AZOP (Croatia) - Decision 13-03-2020

From GDPRhub
AZOP - credit institution decision
LogoHR.png
Authority: AZOP (Croatia)
Jurisdiction: Croatia
Relevant Law: Article 15(1) GDPR
Article 15(3) GDPR
Type: Investigation
Outcome: Violation Found
Started:
Decided: 13.03.2020
Published:
Fine: n/a
Parties: n/a
National Case Number/Name: credit institution decision
European Case Law Identifier: n/a
Appeal: n/a
Original Language(s): Croatian
Original Source: AZOP (HR) (in HR)
Initial Contributor: n/a

The Croatian Personal Data Protection Agency (the AZOP) imposed a fine on a bank which failed to answer to a subject acess request and thus, infringed Article 15(3) GDPR .

English Summary

Facts

the AZOP received complaints from citizens against private Bank. The complainants exercices their right of access under Article 15 GDPR and requested copies of credit documentation (e.g. book keeping card, repayment plan, an annex to the loan agreement, review of changes in interest rates).

The Bank refused to grant the access of the requested documentation. The latter stated that according to the Consumer Credit Law and other special regulations, the documentation requested did not contained but only documents related to credits and loans.

Following to the complaint, the AZOP established that the requested documents contained personal data and investigated the matter, by virtue of Article 58 GDPR.

Dispute

Should Article 15 GDPR apply to fiancial documentation?

Holding

Despite several orders which have been previously issued (34 decisions), the Bank infringed the data subjects' rights. While deciding about the amount of the fine, the AZOP was applied Article 83 (1) GDPR: the described conduct of the Bank resulted in a serious violation of the data subjects' rights - regulated by art. 83 (5) (b) –. It has been established that: the Bank knowingly and intentionally acted; it has not been an isolated case; the longer duration of the violation; it has not made any efforts to mitigate any possible consequences and risks for rights and freedoms of data subjects; the access to personal data has not been made possible even after individual decisions. It was pointed out that by not responding to the requests, the Bank directly avoided certain financial expenses that could be considered to be material gain to the detriment of the data subjects. It was also taken into account that no violations of the Regulation have been established so far, as well as the degree of cooperation with the AZOP.


Comment

Further Resources

Share blogs or news articles here!

English Machine Translation of the Decision

The decision below is a machine translation of the Croatian original. Please refer to the Croatian original for more details.

Sažetak
Agencija za zaštitu osobnih podataka (AZOP) je 13. ožujka 2020. objavio kako je izrekao upravno novčanu kaznu Banci zbog povrede članka 15. stavka 3. GDPR-a, odnosno nije osigurao kopiju osobnih podataka koje obrađuje.
Naime, još od listopada 2018. AZOP je zaprimao pritužbe građana u kojima navode da su se obraćali Banci sa zahtjevom za dostavom podataka. Građani su tražili dostavu kreditne dokumentacije koja se odnosi na sklopljene ugovore o kreditu u švicarskim francima. Tražili su pristup svojim osobnim podacima temeljem čl. 15. st. 1. i 3. GDPR, odnosno dostavu kopija kreditne dokumentacije (npr. knjigovodstvena kartica, otplatni plan, aneks ugovora o kreditu, pregled promjena kamatnih stopa).
Banka je odbila ispitanicima omogućiti pristup osobnim podacima i dostavu tražene dokumentacije, navodeći da prema Zakonu o potrošačkom kreditiranju i ostalim posebnim propisima ne radi se o pristupu osobnim podacima, već o kreditnoj dokumentaciji za koju nema obveze dostavljanja jer se radi o otplaćenim kreditima.
U postupku je utvrđeno kako  dokumentacija, čija je dostavu zatražena, sadrži osobne podatke te su sukladno čl. 57. i 58. GDPR donesena rješenja u kojima je Banci naložena dostava dokumentacije.
Banka zaprimila znatno veći broj zahtjeva (2577) ispitanika kojima je također uskraćeno  pravo na dostavu kopija osobnih podataka, zbog čega se AZOP proveo postupak po službenoj dužnosti.
Primarni razlog za izricanje upravno novčane kazne leži u činjenici kako, niti nakon već prethodno donesenih naloga u 34 rješenja Banka nije ispoštovala prava ispitanika.
Prilikom odmjeravanja visine kazne, AZOP se vodio kriterijima  koji su izrijekom propisani u čl. 83.  st. 1. GDPR; opisanim postupanjem Banke došlo do teže povrede prava ispitanika koja je regulirana čl. 83. st. 5. b) za čije kršenje je propisana kazna do 20m EUR.
Utvrđeno je da je Banka prilikom navedenog kršenja obveze iz Uredbe postupala svjesno i s namjerom, da se ne radi o izoliranom slučaju, kao i o dužem vremenskom trajanju same povrede, da nije  aktivno uložila napor za ublažavanje eventualno mogućih nastalih posljedica i rizika za prava i slobode, te da pristup osobnim podacima nije omogućen niti nakon donošenja pojedinačnih rješenja kojima je  naloženo omogućavanje ostvarivanja prava. Istaknuto je kako je navedenim ne postupanjem po zahtjevima ispitanika Banka izravno izbjegla određene financijske troškove koji se mogu smatrati stjecanjem imovinske koristi na štetu ispitanika. Uzeto je u obzir i da do sada u Banci nije utvrđena povreda odredbi Uredbe, kao i stupanj suradnje s AZOP-om.