Nema poštede od GDPR-a za hrvatske građane i poduzeća u prvoj fazi primjene, a kada bi do toga i došlo, za Hrvatsku bi to mogao biti iznimno riskantan potez, potvrdili su iz Agencije za zaštitu osobnih podataka (AZOP).
Na upit planira li hrvatska u provedbi GDPR-a slijediti primjer zemalja članica poput Austrije i Francuske i omogućiti tzv. „grace period“, odnosno fazu prilagodbe u prvim mjesecima primjene nove Uredbe u kojem se ne bi drakonskim novčanim kaznama sankcioniralo veliku većinu poduzeća koja se još nisu prilagodila odredbama Uredbe, iz AZOP-a kažu:
„Vezano za navodni grace period u Francuskoj i Austriji, niti su te države niti je ijedna druga država članica EU-a donijele ikakvu odluku o „grace period“ s obzirom da je Uredba donesena prije 2 godine.“
U Hrvatskoj, kao i ostalim državama članicama EU, već je bio „grace period“ koji je trajao dvije godine jer je GDPR na snagu stupio u 2016. godini, ističu, a samom Uredbom, konkretno člankom 99., jasno i decidirano je propisano da GDPR u punu primjenu u svim državama članicama kreće s 25.5. 2018. godine.
Dodaju i da je svrha Uredbe zaštita pojedinca, a ako država članica ne osigura takvu zaštitu, ona može odgovarati za kršenje propisa EU pa čak i gore, pojedinac bi mogao državu tužiti za odštetu“, upozoravaju.
Naime, države članice koje ne poštuju pravo EU-a, odnosno, koje ne poštuju u konkretnom slučaju odredbe GDPR-a, podliježu infrakcijskim mjerama koje se pokreću od strane Europske komisije, tvrde iz AZOP-a.
Da Europska komisija može sankcionirati zemlju članicu koja nije usklađena s GDPR-om potvrdili su nam i iz hrvatskog Predstavništva Europske komisije.
“Europska komisija pozorno će pratiti primjenu uredbe o zaštiti osobnih podataka te podržati države članice u njenoj primjeni. Međutim, bude li potrebno - a vjerujemo da to neće biti slučaj - Komisija može pokrenuti postupak zbog povrede prava. “
Za razliku od AZOP-a, Lucijan Carić smatra, ne samo da je odgoda potrebna, već i da je sasvim izvjesna.
“Imam informacije da je Francuska odlučila da prve godine neće biti novčanog kažnjavanja i to je ono što bi trebala napraviti svaka pametna država”, tvrdi Lucijan Carić, stručnjak za informatičku sigurnost i GDPR skeptik. Dodaje i da je gotovo sigurno da ćemo ići putem Francuske, u odgodu novčanog kažnjavanja, jer nije moguće da AZOP obradi toliku gomilu slučajeva neusklađenih tvrtki, a nemaju niti potrebna tehnička znanja da donesu pravorijek u slučaju nepoštivanja Uredbe.
“Sada je sigurno da veliki broj članica Europske unije nije posve prilagođen GDPR-u”, misli Ana Keglović Horvat, pravnica i savjetnica iz konzultantske kuće AKH Consulting. Prema njezinim riječima bilo bi korisno da se uvede neki oblik odgode, ali to može biti dvosjekli mač.
“Može se dogoditi da napravimo odgodu novčanog kažnjavanja od godinu dana, ali ta će se odluka odnositi na novčane kazne nadzornog tijela, ali ne može poduzeća spasiti od privatnih parnica pojedinica”, tvrdi, a kao dodatan problem ističe i nemogućnost provjere usklađenosti. Naime, čak i tvrtke koje su napravile sve napore u usklađivanju nemaju se kome obratiti kako bi se uvjerili da su napravili sve po propisu, već moraju čekati nadzor.
Odgoda primjene izricanja novčanih kazni, kao i izricanje upozorenja pa tek nakon opetovanih prekršaja izricanje upravnih novčanih kazni, bio je jedan od nekoliko prijedloga i Hrvatske udruge poslodavaca upućenih radnoj skupini koja je radila na Zakonu o provedbi Opće uredbe o zaštiti podataka. Međutim, tvrdi Milica Jovanović iz HUP-a, za te prijedloge nije bilo sluha.