Prošlo je već pet godina od kada je donesena Opća uredba o zaštiti podataka, poznatija kao GDPR. Njezin je cilj bio zaštititi osobne podatke građana, što je danas u digitalno doba i vrijeme kibernetičkih napada postalo prilično izazovno. Agencije za zaštitu podataka diljem EU-a trude se educirati građane kako da budu oprezniji s podacima, ali i naučiti kompanije što smiju, a što.

Kako se 28. siječnja slavi Dan privatnosti, domaća Agencija za zaštitu osobnih podatka organizira konferenciju posvećenu službenicima koji su ključni za zaštitu osobnih podataka. Tim smo povodom razgovarali sa Zdravkom Vukićem, ravnateljem AZOP-a, koji otkriva da se i nakon pet godina GDPR-a određeni broj kompanija bori s postavljanjem sustava zaštite podataka.

Zbog toga su prošle godine izrekli najveću kaznu u iznosu od 2,15 milijuna kuna (285.000 eura). Iako ne spominje ime kažnjene kompanije, jer ne smije, poznato je da je riječ o teleoperateru A1 kod kojega su, zbog neovlaštenog pristupa, kompromitirani podaci čak 100.000 korisnika.

Koliko kompanije poštuju odredbe zakona o prikupljanju i obradi podataka?
U odnosu na 2018. godinu, kad je u punu primjenu na snagu nastupila Opća uredba o zaštiti podataka, svakako je vidljiv napredak. Svijest voditelja obrade o potrebi zaštite osobnih podataka fizičkih osoba je porasla, a ključnu ulogu je tu imala Agencija za zaštitu osobnih podataka.

Agencija je kao nadzorno tijelo vršila te vrši i dalje savjetodavnu ulogu kroz održavanje edukacija, seminara i konferencija za voditelje obrade, službenike za zaštitu podataka, pa i same građane. Naš cilj je prvenstveno zaštititi temeljno pravo hrvatskih građana – pravo na zaštitu podataka, a ne otežavati poduzetnicima poslovanje, stvarati dodatne namete i administrativna opterećenja, kako nam se često predbacuje.

Svakako da mjesta za poboljšanje ima, voditelji obrade ponekad nisu svjesni svih obveza koje proizlaze iz Opće uredbe o zaštiti podataka, kao što je pružanje informacija ispitanicima u svrhu ostvarivanja njihovih prava, provođenje odgovarajućih tehničkih i organizacijskih mjera zaštite osobnih podataka, vođenje evidencija aktivnosti obrade i slično.

Iz dosadašnjih postupanja vidimo da voditelji obrade koji su shvatili važnost zaštite osobnih podataka su savjesni u postavljanju odgovarajućih organizacijskih i tehničkih mjera zaštite osobnih podataka, ulažu u edukaciju svojih zaposlenika kako bi svi bili upoznati s važnosti zaštite osobnih podataka te naučili kako osobne podatke primjereno štititi, kao što su i svjesni važnosti imenovanja službenika za zaštitu podataka koji imaju adekvatno znanje na području zaštite osobnih podataka.

Što su najčešće povrede, odnosno gdje najčešće griješe?
Voditelji obrade griješe jer, kao što sam rekao, ponekad nisu dovoljno upućeni u svoje obaveze. Najčešće i najveće povrede se događaju upravo zbog nepoduzimanja odgovarajućih tehničkih i organizacijskih mjera te zbog kršenja prava ispitanika.

Građani nam se često žale jer se ignoriraju njihovi zahtjevi za ostvarivanje prava, poput prava na pristup podacima, a upravo zbog kršenja tih odredbi, upravne novčane kazne mogu iznositi čak do 20 milijuna eura, odnosno do 4% ukupnog prometa na svjetskoj razini.

Upravo zbog kršenja prava ispitanika prošle godine izrekli smo upravnu novčanu kaznu. Naime, društvo u energetskom sektoru nije dostavilo kopiju osobnih podataka na zahtjev ispitanika te je kažnjeno s 940 tisuća kuna.

Koliko ste upravnih novčanih kazni izrekli lani?
U prethodnoj godini Agencija za zaštitu osobnih podataka izrekla je 14 upravnih novčanih kazni u ukupnom iznosu od 3,98 milijuna kuna (528.370,00€) i to zbog nepoduzimanja odgovarajućih tehničkih i organizacijskih mjera, kršenja prava ispitanika te zbog neoznačavanja prostora pod videonadzorom, odnosno zbog neispravne obavijesti da je prostor pod videonadzorom.

Kome ste izrekli najveću kaznu, ili koje djelatnosti te za što?
Dosad najveća upravna novčana kazna izrečena je prošle godine i to u iznosu od 2,15 milijuna kuna. Zbog nepoduzimanja odgovarajućih tehničkih i organizacijskih mjera došlo je do neovlaštenog pristupa osobnim podacima oko 100 tisuća građana od strane napadača, zbog čega je kažnjen voditelj obrade odnosno teleoperater.

Nedavno ste kaznili i 10 voditelja obrade iz djelatnosti kockanja i klađenja, ugostiteljstva i trgovine jer su napravili propuste u prikupljanju i obradi osobnih podataka učinjenih videonadzornim sustavom, uglavnom jer nisu dobro naznačili relevantne informacije. Kažnjeni su s otprilike 18 tisuća kuna. Koliko su česti takvi propusti? Jesu li namjerni ili se radi o nedovoljnoj informiranosti voditelja obrade? Koje sve informacije građani moraju imati kada ih se snima?
Nedavno izrečene kazne rezultat su provedenih planiranih sektorskih nadzora za prethodnu godinu. Od primjene Zakona o provedbi Opće uredbe o zaštiti podataka prošlo je više od 4 godine, što je dovoljno za informiranje i usklađivanje s obvezama voditelja obrade, posebno kada uzmemo u obzir da je Agencija imala brojne edukacije, na kojima se govorilo o uspostavi i uporabi videonadzornog sustava.

Stoga, imaju li takva kršenja obilježja namjere ne možemo tvrditi, ali to nije niti presudni čimbenik u izricanju upravne novčane kazne. Ako postoji videonadzor, voditelj obrade mora imati istaknutu obavijest koja treba sadržavati lako razumljivu sliku uz tekst kojim se građanima pružaju informacije da je prostor pod videonadzorom, podatke o voditelju obrade te podatke za kontakt putem kojih građanin može ostvariti svoja prava.

Također, građanima je potrebno pružiti i druge informacije koje su propisane Zakonom odnosno Općom uredbom o zaštiti podataka, a one mogu biti dio obavijesti o videonadzoru ili se nalaziti na nekom drugom dokumentu koji će biti lako dostupan ispitaniku. Ako navedene informacije nisu dio obavijesti o videonadzoru, na obavijesti bi trebala biti navedena informacija na koji način ispitanici mogu doći do tih informacija.

Stručnjaci tvrde da većina web stranica u Hrvatskoj privole za kolačiće ne traži na zakonit način. Najčešća je greška koju rade prisiljavanje korisnika da ih prihvate jer ne nude jednake uvjete prihvaćanja i odbijanja kolačića. Kontrolirate li to i kažnjavate li one koji ne prikupljaju kolačiće na zakonit način?
Krajem prošle godine Agencija je intenzivirala nadzorna postupanja nad internetskim stranicama, a vezano za prikupljanje privole za obradu osobnih podataka putem kolačića i informiranost ispitanika o takvoj vrsti obrade osobnih podataka, čiji voditelj obrade ima nastan u Hrvatskoj. Ovisno o težini nepravilnosti i sukladno utvrđenjima voditeljima obrade kod kojih se uoče nepravilnosti, izreći će se odgovarajuća korektivna mjera – od najblažih, preko opomena, pa do izricanja upravnih novčanih kazni.

Kakva je situacija u javnom sektoru, ima li tu povreda i kazni?
Što se tiče javnog sektora dosad nismo imali povrede koje bi se okarakterizirale kao veća ugroza za prava i slobode pojedinaca. Povrede su se većinom odnosile na objavu osobnih podataka ispitanika u prekomjernom opsegu na mrežnim stranicama ili oglasnim pločama, kao što je objava osobnih podataka u natječajnom postupku, objava različitih dokumenata koji sadrži prekomjeran opseg osobnih podataka sukladno posebnom zakonu i slično.

U nekim slučajevima, nakon zaprimljenih prijava građana, istraga je utvrdila da se radi o neosnovanim optužbama i tvrdnjama za kršenje odredbi Opće uredbe o zaštiti podataka. Do sada nismo izrekli niti jednu upravnu novčanu kaznu u javnom sektoru, već su izrečene druge korektivne mjere; izdana su upozorenja, službene opomene, naređeno je brisanje osobnih podataka i slično.

No, tijelu javne vlasti u smislu Zakona o provedbi Opće uredbe o zaštiti podataka, konkretno tijelima državne uprave i drugim državnim tijelima, jedinicama lokalne i područne (regionalne) samouprave Agencija ne može izreći upravnu novčanu kaznu, što ne znači da oni ne moraju poštivati odredbe Opće uredbe o zaštiti podataka i Zakona o provedbi opće uredbe o zaštiti podataka jer Agencija ima ovlasti izreći druge korektivne mjere.

Koliko su podaci građana danas u digitalno doba sigurni? Što su najveći rizici ?
Treba naglasiti da na sigurnost utječu sami građani koji objavljuju i ostavljaju svoje osobne podatke na raznim mjestima, svjesno ili nesvjesno. Osobni podaci građana su njihova imovina i tako se prema njima moraju odnositi. Građani trebaju biti svjesni gdje su objavili ili ostavili svoje osobne podatke, kome su ih učinili dostupni odnosno za koju svrhu ih daju pri čemu je to posebno važno razumjeti kod društvenih mreža i online objava kada su oni učinjeni dostupni neograničenom broju ljudi.

Koliko su podaci građana u digitalno doba sigurni, ako govorimo isključivo o odgovornosti voditelja obrade koji ih je prikupio i obrađuje, onda sigurnost ovisi o već primijenjenim odgovarajućim organizacijskim i tehničkim mjerama sigurnosti pri čemu se ne očekuje apsolutna zaštita jer ona ne postoji, već maksimiziranje sigurnosnih mjera, posebice preventivnih, kako bi se rizik od sigurnosnog incidenata sveo na minimum.

Svaki sustav koji čuva i štiti osobne podatke građana, jak je koliko je jaka njegova najslabija karika. Naše iskustvo je pokazalo da je u najvećem broju incidenta koje je Agencija obradila ljudski faktor i dalje jedna od najslabijih karika, što dovodi do zaključka da je i dalje nedovoljna educiranost zaposlenika kod voditelja obrade o potencijalnim mogućnostima ugroze osobnih podataka s kojima rade i načina na koji ih mogu što je najbolje moguće štititi.

Svako malo imamo incident s curenjem podataka. Posljednji je onaj kompanije za naplatu potraživanja B2 Kapital kada su navodno iscurili podaci više od 77 tisuća građana. U kojoj je fazi istraga i što ste utvrdili?
Prvenstveno treba pojasniti razliku između pojmova curenje podataka i neovlaštenog pristupa, odnosno hakerskog napada. Curenje podataka se odnosi na situaciju kada je ovlaštena osoba koja ima pristup podacima zlouporabom prava i ovlasti pristupa podatke iznijela izvan sustava i dala na uvid trećim neovlaštenim osobama. Kod neovlaštenog pristupa sustavu, odnosno hakerskog napada, nepoznata osoba je kompromitacijom korisničkog računa voditelja obrade, ostvarila pristup u sustav istog voditelja obrade i neovlašteno izvezla podatke van.

U konkretnom slučaju vezanom uz B2 Kapital, nadzorna postupanja su i dalje u tijeka, stoga ne možemo davati informacije sve do završetka istrage.

Koje će sankcije slijediti ako se utvrde propusti B2 Kapitala te što je s podacima koji su iscurili? Kako se oni čiji su podaci iscurili mogu zaštititi?
Ako se utvrdi odgovornost voditelja obrade, društva B2 Kapital, odnosno kršenje odredbi Opće uredbe o zaštiti prava Agencija će izreći jednu od mjera koje su joj na raspolaganju.

U slučajevima kada osobni podaci poput imena i prezimena, e-mail adrese ili broja telefona završe u rukama nepoznatih osoba, pa i zlonamjernika, osobitu pažnju građani trebaju obratiti na e-mailove i poruke koje će dobivati, jer postoji mogućnost da će napadač pokušati doći i do drugih osobnih podataka, kao što su primjerice podaci s bankovne kartice.

Koliko smo curenja podataka imali u posljednje dvije godine?
U posljednje dvije godine Agencija je u svom postupanju imala dva slučaja neovlaštene objave osobnih podataka odnosno objava video zapisa koji sadrže osobne podatke fizičkih osoba, a učinjene su od strane ovlaštenih osoba za pristup sustavu. U tim slučajevima, koje možemo klasificirati kao curenje podataka, izrečene su upravne novčane kazne voditeljima obrade zbog nepoduzimanja odgovarajućih organizacijskih i tehničkih mjera zaštite.

Također, imali smo dva velika sigurnosna incidenta koji su klasificirani kao neovlašteni pristup osobnim podacima tj. hakerski napad te je nakon provedena istrage Agencija izrekla upravne novčane kazne voditeljima odnosno izvršiteljima obrade zbog nepoduzimanje odgovarajućih organizacijskih i tehničkih mjera zaštite.

U zaštiti osobnih podataka najvažniju ulogu u svim organizacijama imaju službenici za zaštitu podataka, odnosno voditelji obrada. Koliko su u tome uspješni?
Službenik za zaštitu podataka ima važnu ulogu, odgovornu, ali ne i odlučujuću. Oni su ključne osobe u sustavu zaštite osobnih podataka, stoga smo i ovogodišnju konferenciju povodom Europskog dana zaštite osobnih podataka posvetili upravo njima.

Prema našem iskustvu, voditelji obrade imaju imenovane službenike za zaštitu podataka koji ne samo da su maksimalno stručni u poslu koji obavljaju, već i imaju utjecaja na donošenje odluka važnih za sigurnost obrade osobnih podataka. S druge strane, imate službenike za zaštitu podataka koji su imenovani formalno i ne samo da ne razumiju problematiku zakonitosti obrade osobnih podataka, već nemaju niti utjecaja u donošenju važnih odluka vezano uz obradu osobnih podataka.