05. ožujak 2018.

GDPR: ‘Deadline‘ za primjenu se bliži, jeste li spremni?

Konzultantica za Opću uredbu o zaštiti osobnih podataka (GDPR) Ana Keglović Horvat u ponedjeljak je predstavila tu Uredbu koju je 2016. donijela Europska unija, a u svim zemljama EU-a počet će se primjenjivati od 25. svibnja kao i njezinu usklađenost s hrvatskim Zakonom o zaštiti osobnih podataka koji bi uskoro trebao biti donesen.

- Neovisno o tome hoće li Hrvatska u roku donijeti zakon koji će na nacionalnoj razini regulirati pitanje zaštite osobnih podataka ova Uredba će ići u primjenu 25. svibnja jer se radi o općoj uredbi, što znači da se ujednačeno primjenjuje u svih 28 država članica Europske unije, istaknula je Keglović Horvat na konferenciji za novinare.

>>>Liderov vodič kroz GDPR potražite na kioscima Tiska i iNovina

Bilo bi korisno za Hrvatsku da imenuje povjerenika za zaštitu osobnih podataka  

Opća uredba o zaštiti osobnih podataka (GDPR) donosi promjene u načinu poslovanja i u zakonodavnom sektoru, a ponajviše u odnosu na prava građana koji imaju osobne podatke na čuvanju ili obradi kod nekih organizacija, objasnila je.

- Prema Uredbi će, od 25. svibnja, brojne organizacije morati uskladiti i mijenjati svoje poslovanje, a građanima će biti data mogućnost da prakticiraju neka od svojih sedam prava koji se odnose na zaštitu osobnih podataka. Ova zaštita je sada podignuta na razinu ljudskih prava pa tako omogućava i bitno drugačije ponašanje prema podatcima, istaknula je Keglović Horvat.

>>>Project Privacy: Temeljne GDPR smjernice za startupe

Rekla je da se Uredba odnosi na svaku organizaciju koja prikuplja i obrađuje podatke ispitanika, građana EU, tako da praktično svaka organizacija, primjerice tijelo javne vlasti, tvrtka, udruga, škola, bolnica - mora biti usklađena sa tom Uredbom.

Od 25. svibnja će svaka organizacija koja ima više od 250 zaposlenih i prikuplja velike količine podataka ili posebno štićene kategorije podataka te svako tijelo javne vlasti morati imenovati službenika za zaštitu osobnih podataka. Založila se i da Hrvatska imenuje povjerenika ili povjerenicu za zaštitu osobnih podataka.

>>>GDPR: Od iduće godine rigorozne europske obveze u zaštiti osobnih podataka

- Zaštita osobnih podataka je podignuta na razinu ljudskih prava i zbog toga mislim da bi bilo jako korisno da Hrvatska i u kategoriji osobnih podataka pokaže brigu za ljudska prava na način da imenuje povjerenika ili povjerenicu za zaštitu osobnih podataka, kao što sada imamo povjerenicu za informiranje, rekla je.

Kazne za povredu zaštite osobnih podataka do 20 milijuna eura

Naglasila je kako će s primjenom Uredbe biti otvorena mogućnost da bilo koje nadzorno tijelo iz država članica EU obavlja nadzor uz suglasnost nacionalne lokalne agencije i u bilo kojoj drugoj državi članici EU. Tako će vjerojatno u Hrvatsku dolaziti u nadzor tijela iz EU, ali će i hrvatska Agencija za zaštitu osobnih podataka (AZOP) vjerojatno biti u nadzoru u nekoj drugoj zemlji EU.

>>>Alfatec: Big Data je ‘must have’ za unaprjeđenje poslovanja, GDPR udara na prodaju i marketing

Rekla je da za povrede zaštite osobnih podataka Uredba definira maksimalne kazne do 20 milijuna eura ili četiri posto globalnog godišnjeg prometa organizacije, ovisno o tome koji broj je veći. Međutim, predviđene su i manje kazne ovisno o karakteru povrede, količini podataka i opsegu same povrede. Dodala je kako trenutno nisu poznati kriteriji za određivanje tih kazni, a spominje se da će biti veće nego što su dosad bile.

Rekla je i kako se u medijima pojavilo da je ministar uprave Lovro Kuščević rekao da se tijela javne vlasti ne bi mogla kažnjavati, odnosno biti stranka u tom postupku zbog toga jer se radi o prekršajnom postupku.

>>>Petrušić: GDPR jasno poručuje kako je dužnost tvrtki štititi podatke klijenata

- Međutim, Uredba i prijedlog zakona govori o upravnom postupku i upravnim novčanim kaznama. U našem pravu je poznato dosta situacija kada država u postupcima ne nastupa s pozicije vlasti nego kao ravnopravna stranka, što je apsolutno poznato i u upravnim postupcima. Tako da ne vidim razloga zašto bi ovaj kriterij bio uzet kao razlog da se tijela javne vlasti izuzmu od mogućnosti upravnih novčanih kazni, rekla je Keglović Horvat.

Primjer s papirima iz vrtića ukazuje na nisku svijest o važnosti zaštite osobnih podataka 

Navela je kako je primjerice ovih dana u medijima objavljeno da su u jednom dječjem vrtiću djeca crtala na papirima koji su izišli iz Hrvatskog zavoda za zdravstveno osiguranje (HZZO) jer su na poleđini papira bili povjerljivi podatci o zahtjevu za promjenu spola neke osobe.

>>>Berislav Lastrić: Proces prilagodbe GDPR regulativi mora biti usklađen s najviše razine

- Taj papir je nepotrebno printan u više primjeraka i u nekom trenutku to je netko odlučio baciti na način da ga iskoristi i da djeci da na poleđini crtaju. To je jako velika povreda osobnih podataka, a pokazuje i koliko je niska svijest nekih ljudi u tijelima javne vlasti o važnosti zaštite tuđih osobnih podataka, rekla je Keglović Horvat.

Primjenom Uredbe, ta osoba kojoj je povrijeđena zaštita osobnih podataka mogla bi se obratiti Agenciji za zaštitu osobnih podataka. Po prijedlogu zakona ne bi mogla biti izrečena novčana upravna kazna HZZO-u, jer se radi o tijelu javne vlasti, a što Keglović Horvat smatra lošim.

Također, navela je, kako bi primjenom Uredbe turisti koji dolaze u Hrvatsku iz drugih zemalja EU, mogli dovesti u pitanje i uzimanje podataka o njima u hotelima gdje se primjerice kopiraju ili skeniraju njihove putovnice ili osobne iskaznice, rekla je Keglović Horvat.