5 godina GDPR-a u Hrvatskoj – napokon na putu prema efektivnoj implementaciji uredbe?

Uredba o zaštiti osobnih podataka (GDPR) ranije je ove godine proslavila 5 godina svojeg postojanja. I dok su mnoge države proteklih 5 godina provele postavljajući visoke standarde zaštite, to nipošto nije bio slučaj u svim državama članicama. Činjenica je kako problemi poput zaštite podataka često padnu u drugi plan kada se usporede sa držanjem 57-og mjesta na globalnoj ljestvici korupcije, kao i ostvarenih natprosječnih rezultata u stopama nezaposlenosti i inflacije. Pa ipak, ta činjenica nikako nemože služiti kao opravdanje da agencija zadužena za zaštitu osobnih podataka (AZOP) zapravo pridonosi pogoršanju situacije.

Pa odakle započeti analizu? Možda od AZOP-ove web stranice koja je donedavno korisnike tek obavještavala o implementaciji tzv. tehničkih kolačića? Na ovu obavijest korisnici su mogli odgovoriti isključivo pritiskom na crveni gumb ‘Prihvaćam’. S druge strane, pomoću alata Webbknoll, bilo je moguće otkriti čak 5 zahtjeva upućenih vanjskim pružateljima usluga – 3 od tih 5 Google-u. Svega mjesec dana kasnije, situacija je ipak ponešto drugačija te je stranica sada u skladu sa zahtjevima Uredbe, ipak već sama činjenica da to donedavno nije bio slučaj dovoljna je da se postave pitanja glede kompetencija Agencije.

S druge strane, nesporno je da je rad Agencije daleko važniji od njezine web stranice. No jedan pogled na statistike rada Agencije je dovoljan da samo još više uzruja sve one već zabrinute oko sigurnosti njihovih podataka na teritoriju Hrvatske. Primjerice, prema podacima GDPRHub-a, Agencija je u posljednjih 5 godina donijela svega 22 odluke. Dok prema statistici Ius-Infa ovaj broj ipak iznosi čak 32. Možda ovo i nije toliko iznenađujuće ako uzmemo u obzir činjenicu da, prema Izvješćima Agencije Hrvatskom Saboru, agencija ima svega stotinjak prijavljenih incidenata godišnje. Možda su korisnici zapravo ti koji ne shvaćaju zaštitu vlastitih podataka dovoljno ozbiljno? Kratak posjet blogu ove korisnice s druge je strane dovoljan da preispitamo takve zaključke. U svojim objavama, autorica piše o svojim neuspješnim prijavama Agenciji, kao i o krajnjoj neprofesionalnosti i nepristojnosti zaposlenika. [1] Prema njima, dalo bi se zaključiti da čak i kad se korisnici pokušaju na nešto požaliti, njihovi glasovi budu ugušeni prije nego ih se zabilježi u godišnjem izvješću. I ako ovo sve nije bilo dovoljno, najhrabriji se mogu upustiti u čitanje nekih od donesenih odluka koje dolaze u varijacijama od smiješnih do jednostavno potpuno pogrešnih. Počevši od odluke glede Reiffeisen banke, kažnjene zbog nametanja naknade u visini 197 HRK (30 EUR) korisnicima za dostavu podataka glede njihovih kredita. Banka je na ovu odluku javno odgovorila izjavom kako sa navedenom praksom neće prestatiti pošto je ista unutar njihovih prava. Nikakve javne diskusije, nastavno na ovu izjavu, nije bilo. Nadalje preko vladinog virtualnog asistenata Andrije koji je bio dostupan bez Politike privatnosti.[2] Samo da bismo naposlijetku došli do odluke u pogledu slika osobe, koje su objavljene online, unatoč pismenom prigovoru na njihovo korištenje. U ovom je slučaju Agencija odlučila kako zapravo uopće nije bila riječ o osobnim podacima, pošto je identitet osobe bio neprepoznatljiv „prosječnoj osobi”. Pa se tako čini da dok je cijela Europa zauzeta postavljanjem sve viših standarda anonimizacije, te držanjem tradicionalno visokih zahtjeva za davanje valjanog pristanka, u Hrvatskoj je dovoljna majica s kapuljačom da fotografija bude anonimna, a za pristanak je dovoljno slučajno zakoračiti u kadar slike.

Trenutna situacija naravno nije nastala tek tako. Upravo suprotno, Agencija je već višetruko bila predmetom javnih prozivki. Tako je, primjerice, organizacija Politoscope u svojoj analizi rada Agencije iz 2021. javno kritizirala način na koji je trenutni presjednik Agencije došao na svoju poziciju. Predsjednik, osim što se u trenutku postavljanja na poziciju nalazio u sukobu interesa, također nije imao nikakvih kvalifikacija za svoju poziciju. Ovo se također može i provjeriti bacanjem kratkog pogleda na predsjednikov životopis, koji je (nadasve praktično) dostupan online. Nadalje, organizacija je također kritizirala ozbiljan manjak tehničkih eksperata među zaposlenicima Agencije, što s druge strane možda objašnjava zašto donedavno sama web stranica Agencije nije bila u skladu sa važećim propisima. Na kraju krajeva, kada samo jedan pravni fakultet u državi uopće nudi kurseve na temu GDPR-a, teško da situacija može bit drugačija. Ako se diplomirani pravnici moraju sami dodatno educirati u području zaštite podataka, kako možemo očekivati da će Agencija za Zaštitu Podataka adekvatno obavljati svoje zadaće ili da će građani biti svjesni svojih prava te kako ista mogu ostvariti? Pa ipak možda nije sve tako sivo. Naposljetku, Agencija je napokon uskladila vlastitu web stranicu sa standardima GDPRa, sve češće donosi odluke glede povreda uredbe, te objavljuje smjernice i edukativne materijale za implementaciju zakonskih obaveza nametnutih GDPR-om. Nadalje, firme u Hrvatskoj su počele zapošljavati stručnjake za zaštitu podataka, te zaštita podataka napokon postaje predmetom javne diskusije. Možda ipak ima nade.


[1] https://iskustvapotrosaca.com/agencija-za-zastitu-osobnih-podataka-azop/ , https://iskustvapotrosaca.com/ministarstvo-pravosuda-i-uprave/

[2] Nažalost Andrija više nije dostupan te prethodno korištena domena sada host-a portal o zdravlju.


Photo by Etienne Girardet on Unsplash

O autoru

DSC_6081-B

Tea Mustać

Tea Mustać je saradnik u advokatskoj kancelariji Spirit Legal u Lajpcigu.

Podelite