Prošlo je već više od šest mjeseci od početka primjene Opće uredbe o zaštiti podataka, puno poznatije pod kraticom GDPR (General Data Protection Regulation). Propis koji je i puno prije početka primjene sasvim razumljivo privukao veliku pozornost medija, javnosti i industrije, već je dovoljno dugo u primjeni da možemo ocijeniti njegove početne učinke u Hrvatskoj, EU i ostatku svijeta. Ovisno o gledištu, na GDPR se prije početka primjene gledalo s izrazito različitim raspoloženjima, od proglašavanja samog propisa „ubojicom“ konkurentnosti EU u odnosu na ostatak svijeta  u području informacijskih tehnologija, pa sasvim suprotno, do čudotvornog lijeka za sve probleme zloupotrebe osobnih podataka  individualnih korisnika. Sada je jasno da su oba ta stajališta u velikoj mjeri pogrešna.

Iako je prošlo premalo vremena za bilo kakve konačne argumentirane zaključke, neki se početni trendovi već mogu prepoznati.

Promatramo li izvještaje medija unutar EU, vidljivo je da se u većini zemalja EU značajno povećao broj individualnih prijava o povredi osobnih podataka (tzv „data breach“) regulatornim agencijama za zaštitu podataka u odnosu na razdoblje prije GDPR-a, što je potpuno očekivani trend.

Isto tako je vidljiva (a često i jasno formalno iskomunicirana) namjera državnih regulatornih agencija za zaštitu podataka da u ovoj početnoj fazi primjene propisa djeluju prije svega upozorenjima bez financijskih sankcija, osim ako se radi o teškim i masovnim kršenjima pravila zaštite osobnih podataka.

U pojedinim zemljama vidljiv je i trend veoma pojačanih ciljanih akcija pojedinih aktivističkih organizacija koje podnose prijave o masovnim povredama GDPR pravila na štetu stotina tisuća korisnika usluga,  u pravilu protiv nekih od najvećih svjetskih korporacija kao što su Google ili Facebook. U takvim slučajevima često je predmet prijave nezakonito prikupljanje privola za obradu podataka, gdje su te organizacije prijavljene jer nisu u potpunosti ispoštovale stroge kriterije GDPR-a u pogledu pravne valjanosti privola i načina njihovog prikupljanja.

Mogući je zaključak da su neki od tzv. velikih igrača na tržištu obrade podataka ušli u kalkulirani rizik primjenjujući svjesno blaže ili nepotpune kriterije prilagodbe, računajući pri tome da je to potencijalno manja šteta nego mogući odljev njihovih korisnika zbog striktne provedbe propisa. Vrijeme će pokazati jesu li bili u pravu.

U javnom sektoru unutar EU najviše je prijava o nepravilnostima i povedama osobnih podataka bilo u dva područja: javnom zdravstvu i obrazovanju. To je i razumljivo obzirom da ta dva područja javnih usluga pokrivaju najveći broj individualnih korisnika, pa je i mogući rizik od povreda najprisutniji.

Što se u međuvremenu događa u Hrvatskoj? Promatrajući medijske izvore, u Hrvatskoj je pažnja javnosti u većini slučajeva usmjerena na slučajeve individualnih kršenja pravila zaštite podataka, dok je pojava kolektivnih masovnih prijava protiv prekršitelja još uvijek nepoznanica. Takva je situacija očekivana obzirom na i inače sporije premještanje trendova kolektivnih zahtjeva za zaštitu prava iz EU u Hrvatsku i ostale tzv. nove članice EU. Za očekivati je ipak da može u budućnosti doći i u Hrvatskoj do takvih kolektivnih akcija na sličan način kao i u slučajevima kolektivnih tužbi potrošača u financijskom sektoru, i to čim se ustanovi na GDPR-u zasnovana, odgovarajuća sudska praksa unutar EU u vezi s pojedinim pitanjem.

Primjetan je porast broja individualnih prijava i zahtjeva za zaštitom prava protiv prekršitelja, u većini slučajeva protiv prekršitelja iz javnog sektora, također u sektorima javnog zdravstva i obrazovanja, gdje je trend veoma sličan kao u ostatku EU.

I hrvatski regulator AZOP je također usmjerio svoje aktivnosti u ovom trenutku primarno na preventivno informiranje javnosti, dok će za procjenu razine strogosti u nadzoru ipak trebati pričekati redovno godišnje izvješće o aktivnostima AZOP-a koje će sadržavati konkretne podatke o vrstama i broju izrečenih kazni kao i drugih odluka.

U hrvatskom javnom sektoru je inicijalna prilagodba GDPR uredbi u velikom broju slučajeva urađena samo djelomično, i to uglavnom samo na osnovnoj razini implementacije internih pravnih pravila zaštite podataka, a bez ikakvih ozbiljnijih zahvata u smjeru potpune prilagodbe koja bi obuhvaćala i organizacijske i tehničko sigurnosne prilagodbe propisu, a što je neophodno da bi se u potpunosti ispoštovali zahtjevi GDPR uredbe. Takav izostanak cjelovitog pristupa procesu usklađenja ima više uzroka, a najznačajniji su, uz nedostatak predviđenih sredstava za takvu prilagodbu, i veoma često izostanak stručne i neovisne savjetodavne pomoći javnom sektoru u procjeni rizika i potreba takvog usklađenja, pa je sve prepušteno samostalnoj procjeni formalno odgovornih rukovoditelja i njihovoj želji i potrebi da na brzinu „zakrpaju“ problem u nadi da se nitko neće time detaljnije baviti.

Jedan od značajnijih uzroka zanemarivanju potrebe za cjelovitim projektima usklađenja u javnom sektoru jest i potpuno pogrešno tumačenje odredbe o tome na koga se točno u javnom sektoru odnosi oslobođenje od novčanog kažnjavanja ukoliko se utvrdi kršenje propisa, jer se stvorio pogrešan dojam da kompletan javni sektor spada u kategoriju oslobođenja, što je pogrešno tumačenje, a čak i da praksa rješavanja pojedinih postupaka bude takva, dakle bez određivanja novčanih kazni bilo kome u javnom sektoru, činjenica utvrđenja odgovornosti za kršenje GDPR uredbe uz oslobađanje od plaćanja kazne već je sama po sebi dovoljna za element protupravnosti i formiranje odgovornosti za štetu.

To u praksi znači da je u javnom sektoru potencijalno otvoren veliki prostor da se većina takvih usklađenja pri prvom ozbiljnijem testu sukladnosti pokaže neuspješnima u osiguranju potpune i stvarne zaštite osobnih podataka, i da to otvori prostor masovnijim pojavama odštetnih zahtjeva u slučaju bilo kakvih kršenja pravila zaštite.

Tu treba naglasiti bitnu ulogu regulatora to jest načina na koji će AZOP postupati u okviru svojih nadzornih ovlasti. Donošenjem pojedinačnih odluka o kršenju GDPR uredbe, makar i bez određivanja novčanih kazni, otvara se mogućnost za odštetne zahtjeve što će predstavljati značajan rizik za sve prekršitelje.  

Zaključno, može se reći da je početna faza primjene GDPR uredbe u Hrvatskoj usmjerila pažnju većine obveznika propisa na sređivanje osnovnih internih akata, ali je u značajnoj mjeri izostala cjelovita provedba organizacijskog i sigurnosno-tehničkog usklađenja, posebno u javnom sektoru, što nosi značajne rizike koji će se sasvim sigurno javljati povećanjem broja prijava prema organizacijama prekršiteljima, na identičan način kao što se već sad događa u informatički razvijenijim društvima u EU.

Autor: Mario Perica, odvjetnik

Leave a Reply

Your email address will not be published. Required fields are marked *