Sa Zdravkom Vukićem, ravnateljem Agencije za zaštitu osobnih podataka, u povodu obilježavanja Europskog dana zaštite osobnih podataka razgovarali smo o informiranosti i pravima građana proisteklima iz Opće uredbe o zaštiti podataka, pogreškama pravnih osoba, kaznama prekršiteljima obaveze iz Opće uredbe o zaštiti podatka te o planovima Agencije u ovoj godini. I ovog puta upozorio je da su osobni podaci naša najvrednija imovina te ih tako moramo i čuvati.
Obilježavamo Europski dan zaštite osobnih podataka. Jesu li građani danas, gotovo četiri godine nakon stupanja na snagu Opće uredbe o zaštiti podataka, svjesni prava na zaštitu osobnih podataka?
- Građani su svjesni da imaju prava koja im jamči Opća uredba o zaštiti podataka, ali nisu dovoljno upoznati s njima i često ih krivo tumače.
U Agenciji intenzivno radimo kako bismo podigli svijest o zaštiti osobnih podataka kod građana, ali se i dalje susrećemo s čestim jednakim upitima zbog pogrešnog tumačenja određenih odredbi Uredbe. Najčešća je zabluda to što građani misle da otkad je GDPR stupio na snagu, za sve moraju dati svoju privolu i, ako ne žele dati privolu, da se tada njihovi podaci ne smiju obrađivati, što apsolutno nije točno. Privola je samo jedan od pravnih temelja za obradu osobnih podataka.
No, tu ne griješe samo građani, nego i pravne osobe koje ponekad nepotrebno traže od građana privolu jer često podatke moraju obrađivati temeljem zakona i tada privola nije potrebna. Primjerice, kada dođete u banku i želite otvoriti račun, vi morate dati presliku osobne iskaznice jer je banka temeljem zakonskih propisa dužna od vas to tražiti.
Spomenuli ste da često griješe i pravne osobe. U kojoj mjeri nadležni u kompanijama razumiju svoje obaveze iz Opće uredbe o zaštiti podatka?
- Većina velikih tvrtki ima dovoljno financijskih i ljudskih resursa potrebnih za usklađivanje s odredbama o zaštiti podataka, ali primijetili smo da se mnoge male tvrtke zbog nedostatka resursa i dalje suočavaju s brojnim dvojbama pri usklađivanju s Općom uredbom o zaštiti podataka. Stoga smo pokrenuli projekt "Awareness Raising Campaign for SMEs", kojim pružamo podršku srednjim, malim i mikro tvrtkama.
Samo prošle godine, unatoč pandemiji covida-19 i mjerama, održali smo više od 50 radionica na kojima je sudjelovalo nekoliko tisuća poduzetnika i time smo izuzetno zadovoljni. Naš je cilj, koliko je god moguće, educirati poduzetnike i službenike za zaštitu podataka jer vrlo velik broj njih iz neznanja ne postupa u skladu sa zakonodavnim okvirom o zaštiti podataka.
Nije nam cilj kazniti samo da bi se kaznilo, odnosno kazna nije sama sebi svrha. Naš je cilj prvenstveno zaštititi temeljno pravo hrvatskih građana, a to je pravo na zaštitu podataka, a ne otežavati poduzetnicima i ostalim subjektima poslovanje, stvarati dodatne namete i administrativna opterećenja, kako nam se često predbacuje.
Kolike su kazne ako poduzetnici ne posluju u skladu sa zakonodavnim okvirom o zaštiti podataka?
- Kontinuirano upozoravamo da poduzetnici, ali i fizičke osobe, dakle svi voditelji i izvršitelji obrade, moraju poštivati obveze iz Opće uredbe za zaštitu podataka, a u suprotnome mogu biti kažnjeni. Kazne koje propisuje Opća uredba su vrlo visoke i mogu sezati do čak 20 milijuna eura ili u slučaju poduzetnika do četiri posto ukupnoga godišnjeg prometa na svjetskoj razini za prethodnu financijsku godinu.
Voditelj i izvršitelji obrade najčešće griješe jer ne poduzimaju tehničke i organizacijske mjere što dovodi do zloporabe osobnih podataka, a upravo zbog toga smo izrekli i kazne.
Najviša kazna koju je Agencija izrekla je viša od milijun kuna, i to banci koja je odbijala dostaviti osobne podatke građanima na njihovo traženje, a na što građani imaju pravo.
Dakle, izrečena je kazna jer nisu ispunjena prava građana. Što točno GDPR jamči građanima?
- Kratko i jasno, građani imaju pravo znati tko, zašto i u koju svrhu obrađuje njihove podatke. Svaki voditelj obrade, bila riječ o banci, bolnici ili teleoperateru, mora vas transparentno i na razumljiv način obavijestiti kako obrađuje vaše podatke.
Vjerojatno to svi ne znaju, ali samo jedno od prava je da u svakom trenutku od voditelja obrade možete zatražiti pristup, odnosno kopiju svojih osobnih podataka. Na našoj web stranici i aplikaciji GDPR Hrvatska pripremili smo korisne materijale koji ukratko i na razumljiv način prezentiraju sva prava koja jamči Opća uredba o zaštiti podataka i kako ih ostvariti.