Prema prijedlogu Zakona o provedbi Opće uredbe o zaštiti osobnih podataka koji je trenutačno u javnoj raspravi, proizlazi da tijela javne vlasti, dakle Vlada, ministarstva, općine, županije i gradovi mogu zloupotrijebiti osobne podatke građana i za to uopće neće odgovarati, a za istu će stvar banka, osiguravajuće društvo ili neka privatna tvrtka plaćati enormne kazne - u iznosima koji ih mogu uništiti.
Naime, kazne za organizacije koje prekrše Opću uredbu o zaštiti podataka mogu iznositi do četiri posto godišnjeg globalnog prometa ili 20 milijuna eura, ovisno o tome koji je iznos veći. To je kazna koja se može izreći za najozbiljnije povrede.
Na snazi u svibnju
No, prema prijedlogu hrvatskog zakona za provedbu europske Opće uredbe o zaštiti podataka, koja će od 25. svibnja ove godine biti u izravnoj primjeni, nisu samo tijela javne vlasti izuzeta od kažnjavanja za ovakve povrede, nego se ide na ruku i pravnim osobama s javnim ovlastima ili pravnim osobama koje obavljaju javnu službu. “Ako se upravna novčana kazna izriče protiv pravne osobe s javnim ovlastima ili protiv pravne osobe koja obavlja javnu službu, izrečena upravna novčana kazna ne smije ugroziti obavljanje takve javne ovlasti ili javne službe”, navodi se u prijedlogu zakona kojim će Hrvatska preuzeti obveze iz Opće uredbe o zaštiti podataka. Tom se formulacijom u dijelu zakona koji sadrži norme o sankcijama od visokih kazni štite poduzeća kao što su HEP, Hrvatske šume, Hrvatske vode i Fina.
Osim što je diskriminirajući prema ostalim pravnim osobama koje moraju svoje poslovanje prilagoditi europskoj uredbi, a uz to ulagati dodatna sredstva i educirati ljude koji će se baviti zaštitom podataka, u zakonskom je prijedlogu ostalo potpuno nejasno kakva bi to bila kazna, u kojem iznosu, koja ne bi ugrozila obavljanje javne ovlasti ili javne službe.
Nije jasno ni tko će to odrediti i prema kojim kriterijima. Ogriješi li se, primjerice, HEP o pravila o zaštiti osobnih podataka, hoće li odluku o tome kolika kazna ne bi ugrozila njihovo poslovanje donositi Uprava, nadležno Ministarstvo ili možda Agencija za zaštitu osobnih podataka. Na udaru Zakona o provedbi Opće uredbe o zaštiti osobnih podataka su i odgovorne osobe u pravnoj osobi koja bi se o nju ogriješila. Tako su za odgovornu osobu, a to su u pravilu članovi Uprave, predviđene novčane kazne koje u jednoj kategoriji povreda mogu iznositi od 5000 do 200.000 kuna, a u drugoj od 5000 do čak 500.000 kuna. Rigorozne su i odredbe koje kažu da “odgovorna osoba odgovara za povredu zakona ili Opće uredbe o zaštiti podataka i u slučaju ako nakon počinjenja povrede prestane raditi u poduzeću ili ako je nakon počinjenja povrede poduzeće prestalo postojati”.
Kazne za ravnatelje
U slučaju ako ravnatelj, njegov zamjenik ili službenik Agencije za zaštitu osobnih podataka počine prekršaj i neovlaštenoj osobi otkriju povjerljive podatke koje su saznali u obavljanju svoje dužnosti, za taj će se prekršaj kazniti u iznosu od 5000 do 50.000 kuna. U njihovu je slučaju ovlašteni tužitelj koji će pokrenuti prekršajni postupak protiv njih državni odvjetnik.
Kazne u iznosima do 50.000 kuna predviđene su još za voditelje obrade i izvršitelje obrade podataka koji se dobili videonadzorom, i to ako propisno ne označe objekt koji je pod videonadzorom, ako ne uspostave sustav logova za evidentiranje pristupa snimkama videonadzora te ako se snimke koriste suprotno zakonu.
Budući da je ovaj zakonski prijedlog još u fazi javne rasprave, moglo bi se očekivati da će doživjeti određene dorade. Ministar uprave Lovro Kuščević tvrdi kako Uredba ostavlja takvu mogućnost izuzeća, a ističe i da su prekršajne kazne prihod RH, pa bi u tom slučaju država sama sebe kažnjavala tako što bi sama sebi plaćala kaznu.
- To je u suprotnosti s Prekršajnim zakonom, članak 62, stavak 1. - objasnio je Kuščević i dodao kako je trenutčano glavni cilj dobro educirati službenike kako se Uredba ne bi kršila.
- Vjerujem da kršenja neće ni biti - zaključio je Kuščević.
Osobni podaci su i IP i MAC adresa, GPS lokacija...
Prema Općoj uredbi o osobnim podacima, pod pojmom “osobni podaci” smatraju se svi podaci koji se odnose na pojedinca čiji je identitet utvrđen ili se može utvrditi.
Pojedinac je osoba koja se može identificirati izravno ili neizravno uz pomoć identifikatora kao što su ime, slika, e-mail adresa ili objava na društvenim mrežama.
Osobni podaci su ime, adresa, e-mail adresa, IP i MAC adresa, GPS lokacija, RFID tagovi i kolačići na web stranicama, telefonski broj, fotografija, videosnimke pojedinaca, OIB, biometrijski podaci (otisak prsta, snimka šarenice oka), genetski podaci, podaci o obrazovanju i stručnoj spremi, podaci o plaći, podaci o kreditnom zaduženju, podaci o računima u banci, podaci o zdravlju, seksualnoj orijentaciji, glas i drugi podaci koji se odnose na pojedinca čiji je identitet utvrđen ili se može utvrditi.