Nezadovoljavajuće stanje zaštite osobnih podataka u Hrvatskoj

Prošlo je više od četiri godine od uvođenja Opće uredbe o zaštiti podataka (GDPR) i kako tvrdi stručnjak za zaštitu osobnih podataka i urednik GDPR Croatia Igor Barlek. Prema njegovim riječima situacija u Hrvatskoj kako u privatnom tako i javnom sektoru nije nimalo sjajna, a svrha GDPR-a nije kažnjavanje nego zaštita.

Kolika je ipak nedovoljna razina poznavanja GDPR-a govori nam i lako provjerljiva činjenica da četiri godine nakon početka primjene GDPR-a, brojne organizacije u privatnom i javnom sektoru i dalje svoja postupanja s osobnim podacima temelje isključivo na privolama, što je naravno potpuno pogrešno i rezultat izostanka ulaganja u kvalitetnu edukaciju i redovite revizije usklađenosti, ističe Barlek.

Od uvođenja Opće uredbe o zaštiti podataka (GDPR) koja je stvorena u travnju 2016. godine a stupila je na snagu 25. svibnja 2018. godine prošlo je podosta vremena. Kako su javne i privatne institucije, tvrtke do sada se prilagodile zaštiti osobnih podataka?

Općenito, po meni je stanje usklađenosti u Hrvatskoj nezadovoljavajuće s obzirom na činjenicu da je prošlo više od 4 godine od početka primjene GDPR-a kao strogo obvezujućeg propisa.

Prvenstveno kroz ulogu službenika za zaštitu podataka za niz organizacija u Hrvatskoj, od tijela javne vlasti, jedinica lokalne samouprave, škola, fakulteta, komunalnih tvrtki pa do brzorastućih privatnih tehnoloških tvrtki i lokalnih telekoma i pružatelja cloud usluga i kroz niz provedenih kompleksnih projekata usklađivanja u Hrvatskoj i Sloveniji i revizija trenutnih stanja usklađenosti vrlo uglednih poslovnih subjekata u našem okruženju, kontinuirano dobivam mnoštvo informacija iz stvarne prakse.

Dobivanju šireg uvida u stanje GDPR usklađenosti u Hrvatskoj puno mi pomažu i vjerni čitatelji u javnosti odlično prihvaćenih GDPR Croatia stranica na Facebooku i Linkedinu koje se trudim učiniti prvenstveno edukativnima i razumljivima s puno praktičnih primjera iz stvarne prakse. Javljaju mi se razni poslovni subjekti i tijela javne vlasti za stručno mišljenje, a posebno zanimljiva saznanja svakodnevno dobivam putem izravnih poruka građana koji se često osjećaju izigrano ili bez dovoljno znanja da bi mogli zaštiti svoja prava.

Susrećem se s pravnim subjektima koji su zaista puno uložili u GDPR usklađivanje i istinski žive tu temu bez obzira na njenu kompleksnost i uživao sam radeći takve projekte. Nažalost, iskustvo mi pokazuje da se ipak radi o manjini.

Štoviše, susrećem se i s tvrtkama čije uprave otvoreno kažu da za njih GDPR glupost i da neće ništa ulagati u tom smjeru. Moja slobodna procjena je da je do danas možda tek polovica pravnih subjekata u Hrvatskoj nešto poduzela u smislu usklađivanja.

No, budimo skroz otvoreni, dobar dio onih koji su odlučili nešto poduzeti radili su usklađivanje uz niz pogrešaka kojih nisu svjesni kao ni propusta niti provjere svog znanja. Vidio sam podosta usklađivanja forme radi.

Zabrinjavajuće je velik udio poslovnih subjekata koji su GDPR usklađivanje provodili metodom kopiranja dokumentacije koju su kupili 2018. godine i čuvaju ih u svom registratoru za pokazati nadzornicima AZOP-a ako pokucaju na vrata.

Nažalost, nailazim na slučajeve kada organizacije svoju GDPR usklađenost „brane“ činjenicom da su oni „sve to obavili“ još 2018., a odonda nisu nalazili potrebe provoditi revizije poslovnih procesa i procedura u upravljanju osobnim podacima radi unaprjeđenja postupanja s osobnim podacima, uključujući i redovito mapiranje sustava i povezane procjene rizika, revizije usklađenosti ili audite podangažiranih poslovnih subjekata kao izvršitelja obrada, a da ne spominjem testiranja ranjivosti sustava i ulaganja u informacijsku sigurnost s obzirom na eskalaciju online prijetnji današnjice, kao temeljem GDPR usklađenosti.

Ono što me posebno brine, s obzirom da sam održao brojne edukacije diljem Hrvatske, da je broj organizacija koje su kvalitetno educirale svoje zaposlenike vrlo mali.

Obično organizacije pošalju na edukaciju jednog ili samo nekoliko zaposlenika, što dovodi do situacije da svi ostali zaposlenici ne nalaze svoju ulogu u osiguranju GDPR usklađenost vlastite organizacije niti istu žele.

Ključ usklađenosti svake organizacije leži u kvaliteti redovite edukacije i stalnog osvještavanja svih njezinih zaposlenika koji rade s osobnim podacima, uz obvezno prisustvo svih članova uprave i srednjeg managementa, a pri tom edukacija mora uključivati područja zaštite osobnih podataka i informacijske sigurnosti. Ukoliko to ne osiguramo, badava nam svi GDPR papiri ovog svijeta.

Kad pitate kako su se pravni subjekti u Hrvatskoj do sada prilagodili, ključno je prepoznati motiv tih organizacija da ulažu u zaštitu osobnih podataka.

Privatne tvrtke su dobrim dijelom „motivirane“ visokim kaznama. Rigorozni režim s enormnim maksimalnim zapriječenim iznosima kazni koje donosi GDPR ipak predstavlja prevladavajući razlog ulaska organizacija u projekte usklađivanja. Ponavljam, u Hrvatskoj zaista postoji i skup „odlikaša“, odnosno, tvrtki koje su se strateški odredile da budu uzor, kako u svojoj branši tako i u postupanju s osobnim podacima, a istovremeno prepoznaju i značajnu tržišnu prednost u odnosu na konkurenciju jačanjem povjerenja vlastitih klijenata ili korisnika.

S druge strane, tijela javne vlasti ili javna tijela u stupnju usklađenosti kaskaju za privatnim sektorom.

Dat ću vam jednostavan primjer koji lako može svatko danas provjeriti. Dovoljno je samo posjetiti web stranice jedinica lokalne i regionalne samouprave i društava ili ustanova u kojima su iste osnivači, pa se lako može uočiti koliko malo njih ima objavljenu ispravnu politiku privatnosti ili obavijest o zaštiti podataka s opisanim postupanjima s osobnim podacima i posebice pravima svih pojedinaca čije osobne podatke prikupljaju te načinima kako ih ostvariti.

Štoviše, oni koji ih imaju objavljene na web stranicama, često imaju objavljene tekstove iz „špranci“ kakve su se dijelile 2018. godine i kojima se ispunjavala puka forma. Istovremeno su njihovi službenici za zaštitu podataka u dosta slučajeva upitne stručnosti i iskustva te nedovoljno motivirani za takve zahtjevne uloge uz sva ostala zaduženja koja obično imaju. Da ne spominjemo obvezu izbjegavanja sukoba interesa koja je uz stručnost službenika za zaštitu podataka jedan od ključnih GDPR preduvjeta za njegovo imenovanje.

Kolika je ipak nedovoljna razina poznavanja GDPR-a govori nam i lako provjerljiva činjenica da četiri godine nakon početka primjene GDPR-a, brojne organizacije u privatnom i javnom sektoru i dalje svoja postupanja s osobnim podacima temelje isključivo na privolama, što je naravno potpuno pogrešno i rezultat izostanka ulaganja u kvalitetnu edukaciju i redovite revizije usklađenosti.

U Hrvatskoj je bilo podosta problema sa zaštitom osobnih podataka i izrečenih kazni. O kakvim je točno problemima riječ?

Problema ima kao i u svakoj zemlji članici EU, a u Hrvatskoj imamo relativno malo izrečenih kazni i u donjem smo dijelu ljestvice u EU po broju izrečenih kazni. Netko će reći da nam u Hrvatskoj treba puno više kazni, ja ću ipak reći da kažnjavanje nije smisao ni cilj GDPR-a.

Na međunarodnoj konferenciji u organizaciji AZOP-a 2021. godine, na kojoj sam u društvu najrenomiranijih imena u našoj branši imao čast biti sudionikom središnje panel diskusije, istaknuo sam nužnost slijeđenja principa „Osvještavanje – Edukacija – Opomene – Stroge kazne“ te smatram da bi to trebao biti dobar put.

Stoga svakako podržavam angažman i pristup AZOP-a. Ne uspijevam pronaći primjere u EU da je bilo koje nadzorno tijelo za zaštitu osobnih podataka kao AZOP uložilo toliko vremena i ostalih, inače vrlo ograničenih, resursa u besplatne edukacije za male i srednje poduzetnike i za poslovne subjekte iz različitih grana gospodarstva, kao i pokazalo zavidnu razinu strpljenja izricanjem velikog broja najblažih korektivnih mjera u obliku upozorenja pravnim subjektima koji su se ogriješili o GDPR. Da, svakako sam pobornik izricanja opomena, a u slučaju ignoriranja takvih upozorenja podržavam izricanje strogih i odvraćajućih kazni.

Prema mojim informacijama, AZOP je do sada izrekao 8 upravnih novčanih kazni pravnim subjektima u Hrvatskoj od početka primjene GDPR-a i razumno je očekivati da će učestalost i iznosi novčanih kazni u narednom razdoblju rasti, uz napomenu da je AZOP intenzivirao izricanje kazni od 2020. godine dolaskom novog vodstva.

Vjerujem da svaki pravni subjekt može puno naučiti iz dosadašnjih kazni AZOP-a, ja ću ih na najjednostavniji način podijeliti na dvije osnovne skupine prema kategoriji uzroka.

Jednu skupinu kršenja GDPR-a čine slučajevi u kojima organizacije ne znaju ili ne žele prihvatiti činjenicu da ispitanici, odnosno, svi mi kao pojedinci i fizičke osobe imamo svoja prava iz GDPR-a, prvenstveno pravo na dobivanje pravovremene informacije o prikupljanju naših osobnih podataka kao i besplatan pristup svojim osobnim podacima i dobivanje svih informacija kako se postupa s našim osobnim podacima te da imamo pravo dobiti i kopiju svojih osobnih podataka. Svjedočili smo izricanju nekoliko kazni zbog nepoštivanja obveza informiranja pojedinaca o postojanju video nadzora i odbijanja davanja pristupa snimkama.

Drugu značajnije zastupljenu skupinu slučajeva kršenja GDPR-a u Hrvatskoj čine kršenja mjera informacijske sigurnosti, odnosno, izostanak ili propust pri implementaciji sigurnosnih organizacijskih i tehničkih mjera kojima se sprječavaju sigurnosni incidenti i povrede osobnih podataka, a koje u današnjem online okruženju na globalnoj razini i eskalaciji hakerskih napada predstavljaju ključ usklađenosti s GDPR obvezama. Naravno, pri tom ključnu ulogu čine zaposlenici organizacija kao najslabija karika u provođenju sigurnosnih mjera.

Kako poboljšati zaštitu osobnih podataka? Postoji li neko jednostavno i univerzalno rješenje?

Nedavno sam na GDPR Croatia stranicama objavio prilično dobro prihvaćen tekst naslova „Osobni podaci su onoliko zaštićeni koliko su pouzdani ono koji njima upravljaju“.

Jasno je da su uvijek najslabije karike zaposlenici organizacije. Stoga samo jedan segment usklađivanja nalazim univerzalnim, a to je redovito osvješćivanje i edukacija svih zaposlenika i članova timova organizacija.

Koliko puta sam tijekom održavanja edukacije primijetio na licima sudionika njihovu ozbiljnu zabrinutost po prepoznavanju pogrešaka koje rade u svojoj organizaciji. Takve edukacije nikako ne bi trebale sadržavati čitanje članaka GDPR-a, već prolaženje kroz brojne primjere pogrešaka u okruženju s posebnim naglaskom na online prijetnje današnjice i sprječavanje nasjedanja na sve brojnije pokušaje prijevara i iskorištavanja sigurnosnih propusta organizacija.

Nijedan drugi segment usklađivanja pojedine organizacije ne može biti univerzalan, već se model usklađivanja mora u cijelosti prilagoditi specifičnostima i rizicima pojedine tvrtke, tijela javne vlasti, ustanove, udruge, škole.

Ako zaista žele poboljšati zaštitu osobnih podataka, organizacije moraju odbaciti vlastita uvjerenja o usklađenosti temeljem kupljenih „špranci“ dokumentacije, kojima se samo zavaravaju do trenutka prvog sigurnosnog incidenta ili zahtjevne situacije uslijed zaprimljenog zahtjeva nekog pojedinca za pristupom osobnim podacima i njihovim brisanjem. Već je dovoljno da se organizacije same upitaju znaju li odgovoriti ispitaniku koji podnese prigovor na određeno postupanje s njegovim osobnim podacima.

Srećom po organizacije, jako mali broj ljudi u Hrvatskoj poznaje svoja GDPR prava i kako ih mogu tražiti. Tu se nalazi i konačni ključ poboljšanja krvne slike zaštite osobnih podataka kod nas, čemu aktivno pridonose i GDPR Croatia objave. Što će veći broj ljudi u Hrvatskoj poznavati svoja GDPR prava (pravo na informiranost i pristup svojim osobnim podacima, njihovo brisanje ili izmjene, pravo na prigovor i ograničavanje obrade, na prijenos osobnih podataka i pravo na pritužbu AZOP-u te povlačenje privole u svakom trenutku bez posljedica), time će i organizacije u svojstvu voditelja ili izvršitelja obrade biti prisiljene postaviti GDPR i informacijsku sigurnost kao vlastite strateške ciljeve.

Koje biste probleme sa zaštitom osobnih podataka dosad posebno istaknuli?

Prvi put sam se susreo s prijedlogom teksta GDPR-a još 2015. godine i uočio sam da je prosječnom čitatelju vrlo teško razumjeti srž i suštinu takve Uredbe EU. Ja sam tada već imao više od 10 godina profesionalnog iskustva u proučavanju i implementaciji EU i nacionalne regulative i priznajem da mi je iščitavanje GDPR-a predstavljalo ozbiljan izazov. Zato savjetujem svim organizacijama, ukoliko nemaju stručne i iskusne zaposlenike u području zaštite osobnih podataka, da usklađivanje prepuste profesionalcima jer na taj način itekako mogu unaprijediti svoja znanja.

Primjer područja gdje vidim česte pogreške organizacija je područje temeljnih GDPR principa tzv. Data Protection by Default and by Design, temeljem kojih se osigurava suština zaštite osobnih podataka. Nemali je broj slučajeva u kojima se od ispitanika prekomjerno traže ili prikupljaju osobni podaci, npr. traži mobilni broj i prati lokacija iako nisu nužni za traženu funkcionalnost, traže osobni podaci svih zaposlenika radi unosa u sustav automatiziranog otvaranja vrata ili parkirne rampe bez promišljanja mogu li se takva rješenja postići i bez ijednog osobnog podatka, široko rasprostranjeno traženje kopija osobnih dokumenata i bankovnih kartica jer se tako oduvijek radilo, trajno čuvanje životopisa i zamolbi neprimljenih kandidata za radna mjesta u ladicama i registratorima, zadržavanje osobnih podataka u neodređenim rokovima uz izostanak sigurnosnih mjera i ograničenja prava pristupa. Uočavam i značajan sigurnosni rizik u mnogim organizacijama u kojima emailovi služe za razmjenu poslovne dokumentacije i strateških poslovnih tajni, popisa zaposlenika i njihove djece te baza podataka korisnika bez ikakve zaštite uz trajno zadržavanje na email serverima. U svakoj organizaciji u kojoj am radio naglašavao sam da email nije nimalo prihvatljivo rješenje za arhiviranje poslovne dokumentacije i osobnih podataka.

Pri tom uočavam da je kultura redovite i učestale izrade sigurnosnih kopija (backup) poslovne dokumentacije i osobnih podataka još uvijek na preniskim razinama, unatoč tome što svakog dana čitamo o novim ransomware napadima kakvi se zbivaju i u Hrvatskoj.

I u konačnici, bolna tema u svakom zemlji članici EU, a posebno prisutna kod nas – neusklađenost upravljanja kolačićima na brojnim web stranicama, na kojima se gotovo prisiljava posjetitelje da prihvate instalaciju raznih marketinških i analitičkih kolačića jednim klikom, dok se za odbijanje kolačića od posjetitelja traži da ulaze u dodatne postavke i uz puno klikova iste odbiju. U EU je u tijeku velika kampanja poznatih pravnih aktivista NOYB (None of Your Business) koji otvaraju niz tužbi protiv vlasnika web stranica s nepoštenim praksama u upravljanju kolačićima, danas možda najvećim kradljivcima naše privatnosti. Ono što definitivno uočavam jest činjenica da niz organizacija ne zna da to područje, osim GDPR-a, regulira i važeća EU ePrivacy Direktiva i domaći Zakon o elektroničkim komunikacijama i pitanje je dana kad će i kod nas biti izrečena prva kazna i u tom području.

Veliki problem za građane EU predstavlja i problem sa "safe Harbour" regulativom i nakon toga i EU-US Privacy Shield jer više ne vrijede. ECJ je proglasio EU-US Privacy Shield nevažećim 16. srpnja 2020. Kakva je danas situcija?

O ovoj temi sam pričao javno na međunarodnoj konferenciji u organizaciji AZOP-a i HGK u siječnju prošle godine i pokušao skrenuti pozornost na posljedice presude Europskog suda iz srpnja 2020., koja zapravo nije ostavila slobodnog prostora za rješenja, osim političkog dogovora na relaciji SAD-EU i uspostavi nove bilateralne platforme koja bi uključivala i nadogradnju američkog zakonskog okvira u području sigurnosno-obavještajnog sustava.

Zapravo, građani EU ovdje ne vide neki problem. U stvarnosti građane EU ne zanima jesu li prijenosi osobnih podataka u SAD unutar neke voljene društvene mreže, aplikacije, cloud usluge ili programskog rješenja zakoniti ili ne. Građanima EU je od ključnog interesa da te aplikacije i sustavi jesu funkcionalni, kvalitetni i uvijek dostupni. Svi smo mi itekako ovisni o prijenosu osobnih podataka u SAD i, unatoč prijetnjama nadzornih tijela, nitko neće prekinuti takve prijenose. Podsjetimo se samo nekih primjera u kojima dolazi do prijenosa naših osobnih podataka u SAD. Tu su brojne društvene mreže, aplikacije na pametnim uređajima, različita programska rješenja i operativni sustavi naših računala i mobilnih uređaja, Cloud rješenja i još puno toga. Danas velika većina naše privatnosti odlazi preko Atlantika i mi smo kao krajnji korisnici jednostavno ovisni o prijenosu osobnih podataka u SAD.

Nažalost, presudom Europskog suda i izostankom regulatornog rješenja na razini EU-SAD ozakonjena je nezakonitost prijenosa naših osobnih podataka u SAD. Time se definitivno šalje kriva poruka svim organizacijama u EU koje su u svoje poslovanje i svoje strategije utkale zaštitu osobnih podataka kao nezaobilaznu sastavnicu.URL članka Nezadovoljavajuće stanje zaštite osobnih podataka u Hrvatskoj