U sizifovskom nastojanju da stane ukraj galopirajućoj pošasti zloupotrebe ličnih podataka kao jednog od najizraženijih nusprodukata globalizacije i tehnološkog napretka, Evropska unija još prije dvije i po godine donijela je Opću uredbu o zaštiti podataka (GDPR), koja se u svim EU članicama primjenjuje od 25. maja 2018.
Jedna od industrija najizloženijih odredbama GDPR-a je bankarstvo, unatoč relativno dugom periodu od usvajanja do primjene Uredbe, s njenim odredbama praktično se usklađuje “u hodu“, budući da su neke od njih u priličnom neskladu sa bankarskom praksom i poslovnom logikom, što se posebno odnosi na pravo banaka da provjeravaju kreditnu sposobnost klijenata.
Mada Bosna i Hercegovina nije članica EU, GDPR se itekako odnosi i na njen bankarski sektor, s obzirom na činjenicu da je mahom sastavljen od banaka čije su matice u nekoj od evropskih zemalja.
Zakonske izmjene
Uz podsjećanje da je pokrenut postupak usaglašavanja državnog Zakona o zaštiti ličnih podataka sa GDPR-om, odnosno da je pripremljen nacrt novog zakona koji čeka upućivanje u parlamentarnu proceduru, Petar Kovačević, direktor Agencije za zaštitu ličnih podataka (AZLP) u BiH, konstatira da “već postoji određeni utjecaj Opće uredbe na domaće kontrolore osobnih podataka koji posluju na teritoriji EU, kao i na same građane, neovisno od usklađivanja domaćeg zakonodavstva“.
“Prema tome, iz perspektive banaka kao kontrolora osobnih podataka, jasno je da će GDPR imati određeni utjecaj na njih iako još nije donesen novi Zakon o zaštiti osobnih podataka u BiH koji odražava odredbe GDPR-a.
Naime, prema članku 3. Uredbe proizlazi da će se ona primjenjivati na obradu osobnih podataka u okviru aktivnosti poslovnih subjekata sa sjedištem u Uniji, neovisno od toga da li se obrada osobnih podataka vrši u Uniji ili ne. Znači, ukoliko kontrolor podataka sa sjedištem u Uniji ima poslovne ogranke i u BiH ili na bilo koji način pruža usluge građanima u BiH, onda će se ovi propisi primjenjivati i na građane BiH.
S druge strane, prema istom članku Uredbe (stavak 2), firme iz BiH koje posluju na prostoru Unije ili nude robe ili usluge građanima Unije, dužne su primjenjivati Uredbu. Navedeno se odnosi i na banke u BiH. Stoga, banke kao kontrolori podataka, već imaju obvezu da procijene što već mogu primjenjivati iz Opće uredbe o zaštiti podatka, te obavezu da primjenjuju novitete koje donosi GDPR, a koji nisu u suprotnosti sa trenutnim zakonodavstvom iz oblasti zaštite osobnih podataka u BiH.
Sukladno navedenom, banke kao kontrolori podataka imaju i obavezu da procijene zakonitost provjeravanja kreditne sposobnosti klijenata prema GDPR-u, što uvelike diktira i njihov poslovni odnos sa EU pravnim subjektima i državljanima“, pojašnjava Kovačević za Business magazine.
U entitetskim agencijama za bankarstvo, s druge strane, potcrtavaju da je pitanje zaštite ličnih podataka u suštini van njihove nadležnosti i regulirano je relacijom banke – AZLP, te se u skladu s tom činjenicom ograničavaju na ukazivanje na potrebu što bržeg usaglašavenja domaće legistlative sa GDPR-om.
“Važeći Zakon o zaštiti ličnih podataka koji se primjenjuje u BiH evidentno nije usaglašen sa novom i aktuelnom Uredbom o zaštiti ličnih podataka, a koliko smo informisani, radi se na usaglašavanju Zakona sa EU standardima.
Agencija za bankarstvo FBiH, saglasno svojim nadležnostima i ovlaštenjima, kontinuirano prati promjene regulatornog okvira EU i kakve efekte implementacija ima na bankarski sistem. Uloga Agencije je prvenstveno zaštita stabilnosti bankarskog sektora i deponenata, kao i postupanje subjekata bankarskog sistema, nezavisno od promjene našeg zakonodavnog okvira.
Osim Zakona i Uredbe, lični podaci su ujedno zaštićeni i kroz obavezu banaka na čuvanje bankovne tajne u skladu sa Zakonom o bankama, prema kojoj je banka dužna čuvati sve podatke, činjenice i okolnosti koje je saznala na osnovu obavljenih poslova sa pojedinim klijentom.
Saglasno navedenom, očekujemo da će nova Uredba EU svakako imati utjecaja na buduće obaveze u postupanju subjekata bankarskog sistema, ali i drugih pravnih lica i građana u BiH. Naglašavamo da je potrebno važeći Zakon uskladiti sa Uredbom, a Agencija će dati svoj doprinos u procesu prilagodbe subjekata bankarskog sistema novoj EU regulativi“, poručuju iz Agencije za bankarstvo FBiH u izjavi za Business magazine.
U kojem obimu i na koji konkretan način se na poslovanje bh. banaka u proteklih nekoliko mjeseci odrazila primjena GDPR-a, pitanje je na koje domaći bankari odgovaraju mnogo konkretnije nego regulatori, s tim što se njihova iskustva, ovisno o vlasničkoj strukturi i poslovnoj politici, međusobno poprilično razlikuju. Kada je, pak, riječ o pravu banaka da provjeravaju kreditnu sposobnost klijenata, segmentu zaštite ličnih podataka u vezi s kojim je bilo najviše nedoumica prilikom početka primjene GDPR-a, evidentno je da se na tom planu situacija još ni izbliza nije iskristalizirala i da je i dalje nejasno kakvi su u tom kontekstu prava i obaveze banaka i njihovih klijenata.
“Sparkasse Bank BiH nema predstavništva na području EU te bankarske usluge pruža klijentima kroz svoju mrežu poslovnih jedinica isključivo na području BiH, u skladu sa zakonskim regulativama naše zemlje. U toku su aktivnosti na usklađivanju domaćeg zakonskog okvira za zaštitu ličnih podataka sa zahtjevima GDPR-a, nakon čega će GDPR postati obavezujući standard za sve obrađivače i kontrolore podataka u BiH.
Sparkasse Bank posebnu pažnju posvećuje zaštiti ličnih, kao i svih drugih povjerljivih podataka o svojim klijentima koji predstavljaju bankarsku tajnu, primjenjujući pri tom tehničke, organizacijske i sve druge mjere zaštite podataka u skladu sa zahtjevima iz Zakona o zaštiti ličnih podataka i Zakona o bankama. U skladu sa važećim propisima, Centralna banka BiH je ta koja vodi Centralni registar kredita (CRK) koji sadrži podatke o kreditnim zaduženjima pravnih i fizičkih lica u BiH koja su realizirana u finansijskim institucijama. Korisnici podatke iz Centralnog registra kredita mogu koristiti isključivo uz pisanu saglasnost poslovnih subjekata i fizičkih lica“, kažu za naš magazin iz Sparkasse Bank BiH.
“S obzirom na to da Raiffeisen banka ima glavno sjedište u EU te da obrađuje lične podatke građana EU, obavezna je da se uskladi sa GDPR-om.
Raiffeisen banka je već 80 posto usklađena sa ovom uredbom i to kroz Zakon o zaštiti ličnih podataka. Dodatno, Banka je sa GDPR-om uskladila i glavne aktivnosti obrade, te sigurnosno-tehničke mjere na zaštiti ličnih podataka. Usklađenost Raiffeisen banke sa GDPR-om se očituje, kako kroz tehničku zaštitu podataka, tako i kroz politike i procedure te implementirane kontrole i edukaciju.
GDPR ne utiče na proces dostave podataka u CRK i njihovog povlačenja u svrhu provjere kreditne sposobnosti klijenata od strane banaka, s obzirom na to da njega propisuje Centralna banka i reguliraju ga Zakon o zaštiti ličnih podataka, Zakon o izmjenama i dopunama Zakona o zaštiti ličnih podataka, kao i Uredba 2016/679 Evropskog parlamenta i Vijeća“, naglašavaju iz Raiffeisen Bank BiH u izjavi za naš magazin.
Iz Sberbank BH, također, pojašnjavaju da se GDPR nije odrazio na procedure provjere kreditne sposobnosti klijenata, ali da Banka već uveliko radi na potpunom usklađivanju svog poslovanja s tim evropskim propisom.
“Sberbank BH, kao banka koja djeluje i nudi svoje usluge na teritoriju BiH, dužna je da prati lokalnu legislativu, odnosno Zakon o zaštiti ličnih podataka BiH i da postupa po uputama i smjernicama Agencije za zaštitu ličnih podataka u BiH.
Bez obzira na te činjenice, lokalni zakon će u dogledno vrijeme biti usklađen sa GDPR-om te je Sberbank BH pokrenula aktivnosti oko usklađivanja internih procedura, politika koje tretiraju obradu ličnih podataka, incidentno izvještavanje u slučaju curenja podataka, kao i rad na izmjeni članova ugovora sa klijentima. Također, Sberbank BH vrši pripremne aktivnosti vezane za funkcionalnosti u informacionom sistemu koje će omogućiti implementaciju pseudonimizacije ličnih podataka, brisanje podataka na zahtjev vlasnika podatka kao i funkcionalnost Data Loss Preventiona“, najavljuju iz Sberbank BH, dok
Selma Omić, članica Uprave Addiko banke BiH, precizira da je, sa aspekta te banke, osnovni efekat GDPR-a “sveobuhvatno unapređenje mjera zaštite ličnih podataka koje traje ne samo posljednjih nekoliko mjeseci, nego posljednje dvije godine, otkako je GDPR usvojen“.
“U tom periodu, Addiko banka poduzela je brojne korake i na lokalnom nivou provela grupni projekt implementacije GDPR-a, te je time sigurnost podataka koje obrađuje, i to prevashodno ličnih podataka koje su nam klijenti povjerili, podigla na visok nivo sa tendencijom da taj kvalitet održimo pa i unaprijedimo.
Poslovanje je usljed navedenog postalo donekle složenije, ali naš temeljni princip rada – straightforward bankarstvo, nije i neće biti promijenjen“, ističe Omić, uz opasku da na polju kreditiranja, odnosno prava i obaveza Banke i klijenata koje podrazumijeva taj proces, GDPR za sada praktično nije imao nikakvog uticaja ni u slučaju Addiko Bank.
“U Bosni i Hercegovini, za razliku od susjedne Hrvatske, početak primjene GDPR-a nije značajno promijenio proces kreditiranja i nije doveo u pitanje pravo banaka da provjeravaju kreditnu sposobnost kroz Centralni registar kredita.
Dakle, nije došlo do zastoja u procesu kojeg je nakratko uzrokovalo zaustavljanje rada HROK-a (Hrvatski registar obveza po kreditima), ali se svakako može očekivati da na tom planu dođe do korjenitih promjena sa novom regulativom zaštite ličnih podataka na kojoj trenutno radi AZLP, a koja će približiti i uskladiti domaće zakonodastvo s GDPR-om.
Promjene bi svakako mogle podrazumijevati i ukidanje ili značajnu transformaciju načina rada Centralnog registra kredita, što bi vodilo s jedne strane reduciranju sposobnosti banaka da provedu adekvatnu provjeru kreditne sposobnosti klijenata, a s druge strane mogućem poskupljenju kredita usljed povećanog rizika.
Detaljnije o konkretnijim efektima za BiH u ovom trenutku je možda isuviše rano govoriti ili iznositi ozbiljnije prognoze“, zaključuje Omić u izjavi za Business magazine.
Sudeći po navedenim stavovima domaćih bankara, može se primijetiti da je, imajući u vidu spomenute probleme proizašle iz GDPR-a koje imaju u susjednoj Hrvatskoj, prava sreća u nesreći što Bosna i Hercegovina nije ni blizu članstva u Evropskoj uniji. Naime, evidentno je da su se briselski administrativci previše zaigrali u nastojanju da maksimalno zaštite lične podatke stanovnika Evropske unije, pa su u GDPR uvrstili i neka ograničenja upitne svrsishodnosti i još upitnije primjenjivosti. U prilog tome najbolje govori činjenica da je HROK još 25. maja ove godine, na dan početka primjene GDPR-a, privremeno prestao izdavati kreditne izvještaje za građane i fizička lica koja obavljaju poslovnu djelatnost (obrti, porodična poljoprivredna gazdinstva i slobodna zanimanja) te razmjenu podataka o kreditnoj historiji ograničio isključivo na pravna lica.
Hrvatsko iskustvo
“U tehničkoj i regulatornoj prilagodbi svog poslovanja, HROK želi otkloniti svaku potencijalnu nejasnoću u budućoj primjeni GDPR-a te će nastaviti s poslovanjem u punom opsegu svoje registrirane djelatnosti odmah nakon zadovoljavajuće prilagodbe novom propisu.
U tom smislu valja spomenuti kako se GDPR počinje istovremeno primjenjivati u čitavoj EU, te su tako u izostanku pravne i poslovne prakse, nužne zbog kompleksnosti procesa usklađivanja sa GDPR-om, jednako kao i visine zapriječenih kazni, Austrija i Francuska odlučile u prvim mjesecima primjene GDPR-a odgoditi kažnjavanje i usmjeriti se na dodatne provjere i edukacije.
Također, s radom prestaje Sustav razmjene informacija o klijentima koji nisu ispunili svoju dospjelu obvezu u roku, koji je organiziran pri Hrvatskoj udruzi banaka, kako bi nakon završetka procesa prilagodbe novom europskom pravu HROK nastavio s radom u punom opsegu razmjene podataka potrebnih za zaštitu od kreditnog rizika i za građane, te će o tome pravodobno obavijestiti javnost“, navodi se u HROK-ovom obrazloženju tog ograničenja, koji je na snazi i danas.
U međuvremenu, hrvatski bankari, situaciji se prilagođavaju putem internih modela procjene kreditnog rizika, pri čemu se na tržišnu pozornicu na mala vrata vraća mehanizam žiranata, koji je i u toj zemlji, baš kao i u BiH, bio gotovo iščezao usljed brojnih zloupotreba od strane korisnika kredita koji su do prosjačkog štapa doveli hiljade lakovjernika koji su garantirali za povrat njihovih zajmova. Uzimajući u obzir i tu činjenicu, teza o sreći u nesreći dobija dodatnu argumentaciju, a pozitivnu konotaciju poprima čak i hronična sporost bh. zakonodavnih vlasti, kojima će, posebno s obzirom na predstojeći postizborni vakuum, trebati još mjeseci, pa možda i godine, da usklade domaće zakone sa odredbama GDPR-a, tokom kojih će u odnosima banka – klijent vladati status quo koji će i jednima i drugima olakšati plasman, odnosno podizanje komercijalnih bankarskih kredita na kojima, budući da među njima prevladavaju nenamjenski krediti stanovništvu, već decenijama počiva opstanak ne samo domaće privrede, nego i bh. društva u cjelini…
