Dva su nedavna događaja potvrdila da i u Hrvatskoj postajemo svjesni važnosti odredbi o zaštititi osobnih podataka građana (tzv. GDPR). Još je u tijeku rješavanje najvećeg sigurnosnog incidenta, curenja osobnih podataka vlasnika svih registriranih vozila u zemlji, pri čemu je ukradeno više od 2,4 milijuna zapisa o vozilima, imenima vlasnika, adresama i OIB-ima.

Drugi par excellence događaj bio je kada je AZOP lani izrekao novčanu kaznu agenciji za naplatu potraživanja B2 KAPITAL u iznosu od 2,3 milijuna eura, zbog povrede odredbi o GDPR-u.

No, da igara s osjetljivim osobnim podacima građana ima i dalje potvrđuje i skandalozni slučaj koji je isplivao na parkiralištu velikog trgovačkog lanca Lidl, na lokaciji u Oreškovićevoj 3 u Novom Zagrebu.

Pokazalo se da za Lidl novi sustav naplate obavlja privatna tvrtka Poslovni sistemi Tilia po modelu koji inače postoji, ali on se primjenjuje samo za javne površine gdje postoji javni interes i za koje su lokalne vlasti i MUP regulirali svoj odnos, no koji nikako ne može vrijediti, zbog GDPR-a, za tvrtke poput Lidla gdje postoji isključivo privatni interes.

Da jest riječ o skandalu potvrđuje i da AZOP provodi nadzor, ali još važnije istragu provodi i MUP, njegovi krim inspektori. Naši upiti pokrenuli su lanac nadzora i provjera, a MUP je Tiliji onemogućio daljnju uslugu korištenja web-servisa MUP-a.

Do sada je sustav naplate parkiranja na Lidlu bio uhodan i jednostavan, na ulazu je postojala rampa, kupci su mogli parkirati besplatno sat i po do dva sata, a ako su ostajali duže, na automatu se mogao platiti dodatni parking. Preko noći su rampe maknute, stavljena dva ležeća ‘policajca’ i kamere, a na ulazu je istaknuta samo kratka obavijest da je parking besplatan 60 minuta.

Tek na izlazu postavljena je slabo uočljiva obavijest sa sitnim slovima, koju je teško pročitati iz auta, a koja objašnjava kako putem SMS-a platiti parking, s cijenom od 3 eura po satu, a u protivnom kazna, tzv. dnevna karta, iznosi 30 eura. Obavijest je, uzgred, pisana samo na hrvatskom jeziku. Oni koji nisu shvatili novi sustav, postao im je jasan kad im je na kućnu adresu nakon svega nekoliko dana stigao dopis Tilije, odnosno uputa za plaćanje.

Ono što je zaprepastilo svakog tko je dobio takav dopis je što osim registracije, imena i adrese u dokumentu stoji i potpuni OIB ‘kažnjenika’. I tu priča kreće. Kako je moguće da mala privatna tvrtka iz zagrebačkih Remeta s dva zaposlenika i prihodom od 865 tisuća eura ima uvid u ono što je GDPR-om strogo zaštićeno, kompletne podatke i OIB građana?

Poznata zagrebačka odvjetnica, koja je specijalizirana upravo za problematiku GDPR-a, u prvoj minuti razgovora za Poslovni dnevnik i Večernji list ustvrdila je da je riječ o beskrupuloznom kršenju GDPR-a jer ovdje ne postoji javni interes, nego samo privatni interes.

Samo za javne površine
Ta njezina tvrdnja, da nema zakonitog načina da Tilia za privatno parkiralište dobije uvid u osobne podatke građana, i to putem MUP-a, ubrzo se pokazala u cijelosti točna. Tilija i slične tvrtke koje se bave nadzorom i naplatom parkiranja, takav sporazum mogu dobiti samo kao tvrtke koje ovlaste gradovi i općine ili javne ustanove za svoja parkirališta. No, kada takva tvrtka koristi činjenicu da je u MUP-u na popisu onih koji imaju pravo na korištenje tog posebnog web-servisa, a osobne podatke traži za kršitelje na privatnom parkiralištu, onda je riječ o zlouporabi.

Na Lidlovim web-stranicama stoji obavijest “o obradi osobnih podataka prilikom korištenja Lidl parkirališta na kojima uslugu organiziranja i naplate parkiranja vrši poslovni partner Poslovni sistemi TILIA doo”.

U obavijesti se kaže da Tilia na temelju sklopljenog sporazuma s MUP-om za one korisnike koji nisu platili parking dostavlja MUP-u registarsku oznaku automobila (za koju je izdana tzv. dnevna parkirališna karta od 30 eura), i onda MUP Tiliji dostavlja prezime i ime vlasnika, adresu, OIB vlasnika vozila.

To se odnosi i na korisnike leasing vozila. Potaknuti tvrdnjom iskusne odvjetnice, da tu sigurno ima zlouporabe, obratili smo se najprije AZOP-u, s pitanjem radi li se ovdje o kršenju zakona o osobnim podacima. Vrlo brzo stigao je odgovor: “AZOP provodi nadzorno postupanje kako bi utvrdili zakonitost odnosno načine obrade osobnih podataka u konkretnom slučaju. Slijedom navedenog, pri završetku postupanja obavijestit ćemo vas o utvrđenom”.

U samom početku priče, inače, i u MUP-u i u AZOP-u bili su prilično rezervirani prema temi, ali se ispostavilo da je netko lansirao informaciju kako je tu sve u redu jer je Lidlov parking u vlasništvu Grada Zagreba, dakle, da je riječ o javnoj površini. Brza provjera u zemljišne knjige dokazala je da je to izmišljotina, jer je Lidlov parking u privatnom vlasništvu te tvrtke.

U službenom odgovoru MUP-a našim redakcijama vezano uz konkretan slučaj navedeno je, pak, kako MUP nema sklopljen sporazum s PS Tilia, koji bi se odnosio na dodjeljivanje ovlasti da koristi njihov web-servis za naplate parkirališnih kazni za potrebe Lidla. Potvrđuju da su nadležne službe Ravnateljstva policije odmah započele s provjerama te da se provode policijski izvidi “zbog postojanja sumnje na nedozvoljenu uporabu osobnih podataka”.

Potvrđuju i kako je Tiliji onemogućena daljnja usluga korištenja podataka iz njihovog web-servisa. Ono najvažnije, a što potvrđuje da takve igre skrivača i mogućih zlouporaba ima još, istaknuto je na kraju odgovora MUP-a, s informacijom da su njihove službe započele i dodatne provjere svih sporazuma koje MUP ima sklopljene s pravnim osobama, a čiji sadržaj se odnosi na korištenje web-servisa, vezano uz poslove parkinga.

Dakle, češljaju i provode reviziju tog svog servisa. U neslužbenim razgovorima, u MUP-u ne kriju da su revoltirani saznanjem da ih netko vuče za nos, koristi njihove kapacitete i usluge za privatnu zaradu, skrivajući da se ovdje ne radi niti o javnom interesu niti o javnom parkiralištu. A revizija je potrebna jer je očito posrijedi biznis oko kojega se počinju vrtjeti veliki novci.

Iz MUP-a nam je potvrđeno da su u komunikaciji oko istrage i s AZOP-om, te odgovornim osobama u Lidlu, kao i drugim privatnim korisnicima koji također angažiraju Tiliju oko istog posla, poput primjerice Kauflanda.

Bez odvjetnika jeftinije
Dok u Tiliji još nisu bili svjesni da je MUP pokrenuo istragu, redakciji PD-a i VL-a stigao je i odgovor iz Tilije u kojemu Sabina Kufner, inače vlasnica i direktorica tvrtke (na kazni za Lidl potpisuje se i kao operater) navodi da je riječ o normalnom načinu poslovanja, da ovakav način naplate nije novost, ne primjenjuje se samo u Oreškovićevoj ulici, nego i cijeloj RH, te na parkinzima drugih trgovačkih lanaca. Potvrđuje i da Tilija pribavlja podatke o vlasnicima vozila jer ima sklopljen ugovor s Lidlom, a sve se to obavlja na temelju sporazuma s MUP-om. Upiti se šalju za svaku registraciju posebno.

Sabina Kufner dodaje i kako podatak o vlasniku vozila nije tajan podatak, te da u ime Tilije do njega može doći bilo koje odvjetničko društvo u RH. No, ona tako ne radi, jer je, ukratko, ovaj način, bez odvjetnika, jeftiniji za sve. U odgovoru Tilije kažu i kako sve rade za račun Lidla, no iz Lidla tvrde suprotno. Lidl ne ostvaruje prihode od naplate parkiranja, kažu u odgovoru, te pojašnjavaju kako njihova intencija nije komercijalne naravi, nego je namjera osigurati parking kupcima.

I tako se, dakle, otkriva zanimljiv poslovni odnos Tilije i Lidla, u kojem Tilija ubire na Lidlovom parkiralištu sve novce od parkinga i naplate kazni!? No, ono najvažnije je da se utvrdi tko, kako i zašto oštećuje prava građana o zaštiti njihovih osobnih podataka. GDPR je danas i u EU svetinja i otkrivanje tih podataka je strogo propisano. Ovaj slučaj, koliko god se na početku mogao činiti malen i jednostavan, mogao bi biti i prekretnica u hrvatskoj praksi i pristupu čuvanju i zaštitu osobnih podataka, a koji najmanje trebaju služiti kao predmet trgovanja zbog raznih komercijalnih interesa.