Ministarstvo regionalnog razvoja i europskih fondova te Klinička bolnica Dubrava, dvije su državne institucije koje se još uvijek nisu prilagodile Općoj uredbi o zaštiti osobnih podataka. Opća uredba ili GDPR s primjenom je krenula 25. svibnja, no prema podacima na web stranicama tih dviju institucija one su tek tri dana poslije, odnosno 28. svibnja javnom nabavom zatražile savjetodavne usluge vezane za usklađivanje s GDPR-om.
“Kasnije raspisivanje natječaja za nabavu dogodilo se zbog proceduralnog problema. Ministarstvo regionalnog razvoja i EU fondova još je u travnju raspisalo natječaj za javnu nabavu savjetodavnih usluga za prilagodbu GDPR, ali dio ćemo troška tog savjetovanja financirati iz fondova Europske unije tako da smo morali dokument javne nabave prilagoditi europskim propisima”, objasnili su iz Ministarstva regionalnog razvoja i EU fondova.
Također, na pitanje upućeno KB Dubrava koji je razlog kašnjenja s prilagodbom i trebaju li pacijenti biti zabrinuti jer se radi o njihovim osjetljivim medicinskim podacima, ravnatelj bolnice Srećko Marušić odgovorio je da će bolnica uskladiti svoje poslovanje s GDPR-om, ali i da već sada postupaju “u skladu s Pravilnikom o zaštiti prava pacijenata, zakonom o zdravstvenoj zaštiti i navedenoj Uredbi”.
Teži pristup
Iako je više od tjedan dana prošlo od primjene te Uredbe i većina se velikih privatnih kompanija, poput banaka i telekoma, prilagodila GDPR-u u zakonskom roku jer kazne za neprilagođavanje mogu biti i do maksimalnih 20 milijuna eura, neke su državne institucije ipak odabrale ležerniji pristup. Razlog tome može biti u Zakonu o provedbi Opće uredbe o zaštiti podataka kojim su tijela javne vlasti, odnosno državna uprava i druga državna tijela kao i jedinice lokalne i regionalne samouprave izuzete od plaćanja ogromnih kazni kojima podliježu privatne tvrtke čak i ako nadzorno tijelo Agencija za zaštitu osobnih podataka (AZOP) uoči nepravilnosti u provedbi Uredbe.
“Obveze AZOP-a prema tijelima javne vlasti iste su kao i prema ostalima, a državne institucije nisu izuzete od prilagodbe”, odgovor je iz AZOP-a. Isto tako, kažu, iako su državna tijela pošteđena drakonskog novčanog kažnjavanja, nisu izuzete od toga da se pojedinac obrati Općinskom sudu i tamo zatraži svoja prava. Drugim riječima, tuži instituciju za koju smatra da s njegovim podacima nije postupala u skladu s Uredbom.
Na pitanje o usklađenosti državnih tijela, a posebno ministarstava s GDPR-om iz AZOP-a su oprezno potvrdili da su sva ministarstva GDPR shvatila jako ozbiljno. Doista, neka i jesu. Primjerice, Ministarstvo financija, javnu je nabavu savjetodavnih usluga za prilagodbu s GDPR-om raspisalo čak u studenom prošle godine, a o ozbiljnosti svjedoči i 199.000 kuna bez poreza koliko su u resoru Zdravka Marića procijenili vrijednost te nabave.
Samo 20 posto tvrtki usklađeno
Da je takvo traženje savjetovanja pozitivna stvar smatra Igor Strmečki iz Instituta za zaštitu osobnih podataka. “Sada barem ne misle da se ne moraju prilagođavati GDPR-u ako su izuzeti od novčanog kažnjavanja”, naglašava Strmečki. Međutim, situacija je puno drugačija za manja hrvatska poduzeća i obrtnike. Prema podacima Instituta, tvrdi Strmečki, s GDPR-om je usklađeno tek 20 posto hrvatski tvrtki.
“Najviše nam se javljaju hotelijeri, knjigovodstveni servisi i udruge, a pitanja su još uvijek što trebamo napraviti i koliko to košta”, istaknuo je Igor Strmečki i dodaje da će u narednom razdoblju posebno oprezni morati biti svi pružatelji usluga prema krajnjim korisnicima poput komunalaca, banaka i telekoma jer su najizloženiji mogućim prijavama. Isto tako, medicinski djelatnici, najviše oni koji posluju sa strancima, moraju biti na oprezu jer za nepridržavanje Uredbe može ih se prijaviti u bilo kojoj zemlji Europske unije.
“Vjerujem da AZOP u ovom trenutku neće ići represivno, ali, ipak, dođe li do konkretne prijave AZOP će morati u nadzor”, upozorava Strmečki.
Nadzor AZOP-a
Kako bi točno trebao izgledati AZOP-ov nadzor objasnio je Igor Vulje, načelnik službe za nadzor i središnji registar.
“U svakom se pojedinačnom prijavljenom slučaju prvo mora ispitati kakve su točno posljedice bile po ispitanika, je li voditelj obrade podataka poduzeo potrebne mjere da to spriječi, pa onda kakvo je stanje podataka unutar sustava, masa je tu elemenata koji će definirati konačni iznos novčane kazne”, tvrdi Vulje i dodaje da će najčešći slučajevi prijava biti da neki službenik, možda i nehotice, zatraži osobne podatke bez da naglasi u koju ih svrhu točno koristi. Potom, nemogućnost brisanja podataka iz određenih sustava nakon što pojedinac zatraži “zaborav”, a problem koji se i sada često javlja jest zamjena identiteta u naplati komunalnih usluga.
Ukupno 590 upita i žalbi zaprimili su u prvom tjednu primjene GDPR-a, ističu iz AZOP-a, ali zasad građani još uvijek najviše prijavljuju e-mailove koji dolaze u njihove sandučiće elektroničke pošte bez da su oni za to dali privolu.
“Često je slučaj da se građani požale na određeni problem bez da dostave svu potrebnu dokumentaciju, primjerice, s koje adrese poruke stižu ili koji je točno sadržaj poruka”, kaže.