Nastavljamo s našom velikom temom o GDPR regulativi, a odgovore na tu temu dao nam je ravnatelj Agencije za zaštitu osobnih podataka Anto Rajkovača.
Prema njegovim riječima AZOP dobiva i neke nove ovlasti, a Agencija kontinuirano poduzima niz mjera i radnji usmjerenih na organizacijsko i kadrovsko ekipiranje te na osiguranje dostatnih sredstava kako bi bila spremna izvršavati sve svoje zadaće.
Što će se dogoditi s AZOP-om po stupanju na snagu GDPR Uredbe?
Opća Uredba donosi značajne promjene u ovlastima i poslovima nacionalnih tijela za zaštitu osobnih podataka. Što se tiče nadzornih tijela poput Agencije za zaštitu osobnih podataka, Uredbom se potvrđuje obveza država članica da osnuju tijela za zaštitu osobnih podataka koja moraju djelovati potpuno neovisno pri obavljanju svojih dužnosti i izvršavanju svojih ovlasti, a čelnici tih tijela moraju biti slobodni od vanjskog utjecaja, bilo izravnog bilo neizravnog, pri obavljanju svojih dužnosti i izvršavanju svojih ovlasti u skladu s ovom Uredbom te ne smiju tražiti ni primati upute ni od koga. S obzirom na ovlasti Agencije, potrebno je ukazati na ovlast iste da savjetuje nacionalni parlament, vladu i druge institucije i tijela o zakonodavnim i administrativnim mjerama u vezi sa zaštitom prava i sloboda pojedinaca u pogledu obrade osobnih podataka. Isto tako nadzorna tijela poput Agencije, na vlastitu inicijativu ili na zahtjev, imaju ovlast izdati nacionalnom parlamentu, vladi države članice ili, u skladu s pravom države članice, drugim institucijama i tijelima, te javnosti, mišljenje o svakom pitanju u vezi sa zaštitom osobnih podataka. Navedene ovlasti posebno su značajne s obzirom na to da je jedan od pravnih temelja za obradu osobnih podataka ispunjenje pravnih obveza voditelja obrade ili izvršavanje zadaća od javnog interesa ili službene ovlasti, pri čemu se pravna osnova takvih obveza, zadaća ili ovlasti mora utvrditi pravom države članice. Nadalje, Uredba jasno propisuje parametre unutar kojih se mogu ograničiti prava ispitanika, pri čemu je izričito navedeno da je to moguće zakonskom mjerom. S obzirom na navedeno potrebno je, u granicama koje Uredba postavlja, potvrditi sve ovlasti Agencije koje su nužne kako bi ista davala mišljenja na takve zakonske ili administrativne mjere kojima se propisuje određeni vid obrade osobnih podataka. Što se tiče kolegijalnog tijela na razini Europske unije, umjesto postojeće Radne skupine iz čl. 29 Direktive 95/46/EU, predloženo je formiranje novog tijela - Europskog odbora za zaštitu osobnih podataka (European Data Protection Board) koje bi imalo pravnu osobnost, za razliku od postojećeg Radne skupine iz čl. 29. Direktive 95/46/EZ (WP29). Nadalje, uvode se izričita pravila o obveznoj međusobnoj pomoći između tijela nadležnih za zaštitu osobnih podataka te također se uvode mehanizmi koji propisuju ujednačeno postupanje koji obuhvaćaju više država članica, pri čemu se određuje i način postupanja prilikom rješavanja slučaja s međunarodnim elementima. Uredbom je propisana i obveza tijela nadležnih za zaštitu osobnih podataka da budu ovlaštena za izricanje novčanih upravnih kazni osim ako pravnim sustavom države članice nisu predviđene novčane upravne kazne (to je slučaj s Danskom i Estonijom). Utvrđena su mjerila za utvrđivanje kazni kao i sama svrha tih kazni. To predstavlja bitnu novinu u odnosu na postojeći hrvatski Zakon o zaštiti osobnih podataka te će se u tom smislu morati poduzeti odgovarajuće zakonodavne promjene na nacionalnoj razini u prvom redu odnosne na postupovne odredbe, naime materijalne odredbe predviđene su Uredbom i na njih se ne može utjecati.
Da li je Hrvatska država organizacijski spremna započeti s primjenom Uredbe? Koje su najveće prepreke?
Opća uredba o zaštiti podataka nije samo izazov za voditelje i izvršitelje obrade niti predstavlja samo jasnija i veća prava za pojedince, već značajno proširuje obveze Agencije za zaštitu osobnih podataka kao nadzornog tijela. Valja naglasiti niz novih obveza Agencije koje proizlaze iz Opće uredbe o zaštiti podataka, poput sudjelovanja i osiguravanja provođenja zajedničkih nadzornih operacija, postupanja po prijavama o povredama osobnih podataka, sudjelovanja u postupku prethodnog savjetovanja, ocjenjivanja i odobravanja kodekse ponašanja, izrade kriterije za certificiranje i nadzor poštivanja obveza iz certifikata, izricanja upravne novčane kazne i sudjelovanja u naknadnim sudskim postupcima po pravnim lijekovima. U tom smislu, Agencija kontinuirano poduzima niz mjera i radnji usmjerenih na organizacijsko i kadrovsko ekipiranje te na osiguranje dostatnih sredstava kako bi bila spremna izvršavati sve svoje zadaće.
Što mislite o kazni od 110 milijuna eura koju je EC propisala Facebooku radi davanja lažnih informacija o mogućnosti spajanja osobnih podataka sa Facebook i WhatsApp računa, prilikom akvizicije? Ima li kazna od 3 milijuna eur koju je odmah zatim talijansko tijelo za konkurentnost naplatilo WhatsAppu veze s kršenjem prava na privatnost?
Novčana kazna koju je Komisija izrekla Facebooku se odnosi na posebne propise o zaštiti tržišnog natjecanja, konkretnije riječ je bilo o kazni zbog davanja netočnih i prijevarnih informacija prilikom spajanja poduzeća. S druge strane novčana kazna koju je izreklo talijansko tijelo za zaštitu tržišnog natjecanja, prema raspoloživim informacijama, ima dodirnih točaka s područjem zaštite osobnih podataka. Naime, to je talijansko tijelo utvrdilo kako je Facebook naveo korisnike da misle kako je za daljnje korištenje njegovih usluga nužno prihvaćanje novih uvjeta poslovanja kojima se uređuju određeni aspekti obrade podataka. Što se tiče same obrade osobnih podataka, u konkretnom slučaju to je sekundarno pitanje. Naime, uvijek kod spajanja društava, a i prije, u pripremnim radnjama posebno kod provođenja dubinske analize, dolazi do određenih procesa obrade osobnih podataka. U svakom slučaju bitno je da svaka obrada podataka, što uključuje i svako prenošenje podataka između različitih poduzeća, bude u okvirima i prema uvjetima koje propisuje nacionalno i europsko zakonodavstvo.
Činjenica je da se, bez obzira na konkretnu regulativu i formalno objašnjenje u svojoj osnovi u oba slučaja radilo o kršenju prava na privatnost. Bum data warehousinga i big data obrada podataka i profiliranja građana postao je nezaustavljiv. Može li regulator tome stati na kraj blagim pristupom ili će GDPR ipak krenuti žestoko?
Što se tiče pristupa, jedini mogući pristup je poštivanje onoga što je zakonodavac Europske unije napisao u Općoj uredbi o zaštiti podataka. U tom smislu potrebno je ukazati da Opća uredba o zaštiti podataka propisuje kako će se izreći upravna novčana kazna uz ili umjesto drugih sankcija. Za pretpostaviti je da će veliki broj povreda završiti upravo izricanjem upravnih novčanih kazni sukladno članku 83. tog propisa, osim u slučajevima kada postoje značajne olakotne okolnosti. Svakako valja istaknuti da je Agencija u svom dosadašnjem radu bila fokusirana primarno na svoju preventivnu, edukativnu i savjetodavnu ulogu.
Pokazuju li primjeri Facebooka i WhatsAppa da će EC direktno naplaćivati kazne ako to ne učine lokana tijela? Kad se kazna već mora platiti, nije li bolje da ode u hrvatski budžet, nego u Brisel? Postoji li uopće mogućnost da EC direktno naplati kaznu i za kršenje GDPR odredbi, kako je to bio slučaj se kršenjem regulative o akviziciji?
Opća uredba o zaštiti podataka ne pruža takvu mogućnost Komisiji, u aspektu određivanja iznosa novčanih upravnih kazni nacionalna tijela su potpuno neovisna i njihove odluke jedino može nadgledati nadležni sud. Tako da u tom pogledu će svaka upravna novčana kazna koju izreče hrvatsko nadzorno tijelo biti uplaćena u nacionalni proračun.
Usklađivanje s GDPR veliki je trošak za tvrtke, no visina kazne ne daje baš izbora. Što je s tijelima državne uprave? Njemačka je primjerice kod lokalne primjene odredbe predvidjela i kazne zatvora do 3 godine. Kako će se naša tijela državne uprave motivirati na zaštitu osobnih podataka?
Što se tiče tijela državne uprave svaka država članica je slobodna urediti sustav njihove odgovornosti po vlastitoj želji. U Hrvatskoj se to pitanje adekvatno analizira, s jedne strane kako bi se osiguralo redovito funkcioniranje središnjeg državnog sustava, a s druge strane kako bi se osiguralo da postoje primjerene mjere koje bi se poduzele kod povreda Opće uredbe o zaštiti podataka te u konačnici kako bi upravo državni sustav bio primjer dobre prakse zaštite osobnih podataka. U ovom kontekstu valja spomenuti i da prema važećem Kaznenom zakonu, u Hrvatskoj pojedinac može, bez obzira na svoj položaj kazneno odgovarati za počinjenje kaznenog djela nedozvoljene uporabe osobnih podataka. Pa tako, ako kazneno djelo počini službena osoba ili osoba u obavljanju javne vlasti može joj se izreći kazna do pet godina zatvora.
Postoji li mogućnost da tijelo jedne države ili EC naplati kaznu tijelu druge države ako ono krši GDPR odredbe kod zaštite podataka njihovih građana primjerice turističkim zajednicama ili Ministarstvu turizma radi kršenja prava njemačkih turista u Hrvatskoj?
Ne, takva mogućnost ne postoji. Naime, jasno je Općom uredbom o zaštiti podataka definirano da ako obradu podataka obavljaju tijela javne vlasti ili privatna tijela s javnim ovlastima, tada je nadležno nadzorno tijelo dotične države članice.
