S Biljanom Cerin, direktoricom Ostendo Consultinga te priznatom svjetskom IT stručnjakinjom koja se posebno angažirala u domeni zaštite osobnih podataka razgovarali smo učincima te uredbe u Hrvatskoj povodom Europskog dana zaštite podataka koji je 28. bio proteklog tjedna 28. siječnja.
Primjena GDPR-a je obavezna već skoro dvije godine, kako se Hrvatska nosi s tim obvezama?
- Velika većina organizacija u Hrvatskoj nije shvatila bit regulative iz područja zaštite osobnih podataka i privatnosti. To se jednako odnosi na državnu upravu i gospodarstvo, a suština je vrlo jednostavna: Etičnost, transparentnost i odgovornost u rukovanju osobnim podacima.
Kršenje naših prava vidimo gotovo na svakom koraku. Nedavno curenje i zlouporaba podataka o pacijentima naručenima na operaciju koljena, uvjetovanje pružanja usluga (pa čak i od strane javnih institucija) davanjem privole za obradu osobnih podataka, zaostale prakse pohranjivanja kopija kreditnih kartica po turističkim agencijama i hotelima, nezakonito korištenje podataka koji su prikupljeni s potpuno drugom svrhom......
U suradnji sa stručnim glasilom GDPR Novosti, nedavno su provedena dva ispitivanja kršenja prava na zaštitu osobnih podataka u sektorima za koje smo smatrali da su od ključnog značaja za građane Republike Hrvatske i EU. To su zdravstvo i turizam. Uočeno je sve, od nezakonitih obrada podataka preko nemogućnosti ispunjavanja prava, do potpunog zanemarivanja zaštite osobnih podataka kako u javnim IT servisima, tako i u ustaljenim poslovnim procesima.
Kako objašnjavate te zaključke?
Teško se oteti dojmu da je, kad pričamo o GDPR-u, glavni cilj većine organizacija bio pukim usklađivanjem papirnate dokumentacije u strahu od velikih kazni prikriti nečinjenje. Potpuni nedostatak volje vidljiv je i iz imenovanja Službenika za zaštitu podataka koji unatoč vrlo jasnom zahtjevu GDPR-a u pravilu nemaju ni odgovarajuća znanja, niti na raspolaganju imaju resurse koje im je uprava zakonom dužna osigurati. Uloga Službenika za zaštitu podataka je savjetovati upravu. Učestalost imenovanja osoba bez odgovarajućih znanja, ovlasti i odgovornosti na ovu poziciju jasan je pokazatelj nebrige za zaštitu osobnih podataka u Hrvatskoj.
Nitko nije kažnjen zbog povreda GDPR-a u Hrvatskoj, je li to realno stanje?
– Visoke kazne predviđene GDPR-om nisu zamišljene kao neki parafiskalni namet koji bi povećao već ionako visoke troškova poslovanja u Hrvatskoj, kako se to često pokušava prikazati. One moraju biti učinkovito sredstvo odvraćanja od kršenja ljudskih prava baš kako to u Uredbi i piše, i u svrsi su naše zaštite. Kako nas kazna za obijesnu vožnju štiti od obijesnih vozača, tako nas GDPR štiti od obijesnog rukovanja našim podacima.
Teško je povjerovati da postoji prihvatljivo opravdanje za nepropisivanje ovakvih kazni u Hrvatskoj. Očito je da se prava na zaštitu podataka u masovno krše. Nedostatak resursa i kompetencija na koje se Agencija za zaštitu osobnih podataka (AZOP) poziva još od početka svog rada, ne mogu se smatrati opravdanjem za nečinjenje. Sretali smo i sa drugim nadzornim tijelima poput onoga u Velikoj Britaniji i Francuskoj. Njihove su reakcije mnogo brže i odgovori konkretniji.
Kako onda osvijestiti i educirati građane i tvrtke?
Javnim nastupima, osobnim prisustvom čelnih ljudi u medijima, pozitivnom motivacijom i konkretnim savjetima nadzorna tijela moraju raditi na povećanju sigurnosti osobnih podataka. Kazne su isključivo mjera odvraćanja koju treba koristiti kad za to postoji dobar razlog. Tad ih stvarno treba koristiti, a ne izbjegavati izreći. Umjesto da proaktivno doprinosi zaštiti osobnih podataka, AZOP se zatrpava administrativnim poslovima i vrijeme troši odgovarajući na beskonačne upite tijela javne vlasti. Ta su tijela u tu svrhu već davno morala imenovati Službenike za zaštitu podataka, ali ne bilo kakve, nego kompetentne i sposobne za obavljanje odgovorne funkcije savjetovanja svojih čelnika. Oni su imenovani, a AZOP je bez ikakvog dokaza obaveznih kompetencija ova imenovanja prihvatio i sada radi njihov posao umjesto da se bavi pravim problemima.
Angažirali ste se po pitanju edukacije i rada kada se radi o zaštiti podataka, ipak, kažete da većina ljudi nije upoznata sa svojim pravima?
– Široka javnost u pravilu nije zainteresirana za svoja prava jer s njima nije upoznata. To je začarani krug koji će se, kako stvari stoje, vjerojatno prekinuti tek nekim ozbiljnim incidentom. Jedan od najvećih problema kod zaštite osobnih podataka jest nedostatak svijesti o njihovoj vrijednosti i utjecaju koji mogu prouzročiti na naš život. GDPR nije samo o zaštiti od nedozvoljenog slanja elektroničke pošte i internetskog reklamiranja. On je o zaštiti našeg zdravstvenog kartona, stanja na bankovnom računu, dugovanjima, evidenciji kažnjavanja... Trebamo li dočekati krivo propisane lijekove, nestanak novca sa bankovnih računa, diploma iz IT sustava sveučilišta ili raspisivanja neosnovanih tjeralica da shvatimo pravu vrijednost zaštite osobnih podataka?
Većina Hrvata uopće nije svjesna da im se kršenjem prava na zaštitu podataka nanosi šteta, te da imaju pravo na nadoknadu te štete. Za uobičajena kršenja ove su štete relativno male pa prekršitelji računaju da nitko neće ništa poduzeti, no obrađuje li primjerice neka velika banka ili komunalno poduzeće nezakonito vaše podatke ili ih ne štiti na odgovarajući način, isto čini i sa podacima ostalih građana. Manjak volje i svijesti o zaštiti svojih prava doslovce potiče na zloupotrebu. Dok je 100 kuna nanesene štete jednoj osobi malo, netko nezakonitom obradom za milijun građana stvara 100 milijuna kuna dobiti. GDPR omogućava udruživanje u ostvarivanju svojih prava. O tome se malo priča, a iz moje pozicije stručnjaka, nije ni lako zainteresirati javnost.
Edukaciju javnosti provode za to zadužena javna tijela. Kad pričamo o zaštiti osobnih podataka, to je prvenstveno AZOP, koji je još prije više od deset godina trebao znatno intenzivnije educirati javnost o pravima iz ovog područja. Moj je medijski doseg zanemariv, ali kada god mogu nešto na ovom području napraviti, zajedno s nekolicinom optimističnih kolega, to i napravimo. Posebno smo ponosni na akciju ZOP-2019. U 60 dana njenog trajanja, preko 500 djece je poslalo crteže na temu zaštite djeteta na internetu i svima smo osigurali poklon majice. Najbolje škole dobile su i edukacijske poklon pakete koji uključuju tematske stripove i crtane filmove Garfield. Fotografije djece na satima zaštite osobnih podataka najbolja su nagrada za naš trud.
Koja je najveća vrijednost GDPR-a za ‘malog’ čovjeka?
Mali čovjek je u centru GDPR-a koji je stvoren upravo za zaštitu njegovih prava. GDPR je tu kako bi mali čovjek uvijek znao da će svi servisi za obradu podataka raditi ispravno i sigurno, da će banka, telekom i državna uprava uvijek imati ispravne podatke o njemu. GDPR se brine da svi digitalni servisi koje građani koriste rade pouzdano. Nemoguće je sudjelovati u modernom društvu bez intenzivne obrade osobnih podataka. Mobitel stalno šalje podatke o lokaciji, a kad ga koristite, i mnoge druge. U trgovini plaćate kreditnom karticom čiji se podaci šalju banci putem računalne mreže. Živite u stanu kojega su nacrti pohranjeni u nečijem računalu. Doktor vam je recept napisao na računalu i poslao ga u ljekarnu putem elektroničkog servisa. Potrošnja struje mjeri se i šalje IT sustavom. GDPR je preduvjet za stvaranje sigurnog digitalnog društva u koje smo već debelo zakoračili.
Kako se EU obračunava s kršiteljima GDPR-a jesu li tamo bolji rezultati, odnosno kako tvrtke reagiraju na prijave?
– U četvrtak će se u Zagrebu predstaviti rezultati istraživanja rada nadzornih tijela koje stručno glasilo GDPR Novosti provelo krajem 2019. godine. Uočeno je značajno povećanje aktivnosti AZOP-a, ali izostali su konkretni rezultati. U većini zemalja EU više se drži do zaštite osobnih podataka nego u Hrvatskoj. Milijunske kazne propisane su za ono što se u Hrvatskoj i dalje smatra normalnim. Curenje podataka iz zdravstvenih ustanova, tijela državne uprave, zloupotreba podataka od strane državnih poduzeća... Kazne od više desetaka milijuna eura postale su uobičajene. GDPR preporuča ujednačenost visine kazne za slične prekršaje diljem EU pa će biti zanimljivo pratiti ponašanje AZOP-a čija je jedina i osnovna istinska funkcija, zaštita prava hrvatskih građana.
Hrvatska je od plaćanja kazni izuzela tijela javne vlast
- Da, to je zanimljivo jer neke druge zemlje to ipak nisu učinile. Iako se plaćanje kazne iz proračuna u proračun čini besmislenim, to baš i nije tako jer bi takve kazne ipak bile objavljene i rezultirale ako ništa drugo, barem političkom odgovornošću čelnika i osudom javnosti. Tijela javne vlasti u pravilu osobne podatke obrađuju temeljem zakonom propisanih ovlasti što nije sporno. Sporno je to što ne postoje učinkoviti mehanizmi upravljanja rizikom takvih obrada. U Bugarskoj je porezna uprava radi curenja podataka koje je prouzročila takvom nemarnošću kažnjena sa, doduše simboličnim, iznosom od oko 2,6 milijuna eura.
Kritičari GDPR-a tvrde da je posljedica GDPR-a zloporaba, posebice državnih službi koji se pozivaju na GDPR kada ne žele dati javne podatke?
– Na žalost, kritičari su ponekad u pravu, no taj fenomen nije isključivo obilježje Hrvatske. Rumunjska javna uprava je krijući se iza GDPR-a u ljeto 2018. odbijala objaviti identitet osobe koja je upravljala snagama specijalne policije u nasilnom suzbijanju nereda, a njihovo je nadzorno tijelo kaznom od 20 milijuna eura prijetilo medijima koji nisu željeli odati svoje izvore u istraživanju korupcije u najvišim državnim krugovima. Europska komisija ih je oštro upozorila. Neispravna primjena GDPR-a od strane državnih službi vrlo je vjerojatno uzrokovana nedovoljnim razumijevanjem regulative što nas ponovo vraća ne kronični nedostatak kompetencija imenovanih službenika za zaštitu podataka koji bi između ostalog morali znati i to da im GDPR jamči da neće snositi nikakve posljedice radi obavljanja svog posla. Sviđalo se to čelniku, ili ne.
Kako komentirate nedavnu najavu EU da će poraditi na jedinstvenom tržištu podataka kao protutežu američkim tehno divovima koji caruju podacima ?
– Da osobni podaci predstavljaju veliku vrijednost, danas znaju sve napredne zemlje i tvrtke. Moć koju donosi obrada velikih količina podataka je čak i stručnjacima teško shvatljiva. Generacije naše djece koje su odrasle koristeći se svakodnevno internetskim servisima, poznatije su Googleu, Facebooku, Instagramu i Redditu nego vlastitim roditeljima. Njihovi su životi pohranjeni u računalnim sustavima kompanija koje danas mogu manipulirati njihovim ponašanjem, učiniti ih sretnima, ili potpuno nesretnima. Slučaj Cambridge Analytica u kojem se na temelju profiliranja podataka prikupljenih sa Facebooka manipuliralo mišljenjima masa radi postizanja političkih ciljeva samo je blagi primjer mogućnosti zlouporabe osobnih podataka. NIS regulativa koja je široj javnosti manje poznata, bavi se zaštitom strateški ključne infrastrukture EU. Logična je sve snažnija želja i potreba EU za preuzimanjem kontrole nad tokovima podataka. Ne samo osobnih, već svih. Zato ćemo imati sve snažniju regulativu koja će sve više i više podatke prepoznavati kao najveću stratešku vrijednost, upravo kako je to donedavno bila nafta.