane.

To u prijevodu znači da su banke, korisnici HROK-a, i dalje imale uvid (iako nešto suženiji) u liste dužnika i neurednih platiša, a da građani nisu niti znali da se o njima i dalje ti podaci vode.

HROK je te podatke nazvao informatičkim DOR-sustavom (Dospjele obveze u roku) i javno objavio njegovu uporabu u kolovozu 2019., iako su ga neke banke, primjerice OTP banka, prema podacima dostupnima redakciji portala Direktno, koristile još od srpnja 2018. godine, odnosno nastavile su, prema informaciji iz jedne od banaka međusobno razmjenjivati podatke iako je formalno HROK zastao s radom. Posljednjih pola godine većina uključenih banaka nije odobravala kredite građanima bez uvida u DOR sustav.

U DOR sustav uključena je većina hrvatskih banaka, a na toj "suženoj" crnoj listi, kako doznajemo, nalaze se oni klijenti koji su nekoj od financijskih institucija ostali dužni najmanje 750 kuna ili 100 eura dulje od 60 dana.

Najnovijim Vladinim prijedlogom izmjena Zakona o kreditnim institucijama, koji je prije nekoliko dana upućen na raspravu u Hrvatski sabor, otvaraju se ponovno zakonske mogućnosti pokretanja punog registra kakav je nekad funkcionirao u okviru HROK-a, dakle tzv. crnih lista dužnika sa svim njihovim obvezama.

Problema ne bi trebalo biti za većinu građana niti sada, sve dok su podaci uneseni u DOR sustav ispravni.

Vrijede samo zahtjevi ovjereni kod javnog bilježnika

No problem nastaje ako jedna od banaka unese pogrešan podatak. Građanin tada ulazi u zamršenu i kompliciranu proceduru ispravljanja tog podatka, a kredit kojeg je tražio može zaboraviti.

I dok banke bez problema doznaju podatke iz DOR sustava, građanin može informacije o tome dobiti tek nakon što isključivo pisani zahtjev pošalje HROK-u i to prethodno ovjeren kod javnog bilježnika! HROK nema šaltere i neposredno podnošenje zahtjeva građana nije moguće. Moguće im se obratiti telefonskim putem ili elektronički, no zahtjev za uvid u podatke na taj način nije moguće podnijeti!

Odbijanje zahtjeva građana i kompliciranje postupka

Moguće je da takav zahtjev u njegovo ime podnese banka u kojoj građanin ima otvoren račun, no većina banaka o tome ne zna ništa, odnosno ne zna da su dužni takav zahtjev zaprimiti i proslijediti HROK-u. U slučaju građana, podaci poznati redakciji portala Direktno, u Raiffeisen banci su tvrdili da takav zahtjev ne mogu podnijeti sve dok se građanin nije ponovno obratio HROK-u I dok iz HROK-a nisu izravno kontaktirali Raiffeisen banku da mora primiti takav zahtjev klijenta, on nije bio niti proslijeđen HROK-u.

Unatoč tome danima se ništa nije događalo, jer su iz RBA tražili i dodatnu potvrdu klijenta putem internetskog servisa banke da stvarno to traži, iako je podnio pisani zahtjev. Da se radilo o starijoj osobi, koja nije dovoljno upoznata s mogućnošću korištenja interneta, takav zahtjev se očito ne bi niti proveo.

HROK ne odgovara za netočne podatke unesene u DOR sustav, već za ispravak ili korekciju građane upućuje na instituciju koja je takav podatak unijela u sustav.

Zanimljivo je da banke od građana nisu tražile privolu, tj. suglasnost za razmjenu podataka u DOR-sustavu.

OTP banka: Suglasnost građana za obradu i razmjenu podataka klijenta nije nužna

Silvija Bareša iz Odjela za korporativne komunikacije OTP banke za portal Direktno istaknula je kako "vezano za razmjenu podataka u DOR sustavu, za obradu podataka klijenta nije potrebna suglasnost/privola, već se obrada temelji na legitimnom interesu svih korisnika sustava u svrhu procjene sposobnosti klijenata za urednom otplatom obveze kako bismo smanjili i/ili izbjegli rizik loših plasmana i prezaduženosti klijenata, a sve s ciljem unaprjeđenja upravljanja kreditnim rizicima, što je jedna od ključnih regulatornih obveza. Ako se ispune svi preduvjeti za razmjenu podataka u DOR sustavu, OTP banka kao jedan od korisnika, u obvezi je obrađivati osobne podatke na način da razmjenjuje podatke o neispunjavanju dospjelih obveza s drugim korisnicima tog sustava".

U HROK-u, među ostalim, u odgovoru na upit portala Direktno tvrde kako su "prilikom ustrojavanja DOR sustava poštovani svi zahtjevi Opće uredbe o zaštiti podataka te drugih relevantnih propisa koji uređuju zaštitu osobnih podataka".

Izlažu li se banke i HROK tužbama građana zbog prikupljanja podataka bez njihove privole?

Iz HROK-a odgovaraju kako je "HROK izvršitelj obrade pa obradu u DOR sustavu provodi u ime kreditnih i financijskih institucija, kao zajedničkih voditelja obrade. Za točnost podataka koji se unose u DOR sustav odgovaraju kreditne i financijske institucije koje su voditelji obrade. Obrada podataka u DOR sustavu ne odvija se na temelju privole klijenta, nego na temelju legitimnog interesa kreditnih i financijskih institucija da razmjenjuju podatke o svojim klijentima koji nisu ispunili dospjele obveze u roku kako bi kvalitetnije upravljali kreditnim rizicima te smanjivali, odnosno izbjegavali rizike loših plasmana i prezaduženosti klijenata."

HNB: HROK nije pod nadzorom Hrvatske narodne banke

O (ne)legalnosti prikupljanja i razmjene podataka kontaktirali smo i Hrvatsku narodnu banku, koja odgovornost za poslovanje HROK-a prebacuje na Agenciju za zaštitu osobnih podataka, jer je, kako stoji u odgovoru HNB-a, "HROK privatno trgovačko društvo koje nije pod nadzorom Hrvatske narodne banke".

Dejana Rebernik, direktorica Direkcije za odnose s javnošću HNB-a, za portal Direktno istaknula je, među ostalim, kako "jedino AZOP može dati mjerodavnu ocjenu u pogledu poštivanja propisa o zaštiti osobnih podataka, odnosno za nadzor usklađenosti poslovanja subjekata s propisima o zaštiti osobnih podatka".

HNB ne obavlja procjenu kreditne sposobnosti niti vodi kreditni registar, zaključila je.

Iz Agencije za zaštitu osobnih podataka, do zaključenja ovog teksta, nisu odgovorili na ponovljene upite portala Direktno o zakonitosti ovakvih registara.