U jeku nadzora koje vodi nad agencijama za naplatu potraživanja i izricanja najveće kazne otkad postoji, Agencija za zaštitu osobnih podataka, koja je u suradnji s Hrvatskom gospodarskom komorom i Sveučilištem Sjever organizirala savjetovanje „5 godina primjene GDPR-a: problemi, rješenja, kazne i primjeri dobre prakse“, nije smatrala kako bi javni interes bio omogućiti pristup medijima na taj događaj. Štoviše, autoricu teksta koji čitate pokušali su obeshrabriti u naumu da javnost izvijestim o temama koje su u najavi djelovale zanimljive za javnost: u čemu organizacije najviše griješe s GDPR-om, nadzornim i istražnim aktivnostima AZOP-a i kaznama za prekršitelje. Nakon inzistiranja na interesu javnosti i najavi da će s takvom lošom praksom javnost biti upoznata, pristup mi je omogućen, no kontaktirano je uredništvo Večernjeg lista kako bi se izvijestilo o „upadu na događaj bez pozivnice“ i „nepristojnosti“ novinarke. Ni jedno ni drugo nije točno.
Pozivnicu na događaj dobila sam u drugom svojstvu, ne kao novinarka Večernjeg lista, no ne mogu privremeno prestati biti novinarka na događaju koji je bitan javnosti, a jednako tako, inzistiranje na obavljanju svog posla ne prihvaćam kao nepristojnost. Prepristojno je bilo već i to što nisam zatajila da sam novinarka. Nepristojno pa i nezakonito je sprečavati novinara u obavljanju njegova posla i javnost u pravu da zna. A to je pokušala predstavnica HGK koju, poštujući GDPR, ovdje ne spominjem imenom – nije javna osoba. Da bi situacija bila apsurdnija, na savjetovanju je višekratno spomenuta potreba edukacije sudionika i javnosti – kako je provesti ako se medijima ne omogući da izvijeste o meritumu.
Valjda smatraju da je dovoljno njihovo priopćenje koje je u međuvremenu objavljeno. Samo savjetovanje je bilo ispod razine očekivanja, a posebno ispod razine potrebe takve „zaštite“ od medija – govorilo se uglavnom o generalijama, bez detalja, a posebno bez detalja koji bi se odnosili na recentne istrage, od kojih jedna, nad B2 Kapitalom, više nije u tijeku i zapravo je mogla odlično poslužiti kao ogledni primjer tema o kojima se govorilo. A s kaznom od 2,26 milijuna eura kapitalna je za dosadašnji rad AZOP-a koji je, kako se moglo čuti, od 2020. do danas izdao 32 upravne novčane kazne u ukupnom iznosu od 3,1 milijun eura, od čega samo u ovoj godini 13 kazni.
- Što je više edukacije, savjetovanja, to je manje izvanrednih nadzora AZOP-a: Ulaganje u zaštitu podataka nije trošak i to uprave moraju shvatiti – istaknuo je u najavnom izlaganju Marko Trošelj, viši savjetnik specijalist u AZOP-u te dodao da se, ako nema jasno utvrđene svrhe obrade, teško može dokazati načelo usklađenosti podataka u kompanijama te da se treba voditi briga o tome koji su točno podaci potrebni za onu svrhu koja je definirana.
- Krivi je narativ u javnosti da je zaštita zabrana obrade osobnih podataka. Ne, nije – ustvrdio je Trošelj te dodao i da na upite kompanija agencija može savjetovati, ali ne može dati izričite odgovore, svaka pravna osoba mora sama donijeti odluku.
Napomenuo je kako je praksa pokazala sveopću dominaciju privole kao pravnog temelja koji daje najviše kontrole ispitaniku (građaninu čiji se podaci obrađuju). - On odlučuje želi li ili ne želi dati privolu. Ne bi smjela biti uvjetovana da bi bila dobrovoljna, niti imati u sebi nesrazmjer „odnosa moći“. Kad imamo više svrha privole, iz prakse se pokazalo da „sveprimjenjiva“ privola nije adekvatno razumljiva – pojasnio je predstavnik AZOP-a.
Osim GDPR-a, tvrtke su dužne poštivati i nacionalne propise, posebno one koji uređuju kako funkcionira njihova organizacija, a u mnogim ugovorima problem je što nije precizno definirano što ako dođe do raskida ugovora – treba li podatke uništiti vratiti i slično. Usto, samo pobrojavanje prava ispitanika nije ispunjavanje, nije usklađenost GDPR-a. Liste korisnika tvrtke moraju ažurirati i s njih izuzimati one ispitanike koji su tražili da im se, primjerice, više ne šalju marketinške poruke. O nadzornim i istražnim aktivnostima AZOP-a govorio je Mario Milner, načelnik sektora za nadzor, istrage i zaštitu prava ispitanika pa je istaknuo kako su obvezni predstaviti se u tvrtkama u kojima provode nadzor, a ako ima otpora, mogu zatražiti postupanje MUP-a. - Srećom, nismo imali takvih situacija, jednom smo upozoreni da se radi o nasilnoj osobi i dobili preporuku MUP-a da budu uz nas – otkrio je Milner.
Spomenuo je i slučaj kad su financijske institucije koje razmjenjuju informacije oko određenog sustava koji koriste pozvali da se usklade, no nisu objasnili kakav je sustav posrijedi, kao ni jesu li klijenti financijskih institucija informirani da je nad njihovim podacima možda napravljena povreda. Nadzore su, kaže, imali i oko „kolačića“. Referirao se i na moment suradnje s nadzornim tijelom te rekao da se susreću s manjkom suradnje i nesuradnjom.
- Kod nesuradnje voditelju obrade izričemo provedbene mjere, a nedostatak se tretira kao otegotna okolnost. U praksi je česta neadekvatna suradnja kad tražimo dokumentaciju: ni sami ne znamo što smo dobili, ne ono što smo tražili, zasipaju nas dokumentima što nas onemogućava da se usmjerimo u pravom smjeru – pojašnjava, a izgleda ja je upravo takva situacija bila prinadzoru B2 Kapitala jer su je spomenuli u rješenju koje su objavili.
Što je tu čudno ÀZOP je nakupina birokratskih bezveznjaka na čelu sa direktorom koji inače piše infantilne romane o hrv James Bondu koji se 007 kod nas bez zaštite podataka zove Borna Vitez