U svibnju je počela je provedba Uredbe o zaštiti podataka - famoznog GDPR-a - koja za takva kršenja nosi i drakonske kazne koje se mjere u milijunima eura.

Uredba je izazvala strah kod mnogih s obzirom da obvezu poštivanja imaju sve tvrtke i institucije koje posluju s bilo kakvim osobnim podacima, bez obzira jesu li u privatnom ili javnom sektoru. Priprema i prilagodba takvoj Uredbi nije kratka, nije laka, a nije ni jeftina pa su konzultanti za GDPR upozoravali da Hrvatska nije spremna. Nepunih pet mjeseci od kada je u primjeni, provjerili smo kako ide provedba.

Koliko je obveznika, odnosno jesu li svi prilagođeni?

Pitali smo to Agenciju za zaštitu podataka, krovno i nadzorno tijelo provedbe Uredbe koja je iz raznih razloga podigla brojne polemike.

AZOP odgovara da takav podatak zapravo ne postoji jer ne postoji obveza nikoga u privatnom i javnom sektoru da prijavljuje svoju usklađenost niti da Agencija ima ovlast vođenja takvog registra. Možda bi se nešto moglo zaključiti iz broja službenika za zaštitu podataka koje svaki obveznik mora imenovati. Međutim, AZOP u ovom trenutku provodi provjere i kaže da će s tim brojem izaći u javnost tek kada te provjere završe.

Prosječno 72 sata imaju tvrtke ili institucije da Agenciji prijave ako doznaju da je u njihovom sustavu bilo mogućih povreda. Tako je u ova četiri mjeseca od kada je Uredba na snazi, Agencija primila 24 izvješća, uglavnom privatnih tvrtki. Najviše je prijava išlo zbog pojave malware softvera u infirmacijskim sustavima društava, pa zatim pogrešno poslana pošta ili e-mailovi koji su sadržavali privatne podatke. Prijavljivale su se i krađe poslovnih laptopa na čijim je diskovima bila i dokumentacija koja je sadržavala osobne podatke.

Pritužbe građana

Agencija se bavi i pritužbama građana koji vjeruju da im je povrijeđeno pravo na zaštitu podataka. U ova četiri mjeseca stiglo je čak 500 takvih prijava. Uglavnom se građani žale da njihove podatke banke, osiguravajuća društva, tvrtke za naplatu potraživanja i slični - ne brišu. Uz to, prijavljuju se i problemi oko sklapanja lažnih pretplatničkih ugovora u sektoru telekomunikacija te krađe identiteta. Zatim pritužbe zbog videonadzora, korištenja podataka za marketing, ali i objave podataka na društvenim mrežama - prije svega onih koji se odnose na djecu. Građani se Agenciji žale i da im državne institucije krše pravo na zaštitu podataka. Te se prijave, prije svega, odnose na objavu podataka u javnim registrima - poput sudskog, zemljišnih knjiga, katastra i slično.

To su dakle dosadašnje prijave i pritužbe. No, je li po novoj Uredbi itko i kako kažnjen?

Još ne, kažu u Agenciji. Naime - za rješavanje svakog od predmeta potrebno je, objašnjavaju, određno postupanje za koje je pak potrebno određeno vrijeme. Drugim riječima, postupci su u tijeku. Uredbom je moguće za najteža kršenja izreći novčanu kaznu od čak 20 milijuna eura, međutim u Agenciji ističu kako je to najviša moguća kazna te da većina ipak neće biti niti približno tako visoka. Naime, pri odmjeravanju kazne, moraju se držati posebnih kriterija. Uz to, novčane kazne nisu jedine moguće: postoje i upozorenja, opomene ili nalaganje određenih mjera poput primjerice brisanja. U Agenciji tako ističu da će i te, druge vrste sankcija, sasvim sigurno koristiti.

Novčanih kazni se ipak ne moraju svi bojati. Tijela javnih vlasti primjerice. Naime, iako su i oni obveznici i moraju raditi u skladu s GDPR-om, tijela javnih vlasti ne mogu se kažnjavati na taj način. Naime, unatoč preporukama Europe i unatoč negodovanju pa čak i optužbama o protuustavnosti takve odluke, ministar Lovro Kuščević, odnosno njegovo Ministarstvo, zakonom je onemogućilo da novčane kazne plaćaju tijela javne vlasti.


KOMENTARI: