Kazne za prekršitelje

Četiri slova, GDPR, postala su ili, bolje rečeno, za većinu tvrtki tek će postati noćna mora. Naravno, da se krenulo na vrijeme u prilagodbu zahtjevima koje donosi famozna Opća EU uredba o zaštiti osobnih podataka pojedinca (General Data Protection Regulation) iz 2016., o čemu smo već pisali u Lideru, problem ne bi tako velik. No ne da se nije krenulo u prilagodbu nego, prema informacijama od ljudi upućenih u problematiku, više od 60 posto tvrtki u Hrvatskoj nije ni čulo za GDPR, a kamoli da znaju kako s tom sveobuhvatnom i kompleksnom regulativom moraju biti potpuno usklađeni do 25. svibnja 2018. Dakle, za šest mjeseci. Kod javnih tvrtki i institucija situacija je još gora. A ono što je izazvalo paniku među rijetkim…

Kao roditelj dali ste zahtjev gradu za određena financijska sredstva, bilo da je riječ o zahtjevu za sufinanciranje udžbenika, bilo da je riječ o zahtjevu za novčanu pomoć za opremu novorođenčeta. Od vas se kao roditelja traži, naravno, cijeli niz podataka. Među njima su i obostrana kopija osobne iskaznice i bankovne kartice. To se zove prekomjerno prikupljanje podataka i kažnjivo je prema sadašnjem Zakonu o zaštiti podataka, ali kada 25. svibnja 2018. godine na snagu stupi GDPR, to će biti krimen neviđenih razmjera.

Postoje dva seta kršenja, za neka kršenja (obveze voditelja i izvršitelja obrade te certifikacijskog tijela i tijela za praćenje kodeksa ponašanja) propisana je maksimalna kazna u iznosu od 10 milijuna eura ili dva posto godišnjeg prometa na svjetskoj razini. Za druga kršenja (načela obrade, prava ispitanika, prijenosi u treće države, obveze u skladu s nacionalnim pravom, nepoštovanja naredbe ili pravo pristupa nadzornog tijela) propisana je maksimalna kazna do 20 milijuna eura ili četiri posto godišnjeg prometa na svjetskoj razini, ovisno o tomu što je veće. Prilikom izricanja novčanih upravnih kazni vodit će se računa da je takva sankcija učinkovita, razmjerna i odvraćajuća, a za određivanje iznosa konkretne novčane upravne kazne morat će se uzeti u obzir jedanaest kriterija poput prirode, težine i trajanja kršenja, vrste krivnje, mjera ublažavanja štete, prijašnjih kršenja, tehničkih i organizacijskih mjera primijenjenih u obradi podataka itd.

Podižete kredit u banci ili sklapate policu osiguranja. Naravno, za to je potrebna neviđena količina dokumenata, obrazaca i podataka. Odavno je poznato da financijske institucije o nama znaju više od roditelja i liječnika. Do sada je praksa bila takva da su financijske institucije tražile svakakve podatke (od onih obveznih kao što su ime, prezime, kontakt-telefon, OIB, adresa, do onih koji nisu obvezni – vrsta obiteljskog života (brak, izvanbračna zajednica, partnerstvo) i slično. Nerijetko bi financijske institucije uvjetovale upisivanje takvih podataka za pružanje usluge. Kada jednom na snagu stupi GDPR, podaci koji nisu nužni, nego dobrovoljni ne smiju biti uvjet za dobivanje usluge. Dakle, klijent može odbiti dati pristanak davanju takvih podataka, a i dalje dobiti uslugu. Ili može dati pristanak.

Svatko je u svome životu u nekome trenutku nekome dao svoje podatke, bilo u frizerškom salonu bilo telekomunikacijskoj kompaniji. Privatne osobe, ako ih sada pitate gdje su i kome u posljednjih 15 godina dale neki oblik osobnog podatka, odgovorit će da ne znaju. GDPR će u tom segmentu uvesti reda. Svi dakle mogu od pravne osobe tražiti brisanje podataka koje ima. Naravno, rijetko tko zna kome je i kada dao neki podatak. Stoga će sve tvrtke koje imaju bilo koji osobni podatak fizičke osobe morati tražiti dozvolu za korištenje ili ga obrisati. Stoga građani mogu očekivati da će ih se do kraja svibnja masovno kontaktirati. Primjer su takozvane kartice vjernosti. Tvrtke koje se u svome poslovanju služe takvim karticama, morat će kontaktirati sve svoje klijente kako bi od njih zatražile dopuštenje.

Postoje tri mogućnosti da tvrtka koja ima osobni podatak kontaktira osobu čiji podatak ima i želi pristanak. Iako još uvijek nije do kraja razjašnjeno što konkretno znači pristanak, odnosno kojim načinom je taj pristanak zatražen, postoje tri mogućnosti. Prva je telefonski poziv tvrtke koja ima osobne podatke neke fizičke osobe. No takva je mogućnost vrlo ‘nategnuta’ jer bi tvrtka koja ima podatke trebala čuvati snimku tog poziva, što stoji. Druga mogućnost je slanje elektroničkom poštom. Dakle, fizička osoba dobije e-mail putem kojeg klikne ‘dopuštam’ ili ne ‘dopuštam’ i to je najmanje skupa opcija. Treća opcija je slanje pisma koje fizička osoba potpisuje za svoj pristanak ili ne daje svoj pristanak. Iako, neki upozoravaju kako bi marketinška industrija mogla slati takva pisma s ubačenom rečenicom – ako ne vratite ovo pismo s izričitom zabranom pohranе vaših osobnih podataka u roku od toliko i toliko dana, ona će se smatrati pristankom. To je škakljiv teren za koji još nitko ne zna hoće li biti dopušten ili ne.

Ono što osobito muči poduzetnike koji su počeli razmišljati o novoj regulativi njezin je utjecaj na njihove marketinške i prodajne aktivnosti. Prodaja nekog proizvoda ili usluge više nije samo njezino oglašavanje u nekom mediju, nego se izravno pokušava doći do krajnjega kupca odnosno korisnika. Bilo da je riječ o frizer-skom salonu, dućanu bilo telekomu. Marketing se više ne može samo baviti brendiranjem i smještanjem oglasa, već mora analizirati kupce. Isto vrijedi i za HR, nabavu i financijske funkcije u većini industrija. Svatko tko raspolaže velikim količinama podataka, trudi se naprednom analizom ostvariti tržišnu prednost. Svaka takva tvrtka ima barem neki podatak o svojim kupcima, a svaki skup podataka koji može identificirati određenog pojedinca, bilo da se odnosi na njegov privatni bilo profesionalni život (e-mail adresa, OIB, adresa, podaci o bankovnim računima itd.), podliježe novoj regulativi.

Nova prava građana jednostavno možemo predstaviti uvođenjem privola za upotrebu osobnih podataka. Ovaj put to je znatno više od informacija o upotrebi web-kolačića koje danas imamo, a prava će se zasigurno mnogo striktnije primjenjivati. Prvo treba naglasiti da svaki građanin EU temeljem Uredbe sam raspolaže svojim osobnim podacima. Uredbom dobiva pravo na informiranje, ispravak, uskraćivanje privole, pravo na preseljenje podataka te pravo na zaborav – kaže Danko Pigac iz tvrtke Pragmatekh koja se bavi konzultingom u području GDPR-a i nudi uslugu DPO for rent. Kako će to funkcionirati? Jednostavno, ističe Pigac, jer svaka tvrtka za upotrebu osobnih podataka mora dobiti privolu. Privola je jedinstveni dokument kojim dajete pravo tvrtki da prikupi, upotrijebi i/ili obrađuje vaše osobne podatke. Mora biti pisana kratko i jednostavnim jezikom te mora navesti za koje podatke osoba dopušta prikupljanje, koliko dugo oni mogu biti pohranjeni te za koje obrade smiju biti korišteni. U svakom trenutku ispitanik može zatražiti informaciju o svojim osobnim podacima koje tvrtka ima te, ako nema ugovorne obveze, može privolu povući kada to želi.

Na primjer, navodi Pigac, puštiti ste web-trgovcu da vam šalje informacije o svojoj ponudi. Kad je uskraćite, a on vam nastavi slati ponudu, slobodni ste ga prijaviti regulatoru, bez obzira gdje se u svijetu nalazi njegovo sjedište. A ustanovi li se namjerno kršenje Uredbe i u masovnom obliku, moguće su i najstrože kazne. Najspecifičnije je pravo na zaborav, kojim možete od tvrtke tražiti da ‘zaboravi’ sve vaše osobne podatke. To je, u tehničkom smislu, možda i najzahtjevniji dio prilagodbe GDPR-u. Uobičajena mjerila veličine tvrtke za GDPR ne vrijede. U GDPR kontekstu velika je tvrtka koja prikuplja i/ili obrađuje velike količine osobnih podataka. Vrijeme usklađivanja s GDPR-om prije svega ovisi o zatečenom stanju. Velika većina GDPR-ovih zahtjeva je organizacijske prirode. Uz potporu uprave, te je zahtjeve relativno jednostavno riješiti. S druge strane, zahtjevi za IT sustav i upravljanje IT sustavom malobrojni su, ali mogu biti kompleksni, a njihovo rješavanje skupo i dugotrajno. Tako je primjerice zbog strogosti regulative HNB-a većina banaka davanje investirala u sigurnost svojih IT sustava pa će investicije tamo biti manje. S druge strane, mnogo je tvrtki koje su doslovce gradile poslovne modele kršćić pravo na privatnost. Takve će zasigurno biti prve na udaru regulatora i njima će za usklađivanje trebati godine – ističe Biljana Cerin iz Ostendo Consultinga, koji najviše GDPR projekata radi za farmaceutske tvrtke, telekome, energetiku, medije i tvrtke za ispitivanje tržišta te financijske.

Visina kazne nije vezana uz veličinu tvrtke, već uz vrstu povrede sukladnosti sa zahtjevima Uredbe te povrede osobnih podataka – razmatra se je li se povreda dogodila zbog toga što je općenito sigurnost osobnih podataka loše uspostavljena ili je riječ o izoliranom slučaju. Nažalost, stopotna sigurnost nije moguća, tako da je realno očekivati da će se povreda događati. Na organizacijama je da poduzmu sve razumne mjere da to spriječe.

U slučaju curenja ili narušavanja dostupnosti i integriteta osobnih podataka s posljedicama za vlasnike, tvrtka je dužna prijaviti incident AZOP-u i vlasnicima podataka, AZOP izlazi u nadzor. Sanke seže od obične opomene pa sve do kazne od maksimalnih četiri posto godišnjih prihoda, odnosno 20 milijuna eura. Osim plaćanja kazne, organizacija je dužna nadoknaditi štetu uzrokovano neadekvatnim ponašanjem prema osobnim podacima. Tu se otvara prostor za privatne tužbe. S obzirom na to da se danas osobni podaci obrađuju automatski u velikim količinama, moguće štete bit će mahom uzrokovane nedopuštenim procesiranjem osobnih podataka, što znači da će se pojedinačna šteta množiti s brojem oštećenih. Pojedinačna šteta od 10 eura, na primjeru telekoma s milijun korisnika dosegla bi 10 milijuna eura. Količina podataka u zdravstvenom sustavu još je veća, kao i njihova osjetljivost i potencijalna šteta. No ako tvrtke krenu u prilagodbu, znatno će smanjiti mogućnost incidenta ili zloupotrebe osobnih podataka. Nadležno će tijelo čak i ako se incident dogodi, taj trud uzeti u obzir kod razrezivanja kazne. Sustavno zanemarivanje sigurnosti osobnih podataka, nebriga i pogotovo neetička primjena osobnih podataka za postizanje dobiti sigurni su putevi prema maksimalnoj kazni. No mnogo će toga ovisiti i o kapacitetima AZOP-a.

Kao i kazne tako i imenovanje službenika za zaštitu podataka (Data Protection Officer, DPO) ne ovisi o veličini tvrtke, već o vrsti i količini obrade osobnih podataka. Prema Uredbi DPO se mora imenovati u svakom slučaju u kojem: obradu provodi tijelo javne vlasti ili javno tijelo, osim za sudove koji djeluju u okviru svoje nadležnosti, zatim kada se osnovne djelatnosti voditelja obrade ili izvršitelja obrade sastoje od postupaka obrade koji zbog svoje prirode, opsega i/srva iziskuju redovito i sustavno praćenje ispitanika u velikoj mjeri ili kada se osnovne djelatnosti voditelja obrade ili izvršitelja obrade sastoje se od opsežne obrade posebnih kategorija podataka. Za usklađivanje s tom regulativom osim odličnog poznajanja Uredbe i svih tumačenja koja su u vezi s njezinom primjenom objavili EU i lokalni regulator, neophodno je odlično razumijevanje kompleksnih informacijskih sustava, informacijske sigurnosti, poslovnih procesa, pravnog aspekta i zaštite privatnosti. To su, ističe Cerin, potpuno različiti setovi znanja i iskustva koje je gotovo nemoguće pronaći u istoj osobi. Zato je potrebno angažirati konzultante i pravnike s adekvatnim znanjima ili unutar kompanije odrediti osobe koje će se time baviti. Iako ne postoje čarobna i jednostavna rješenja, GDPR je postao i poslovna prilika za mnoge, od konzultanata, DPO-a za unajmljivanje, odvjetničkih ureda koji se specijaliziraju za GDPR do gotovo svake IT tvrtke koja u ovoj prilagodbi vidi priliku za prodaju vlastitih rješenja. No, kako upozorava Pigac, usklađivanje poslovanja s GDPR-om traži holistički pristup koji pomiruje poslovni, tehnički i sigurnosni aspekt, a implementaciju bi zbog sveobuhvatnosti trebala pokretati uprava kompanije. Generalno, GDPR prije svega znači izgradnju korporativne kulture koja cijeni pravo na privatnost, što je dug put za sve.