Ove godine u ožujku obilježava se 20 godina Agencije za zaštitu osobnih podataka, kao i 20 godina zaštite osobnih podataka u Hrvatskoj. Sa Zdravkom Vukićem, ravnateljem Agencije za zaštitu osobnih podataka, razgovarali smo o visini izdanih kazni u prošloj godini te o poslovanju Agencije za zaštitu osobnih podataka. Razgovarali smo i o učestalosti kršenja te pravima pravnih osoba, javnih institucija i građana.
Koje bi aktivnosti Agencije za zaštitu osobnih podataka izdvojili u prošloj godini?
U prethodnoj godini intenzivirali smo nadzorne aktivnosti što je rezultiralo izricanjem najvećeg broja upravnih novčanih kazni u jednoj godini dosada. Izdano je 28 upravnih novčanih kazni u ukupnom iznosu od 8,26 milijuna eura. Također, u 2023. godini izdali smo i dosada najvišu upravnu novčanu kaznu agenciji za naplatu potraživanju u iznosu od 5,47 milijuna eura zbog niza kršenja odredbi Opće uredbe o zaštiti podataka. Upravo ta kazna svojim iznosom odskočila je i na europskoj razini te je stala uz bok višemilijunskim kaznama koje su izrečene primjerice Meti, TikToku i WhatsAppu. Isto tako, prošle godine izrečena je i kazna još jednoj agenciji za naplatu potraživanja u iznosu od 2,26 milijuna eura. Nepoduzimanje odgovarajućih tehničkih i organizacijskih mjera, kršenje prava ispitanika dovelo je do ovako rigoroznih kazni. Time smo pokazali i poslali poruku svima da svoje poslovanje moraju uskladiti s propisima o zaštiti podataka, a posebice oni koji imaju dovoljno financijskih sredstava i ljudskih resursa. Nakon gotovo šest godina otkada je u primjenu na snagu nastupila Opća uredba o zaštiti podataka, ne možemo tolerirati razne izgovore i dopustiti da se krše prava hrvatskih građana.
Koliko je do sada kazni izdano?
Od 2020. godine, kada je izdana prva upravna novčana kazna, do danas izdali smo 47 upravnih novčanih kazni u ukupnom iznosu od 9,05 milijuna eura i to zbog kršenja odredbi Opće uredbe o zaštiti podataka i Zakona o provedbi Opće uredbe o zaštiti podataka. Napomenuo bih kako je po ukupnom iznosu izrečenih kazni, upravo Republika Hrvatska odnosno Agencija za zaštitu osobnih podataka među prvih 12 zemalja u Europskoj uniji po visini ukupno izrečenih kazni.
Koja su najčešća kršenja?
Najčešća kršenja koja smo dosada primijetili, a i zbog čega je izdano najviše upravnih novčanih kazni je neprovođenje odgovarajućih tehničkih i organizacijskih mjera zaštite podataka te kršenja prava ispitanika.
Voditelji obrade koji su shvatili važnost zaštite osobnih podataka su savjesni, ulažu u edukaciju svojih zaposlenika kako bi svi bili upoznati s važnosti zaštite osobnih podataka te naučili kako osobne podatke primjereno štititi, kao što su i svjesni važnosti imenovanja službenika za zaštitu podataka koji imaju adekvatno znanje na području zaštite osobnih podataka.
Jesu li pravne osobe napravile iskorak u tom smislu?
Vidljiv je iskorak prema naprijed, a posebno kada se osvrnemo na 2018. godinu kada je u punu primjenu na snagu nastupila Opća uredba o zaštiti podataka Svijest voditelja obrade o njihovim obavezama koje propisuje Uredba je itekako porasla, a ključnu ulogu tu je imala Agencija za zaštitu osobnih podataka.
Koliko su učestala kršenja Opće uredbe o zaštiti podataka sa strane pravnih osoba ?
Kršenja Opće uredbe o zaštiti podataka i dalje su česta, ali najčešće zbog nedovoljno znanja i nerazumijevanja. Upravo iz toga razloga Agencija kroz svoju savjetodavnu ulogu redovito održava edukacije namijenjenu i voditeljima/izvršiteljima obrade u javnom i privatnom sektoru, službenicima za zaštitu podataka, odnosno svima koji žele svoje poslovanje unaprijediti i biti usklađeni. Naravno da ne možemo očekivati kako kršenja Opće uredbe o zaštiti podataka neće biti, međutim mi poduzetnicima pružamo podršku kako bi toga bilo u što manjoj mjeri. Naš cilj je prvenstveno zaštititi temeljno pravo hrvatskih građana - pravo na zaštitu podataka, a ne otežavati poduzetnicima poslovanje, stvarati dodatne namete i administrativna opterećenja, kako nam se često predbacivalo. No, ipak je prošlo gotovo šest godina od stupanja GDPR na snagu i više ne možemo tolerirati neznanje kao izgovor.
Kakva je situacija s jedinicama lokalne uprave, krše li Opću uredbu o zaštiti podataka?
Poruka da nećemo tolerirati kršenja prava naših građana vrijede za sve voditelje obrade, pa tako i tijela javne vlasti. Javne institucije moraju biti na primjer privatnom sektoru i ne mogu si dopustiti da ne pazeći na GDPR krše prava naših građana, a upravo smo imali takve primjere iz dva najveća hrvatska grada. Gradu Zagrebu zabranili smo korištenje snimki videonadzornog sustava u svrhu postupanja u vezi utvrđivanja prekršaja protiv osoba koje nepropisno odbacuju otpad na površine javne namjene te naložili da donese odgovarajući unutarnji pravno provedbeni okvir upravljanja videonadzornim sustavom. Gradu Splitu izdali smo službenu opomenu i naložili brisanje osobnih podataka fizičkih osoba s njihove internetske stranice koje su objavili bez pravne osnove. U oba slučaja tijela lokalne samouprave postupila su sukladno našem rješenju.
Je li bilo slučajeva kažnjavanja čelnika?
Iako po Zakonu o provedbi Opće uredbe o zaštiti podataka jedinice lokalne samouprave ne mogu biti novčano kažnjene, ukoliko nakon rješenja o izvršenju jedinica lokalne samouprave ne postupi po naredbama Agencije, tada Agencija može donijeti novo rješenje o izricanju kazne koja se sukladno Zakonu o općem upravnom postupku izdaje odgovornoj osobi u iznosu do deset prosječnih godišnjih bruto plaća ostvarenih u Republici Hrvatskoj u prethodnoj godini. Za takvim mjerama nismo zasada posezali jer nismo imali takvih slučajeva.
Imamo primjer Zagrebačkog holdinga, gdje smo postupali po prijavi građana i utvrdili smo povrede Opće uredbe o zaštiti podataka što je rezultiralo upravnom novčanom kaznom od 25.000 eura.
Koliko te kazne utječu na promjenu ponašanja onih koji su kršili Opću uredbu o zaštiti podataka?
Svako nadzorno tijelo prilikom izricanje upravne novčane kazne mora voditi računa o tome da ista bude učinkovita, proporcionalna i odvraćajuća. Visoke novčane kazne koje su punile novinske stupce svakako da su potaknule i druge voditelje obrade da se zapitaju je li njihovo poslovanje usklađeno s propisima zaštite osobnih podataka, odnosno krše li prava ispitanika, jesu li poduzeli odgovarajuće tehničke i organizacijske mjere zaštite podataka, educiraju li svoje zaposlenike o važnosti zaštite osobnih podataka. Primijetili smo kako nam se nakon svake visoke izrečene upravne novčane kazne u povećanom broju javljaju poduzetnici te osim što traže mišljenja, raspituju se i o edukacijama. Time možemo zaključiti kako izricanjem upravnih novčanih kazni postižemo željeni cilj, odnosno ne samo da oni koji su kažnjeni će voditi više računa o zaštiti osobnih podataka, već i drugi voditelji obrade postaju svjesniji svojih obaveza.
No, nisu samo poduzetnici koji se tada više javljaju Agenciji, primjećujemo i povećani priljev upita građana koji postaju svjesni kako se s njihovim osobnim podacima mora postupati zakonito.
A koliko su građani ustvari svjesni svojih prava za zaštitu osobnih podataka?
Građani su svjesni da postoji Opća uredba o zaštiti podataka, često njima poznatija pod akronimom GDPR koja im jamči određena prava, ali vrlo često ih pogrešno tumače i pozivaju se na GDPR u situacijama kada to nije ni primjenjivo. Naglasit ću što često i naglašavamo da pravo na zaštitu osobnih podataka nije apsolutno pravo.
Zbog čega se građani najčešće žale Agenciji?
Građani nam se često javljaju i žale jer se ignoriraju njihovi zahtjevi za ostvarivanje prava, poput prava na pristup podacima ili prava na brisanje, što u konačnici pokazuje kako su svjesni svojih prava. Također, često se žale zbog obrade njihovih osobnih podataka putem videonadzora i javne objave njihovih osobnih podataka.
A upravo zbog javne objave osobnih podataka naših građana, Agencija je reagirala i u slučajevima koji su prošle godine bili u fokusu javnosti. Tako je u slučaju ‘Zambija‘ Agencija naložila medijima koji su objavljivali imena posvojene djece, brisanje tih osobnih podataka. Također, pokazali smo kako imamo dobru suradnju s drugim nadzornim tijelima i u slučaju objave osobnih podataka hrvatskih državljana u grčkim medijima odnosno na portalima. U kratkom roku, nakon zahtjeva Agencije za zaštitu osobnih podataka uklonjeni su osobni podaci hrvatskih državljana osumnjičenih za počinjenje kaznenih djela odnosno prekršaja u Grčkoj.
Kontinuirano pratimo i reagiramo u slučajevima povrede osobnih podataka naših građana te apeliramo i na naše građane da svoje osobne podatke štite.
Imaju li građani pravo znati tko, zašto i u koju svrhu obrađuje njihove podatke?
Naravno, Opća uredba o zaštiti podataka svakom građaninu Hrvatske jamči određena prava. Građani tako imaju pravo znati primjerice u koju svrhu se obrađuju njihovi podaci, koji je pravni temelj za tu obradu, s kime će se dijeliti ti podaci, koliko će dugo podaci biti pohranjeni i slično. Te informacije je svaki voditelj obrade dužan pružiti svakom građaninu čije podatke obrađuje. Ukoliko te informacije ne pruži, riječ je o kršenju Opće uredbe o zaštiti podataka.
Dakle, svaki građanin ima prava koja mu jamči Opća uredba o zaštiti podataka koje može ostvariti kod svakog voditelja obrade koji obrađuje njihove podatke, a ukoliko ne uspije ostvariti ta prava, može se obratiti Agenciji za zaštitu osobnih podataka. Na našim internetskim stranicama imamo raznih brošura i savjeta za građane, tako da se građani u svakom trenutku mogu informirati, a mogu i na svoje mobilne uređaje instalirati i našu aplikaciju GDPR Hrvatska.
Zbunjuje li Opća uredbe o zaštiti podataka ponekad građane? Istaknuli bi primjer ostavljanja osobne iskaznice kada turist dolazi u hotel ili iznajmljuje apartman. Trebaju li je ostaviti ili ne na recepciji ili kod vlasnika apartmana?
Građani se često pozivaju na GDPR kada ne žele dati svoje osobne podatke, jer smatraju da primjerice njihovu osobnu iskaznicu nitko ne može nitko kopirati ili imati uvid u istu. Upravo su česte nedoumice i oko prijava gostiju u hotel ili apartman, ali te nedoumice su prisutne s obje strane. I iznajmljivači često pogrešno tumače svoje zakonske obveze, a građani, odnosno gosti svoja prava. Stoga razjasnimo to na primjeru prijavljivanja gostiju. Naime, hotel ili vlasnik apartmana dužan je prijaviti odnosno odjaviti turista te mora uzeti određene podatke gosta koji su propisani Pravilnikom o sustavu eVisitora. Konkretno, to su podaci: prezime i ime, mjesto, država i datum rođenja, državljanstvo, vrsta i broj isprave o identitetu, prebivalište i adresa, datum i vrijeme dolaska u objekt, predviđeni datum odlaska iz objekta, datum i vrijeme odlaska iz objekta, spol, napomena i broj prijave. Ti podaci se upisuju na temelju podataka iz osobne iskaznice ili neke druge isprave o identitetu. Dakle, turisti koji se prijavljuju u apartman ili hotel dužni su dati na uvid svoju osobnu iskaznicu kako bi pružatelj usluge mogao izvršiti prijavu gosta, ali kopiranje ili ostavljanje osobne iskaznice vlasniku apartmana ili na recepciji hotela nije u skladu s odredbama Opće uredbe o zaštiti podataka. S druge strane, ukoliko gost odbije dati na uvid u osobnu iskaznicu, iznajmljivač ima obvezu odbiti mu uslugu.
Razumijem da su građani često skeptični kada god je u pitanju osobna iskaznica, jer u konačnici, na njoj se nalazi širok set osobnih podataka koje je moguće zloupotrijebiti na razne načine. No, uvijek imaju pravo pitati voditelja obrade zašto im ta osobna iskaznica treba. Međutim, uvijek apeliramo na građane da budu oprezni kada svoju osobnu iskaznicu negdje ostavljaju ili dostavljaju.
Kakve planove izvan redovitog posla ima Agencija za zaštitu osobnih podataka u ovoj godini?
Ove godine u ožujku obilježit ćemo veliku obljetnicu - 20 godina Agencije za zaštitu osobnih podataka, kao i 20 godina zaštite osobnih podataka u Republici Hrvatskoj. I prije 2018. godine kada je u punu primjenu na snagu nastupila Opća uredba o zaštiti podataka, u Republici Hrvatskoj postojao je zakonodavni okvir koji je jamčio zaštitu osobnih podataka naših građana.
Osim edukativnih aktivnosti koje redovito provodimo za voditelje i izvršitelje obrade, službenike za zaštitu podataka, građane i učenike, Agencija za zaštitu osobnih podataka s partnerima talijanskim nadzornim tijelom za zaštitu podataka, Fakultetom organizacije i informatike, Sveučilištem u Firenci te Sveučilištem u Bruxellesu provodi i projekt ARC II namijenjen mikro, malim i srednjim poduzetnicima.
Možete li nam reći nešto više o ARC II projektu? Koji su benefiti za male i srednje poduzetnike?
ARC II odnosno Kampanja podizanja razine svijesti o zaštiti podataka za male i srednje poduzetnike je europski projekt koji je ustvari nastavak ARC projekta koji smo provodili do 2022. godine. Svjesni smo kako mikro, mali i srednji poduzetnici najčešće ne raspolažu s dovoljno financijskih i ljudskih resursa potrebnih za usklađivanje s propisima o zaštiti podataka, stoga je Agencija, zajedno s partnerima, kroz ovaj projekt odlučila dati svoj doprinos našim poduzetnicima.
Naime, cilj projekta je olakšati poduzetnicima usklađivanje s Općom uredbom o zaštitu podataka, smanjiti im administrativni teret i financijske troškove te im pomoći da uvide da će usklađivanje s zakonskim propisima o zaštitu podataka unaprijediti njihovo poslovanje i omogućiti im da stvore odnos povjerenja sa svojim korisnicima/klijentima.
U okviru ARCII projekta, osim edukacija koje provodimo, razvijamo web alat koji je nazvan „Olivia“ koji je besplatan, dostupan svima te prilagođen specifičnim potrebama malih i srednjih poduzeća. Olivia je virtualna učiteljica i asistentica za usklađivanje s GDPR-om, zahvaljujući kojoj poduzetnici imaju priliku naučiti koje su njihove osnovne obveze, testirati svoje znanje i izraditi osnovne dokumente kojima mogu dokazati usklađenost s propisima o zaštiti osobnih podataka.
Kako je ove godine Agencija za zaštitu osobnih podataka obilježila Europski dan zaštite osobnih podataka?
Ovogodišnji Europski dan zaštite osobnih podataka obilježili smo u Ericssonu Nikole Tesle i to događanjem pod nazivom Poduzetnici i nove tehnologije, koje je bilo namijenjeno isključivo malim i srednjim poduzetnicima. U prvom dijelu događanja, šezdesetak poduzetnika uz vodstvo mentora, testiralo je naš web alat Olivia i drago mi je što smo na licu mjesta dobili veoma pozitivne povratne informacije od poduzetnika kojima je ovaj alat prvenstveno i namijenjen. Alat će sigurno im biti od koristi i pomoći, a prednost je što ga može koristiti bilo tko, bilo kada i bilo gdje.
Također, održana je i panel diskusija Umjetna inteligencija: što nas očekuje u 2024. Godini, u kojoj su panelisti razgovarali o novim mogućnostima koje donosi umjetna inteligencija. Sudionici su mogli čuti kako tehnološke inovacije bazirane na umjetnoj inteligenciji mogu unaprijediti njihovo poslovanje, smanjiti im troškove te općenito povećati efikasnost poslovanja. No, bilo je riječ i o mnogobrojnim rizicima koje nose ove inovacije, a koje mogu ugroziti naše pravo na zaštitu osobnih podataka, privatnost i druga ljudska prava.