Foto: 123rf/Index

UPRAVO je u tijeku javno savjetovanje o Prijedlogu Zakona o provedbi opće uredbe o zaštiti podataka (GDPR) koji će tijekom svibnja stupiti na snagu u svim članicama Europske unije. Ono što je odmah upalo u oči svima koji su čitali prijedlog jest da se državna administracija izuzela od novčanih kazni za kršenje Zakona koje su inače vrlo visoke i kreću se do čak 20 milijuna eura.

Privatne tvrtke ako prekrše GDPR kazne će plaćati - administracija neće.

GDPR regulira baratanjem osobnim podacima građana. Osobne podatke svi mi stavljamo na raspolaganje raznim tvrtkama, bankama, telekomima i državnoj administraciji, a uredbom bi se trebala omogućiti veća kontrola što se s tim podacima kasnije događa kako bi se spriječile razne zloupotrebe.

Zašto barem ne kažnjavaju čelnike institucija?

Za pojašnjenje ove situacije i komentar prijedloga Zakona obratili smo se Ani Keglović Horvat iz AKH Consultinga.

"Prijedlogom Zakona o provedbi Opće uredbe o zaštiti podataka nije predviđeno da se tijela javne vlasti izuzimaju od apsolutno svih kazni za povrede GDPR-a, nego da im se za povrede GDPR-a ne bi izricale novčane upravne kazne. To bi značilo, prema ovom prijedlogu, da im je moguće izreći druge sankcije poput upozorenja, opomene, zabrane obrade i slično. Dakle, predlaže se da ih se izuzme od plaćanja novčane kazne, a ne svake moguće sankcije. Ako se ne želi izricati novčane upravne kazne tijelu javne vlasti, zašto se barem ne predvidi izricanje novčane upravne kazne čelniku tijela javne vlasti za eventualne povrede GDPR-a?

GDPR je predvidio da se nacionalnim zakonodavstvima svake pojedine države članice uredi ovo pitanje kako same članice žele, odnosno da tijela javne vlasti mogu biti izuzeta od izricanja novčane upravne kazne za povrede, pa je naš predlagatelj Zakona tu mogućnost i potvrdio u prijedlogu Zakona", kaže Keglović Horvat.

Kazne idu i do 20 milijuna eura

Kazne koje će u Hrvatskoj očito plaćati samo privatne tvrtke penju se čak do 20 milijuna eura, odnosno 4 posto globalnog prometa neke tvrtke, a visoke novčane kazne predviđene su i za fizičke osobe. Osim kada je u pitanju administracija.

"Ovisno o vrsti povrede, mogu se izreći različite kazne. Kriteriji izricanja novčanih upravnih kazni uzimat će u obzir o kakvoj se vrsti, opsegu, težini i trajanju povrede radi, radi li se o posebno štićenim kategorijama podataka, koje i kakve mjere zaštite je voditelj ili izvršitelj obrade poduzimao ili poduzima, koliko je odgovorno pristupio prilagodbi svog poslovanja odredbama GDPR-a, je li nastupila i ako jest kakva šteta, što je voditelj ili izvršitelj obrade poduzeo da se ublaži ili minimalizira šteta, kakva je povijest njegova postupanja po pitanju zaštite podataka, je li i prije imao zabilježene povrede GDPR-a i slično.

Za povrede GDPR-a određena je maksimalna novčana upravna kazna u iznosu od 20 mil. eura ili 4 % godišnjeg globalnog prometa, ovisno što je veće za povrede prava ispitanika, načela obrade, nepoštivanje naredbe ili omogućavanje pristupa nadzornog tijela te posebne povrede vezane uz prijenos podataka u treće zemlje. Osim ovih novčanih upravnih kazni, maksimalnom kaznom u iznosu od 10 mil. eura ili 2 % godišnjeg globalnog prometa može se kazniti voditelja ili izvršitelja obrade, kao i certifikacijsko tijelo ili tijelo koje je nadležno za praćenje kodeksa ponašanja.

Ostale kazne prema kriterijima koje će definirati izricat će AZOP (Agencija za zaštitu osobnih podataka op.a.). Ako se radi o povredi manjeg opsega i značaja ili ako se radi o primjerice mikro poduzetniku, moguće je izreći upozorenje bez novčane kazne", kaže Keglović Horvat.

Administracija neopravdano u povoljnijem položaju u odnosu na poduzetnike 

Keglović Horvat smatra da se izuzimanjem tijela javne vlasti od novčanih kazni ona neopravdano stavlja u povoljniji položaj u odnosu na poduzetnike, pogotovo ako se uzme u obzir da nismo zemlja koja dugo godina intenzivno radi na ovoj problematici.

"Prema odredbama GDPR-a za povrede će se izricati sankcija koja je po svom karakteru odvraćajuća, srazmjerna povredi i okolnostima, ali i nadasve učinkovita kako bi se postigla upravo svrha kažnjavanja. EU nastoji visokim, a za neke i drakonskim kaznama osigurati ujednačenu primjenu GDPR-a u svih (još uvijek) 28 država članica.

Imajući na umu razinu svijesti o važnosti zaštite osobnih podataka, način poslovanja i sve  spomenute kriterije koji se uzimaju u obzir kod izricanja kazni, kao i svrhu kažnjavanja, smatram da se izuzimanjem tijela javne vlasti od mogućnosti izricanja novčanih upravnih kazni ona stavlja u neopravdano povoljniji položaj u odnosu za poduzetnike. Naime, da se radi o državi koja dugo i intenzivno radi za zaštiti osobnih podataka, koja već dugi niz godina vodi stroge nadzore i izriče kazne prekršiteljima te svojim primjerom poslovanja pokazuje svima u društvu da je spremna biti primjer u zaštiti osobnih podataka (i javnom i privatnom sektoru), tada bi bilo opravdano isključiti tijela javne vlasti od novčanih upravnih kazni. Budući da Hrvatska ne spada u takve zemlje i da je popis tijela javne vlasti u Hrvatskoj i veliki i šarolik, smatram da se svrha kažnjavanje i temeljna načela primjene GDPR-a neće ostvariti u Hrvatskoj ako ovakav prijedlog bude usvojen.

U Hrvatskoj je i javnom i privatnom sektoru potrebno da jako podignu svijest o važnosti zaštite osobnih podataka i načinu poslovanja usklađenom s GDPR-om na dobrobiti i svog poslovanja, a posebno na dobrobit građana čije podatke trebamo i moramo štiti po GDPR-u i zakonu", zaključuje Keglović Horvat.