Prije punih pet godina krenula je “revolucija” kroz najveći tehnološki kodeks na svijetu – Opću uredbu o zaštiti podataka (GDPR). U primjeni u cijeloj EU je od 25. svibnja 2018., a GDPR odredbe donijele su prekretnicu u području zaštite osobnih podataka. Naime, od tada značajno raste svijest o važnosti zaštite osobnih podataka unutar poslovnog i javnog sektora, a sve to prate prilagodbe kroz znatan napor i ulaganja.

No konkretna provedba i dalje je iz više razloga izazovna. Na razini cijele Unije, nacionalna postupovna pravila koja se primjenjuju za prigovore nadzornim tijelima mnogima su još nejasna, razlike koje po tom pitanju postoje ometaju suradnju između nadzornih tijela, dok pravnu sigurnost za pojedince čak posljedično ograničavaju.

U tom smjeru su adresirana nastojanja da se poboljšaju mehanizmi za rješavanje pritužbi na način koji koristi svima tako da s daljnjim razvojem digitalnog svijeta pristup pojedinaca nadzornim tijelima ne bi bio nalik tzv. “tigru od papira”. Paralelno, pod utjecajem strelovitog razvoja u području korištenja umjetne inteligencije, moguće je da će biti nužan novi iskorak, npr. kroz paneuropski model zaštite podataka. Sve opet kako bi se u korak s promjenama na prostoru Unije svima osigurala stvarna i dosljedna visoka razina zaštite temeljnih prava na zaštitu podataka i privatnost.

Aktualne pak regulatorne najave obuhvaćene su inicijativom za daljnje preciziranje postupovnih pravila, pa će ih Komisija izgleda već do ljeta predložiti i time postaviti jasnu proceduru za nacionalna tijela za zaštitu podataka koja se bave prekograničnim istragama i prekršajima. To će, kako se najavljuje, harmonizirati neke aspekte upravnog postupka u prekograničnim slučajevima i podržati neometano funkcioniranje GDPR suradnje i mehanizama za rješavanje prijepora i slučajeva od strateške važnosti.

Netransparentna obrada

Za europska regulatorna tijela zadužena za učinkovitu provedbu pravila GDPR-a u tom kontekstu također ključna nastojanja odnose se na obuzdavanje zlouporabe zaštite podataka od strane velikih kompanija, a posebice predstavnika “Big Techa”. Najnoviji takav primjer predstavlja rekordna novčana kazna Meti, matičnoj tvrtki Facebooka čiji je europski dom u Irskoj, u iznosu od 1,2 milijarde eura zbog nepoštivanja pravila EU o privatnosti, konkretnije kroz prijenos velikog broja osobnih podataka europskih korisnika Facebooka u SAD bez da su ih dovoljno zaštitili. Na hrvatskom planu i naša je Agencija za zaštitu osobnih podataka (AZOP) postavila vlastiti rekord, no izgledi nisu mali da brojke koje su prezentirali uskoro ne budu čak značajno nadmašene.

Naime ovih dana Agencija je izbila u prvi plan s dosad najvećom upravnom novčanom kaznom koja je izrečena, no pritom nije riječ o kažnjenom trgovačkom lancu ili pružatelju telekomunikacijskih usluga. Riječ je o novčanoj kazni od 2,26 milijuna eura kojom je kažnjena agencija za naplatu potraživanja B2 Kapital, a odluka naše Agencije kojoj je na čelu ravnatelj Zdravko Vukić komunicira se i sa stranica Europskog odbora za zaštitu podataka. Iznose ovaj slučaj u kratkim crtama navodeći da je u prosincu 2022. hrvatsko nadzorno tijelo zaprimilo anonimnu pritužbu u kojoj se navodi da je došlo do neovlaštene obrade većeg broja osobnih podataka dužnika od strane B2 Kapitala.

Uz prigovor, AZOP je zaprimio i priloženi USB stick koji sadrži osobne podatke – ime i prezime, datum rođenja i JMBG za ukupno 77.317 osoba koje su imale nepodmirena dugovanja u kreditnim institucijama. Ta teško naplativa potraživanja kupila je agencija za naplatu potraživanja temeljem ugovora o cesiji.

Ti osobni podaci dostavljeni su na USB sticku i jednom hrvatskom mediju. AZOP je u tom slučaju utvrdio da voditelj obrade (B2 Kapital) nije na točan i jasan način obavijestio nositelje podataka o obradi njihovih osobnih podataka kroz obavijest o obradi (politika privatnosti) u pogledu pravne osnove, što je protivno odredbi članka 13., st. 1. Opće uredbe o zaštiti podataka. To je rezultiralo netransparentnom obradom osobnih podataka ispitanika, koja je utjecala na sve subjekte kod navedenog voditelja obrade.

To je najmanje 132.652 nositelja podataka u vrijeme provedbe nadzora, a politika privatnosti je i dalje nepromijenjena te povreda još nije otklonjena, što znači da je trajala od 25. svibnja 2018. do danas. Suprotno članku 28. GDPR-a, voditelj obrade nije sklopio ugovor o obradi osobnih podataka s izvršiteljem obrade za uslugu praćenja jednostavnog bankrota potrošača, a time i sigurnosti osobnih podataka 83.896 nositelja podataka (OIB) koji su u opasnosti. Također, voditelj obrade nije primijenio odgovarajuće tehničke i organizacijske mjere zaštite prilikom obrade osobnih podataka, što je

protivno članku 32.2. GDPR-a. Nepoduzimanjem odgovarajućih mjera narušena je sigurnost osobnih podataka i to: imena i prezimena, datuma rođenja i JMBG. Utvrđeno je da prekršaj traje najmanje od 2019. te da do danas nije otklonjen, a sve zbog neprimjenjivanja odgovarajućih zaštitnih mjera.

Stručnjaci u području kibernetičke sigurnosti imaju pozitivno mišljenje o provedbi GDPR uredbe /I. Šoban/PIXSELL

Intrigantan tajming

Inače sa strane B2 Kapitala najavljena je sudska tužba protiv odluke AZOP-a, iako dodatno intrigira sam tajming u širem kontekstu najave regulacije ove djelatnosti, stavljanja pod nadzor i zaštite dužnika. Međutim, iako rekordna po visini, u AZOP-ovom radu posrijedi je jedna od 13 izrečenih upravnih novčanih kazni tijekom ove godine u ukupnom iznosu od 2.305.600 eura. Također, AZOP je zbog kršenja odredbi GDPR-a i zakona o provedbi te uredbe, od 2020. do sada izrekao ukupno 32 upravne novčane kazne u ukupnom iznosu od 3,1 milijun eura.

Prvu novčanu kaznu od 146.000 eura izrekao je 2020. jednoj banci, zbog povrede GDPR-a, tj. zbog odbijanja dostave osobnih podataka klijentima te banke. Od listopada 2018. oni su intenzivno slali pritužbe AZOP-u, navodeći da im ta banka na njihove zahtjeve za dostavom podataka kontinuirano odbija dostaviti kreditnu dokumentaciju koja se odnosi na sklopljene ugovore o kreditu u CHF-u.

Među najvišim novčanim iznosima je i lanjska kazna od 285.000 eura jednom teleoperatoru zbog nepoduzimanja odgovarajućih tehničkih i organizacijskih mjera sigurnosti obrade osobnih podataka (posrijedi je hakerski napad), a to je prouzročilo neovlaštenu obradu osobnih podataka za oko 100.000 građana.

Ukupna slika pokazuje da ni edukativne ni nadzorne aktivnosti koje AZOP provodi, unatoč vidljivom napretku, još uvijek nemaju za posljedicu zadovoljavajuću razinu usklađenosti sa zakonodavnim okvirom za zaštitu podataka u RH. Stoga su još od lani intenzivirali svoje nadzorne aktivnosti, s karakterističnim izravnim i nenajavljenim nadzorom, a rezultat je tu – u vidu navedenih pokazatelja. U AZOP-u ističu da provode izravna nadzorna postupanja nad voditeljem/izvršiteljem obrade, kao i neizravna u smislu traženja informacija, uz relevantne dokaze od voditelja/izvršitelja obrade, a sve “odnosno na opseg povrede osobnih podataka, kao i predstojeći rizik na prava i slobode ispitanika”.

U tijeku je, kažu, još oko 170 nadzornih postupanja nad voditeljima/izvršiteljima obrade zbog prijave povrede osobnih podataka od strane ispitanika ili postupanja po službenoj dužnosti. Jedno od njih je i nadzorno postupanje nad još jednom agencijom za naplatu potraživanja – EOS Matrix. Kako je postupanje i dalje u tijeku, kažu da stoga ne mogu davati informacije do završetka istrage, pa se sa zanimanjem očekuje što će pokazati istraga navodnog “curenja” izvan njihovog sustava.

Što se navedene rekordne kazne tiče, odnosno konkretnog iznosa, ona je i dalje bitno ispod zakonom propisanih maksimuma, ali je i dovoljno velika da je svima jasno kako je regulator prekinuo “medeni mjesec” te je počeo još ozbiljnije djelovati. Ova kazna stoga je ogromna poruka svim subjektima koji barataju osobnim podacima građana kako se moraju uozbiljiti te se svesti u zakonske okvire i paziti na podatke koji su im povjereni.

Zaštititi informacijsku imovinu i sačuvati kapital velika je i odgovorna zadaća svih nas, dok ulaganje u informacijsku sigurnost i zaštitu podataka nije trošak, upozorava prorektor Sveučilišta Sjever Petar Mišević. Kako navodi, svakodnevno se susrećemo s rizicima – krađama, gubicima i oštećenjima podataka, zbog čega je ulaganje u zaštitu podataka investicija koja posebno privatnom sektoru, ali i svim drugim organizacijama, jamči opstanak na tržištu. U AZOP-u ističu kako svi voditelji i izvršitelji obrade moraju shvatiti da nakon pet godina od početka pune primjene Opće uredbe o zaštiti podataka, neinformiranost i neznanje ne mogu predstavljati opravdanje i izgovor za kršenje temeljnih prava hrvatskih građana.

Najslabije karike

“Primijetili smo kako službenici za zaštitu podataka, koji imaju ključnu ulogu u sustavu zaštite osobnih podataka, često su i najslabija karika, jer nisu u dovoljnoj mjeri upoznati niti s osnovama zaštite osobnih podataka. A upravo su službenici posrednici između tijela za zaštitu osobnih podataka, pojedinaca i poslovnih subjekata te imaju ključnu ulogu u doprinosu usklađivanja sa zakonodavnim okvirom o zaštiti osobnih podataka i promicanju učinkovite zaštite prava ispitanika. Iako kontinuirano organiziramo razne edukacije namijenjene službenicima, u 2023. fokus je upravo na njima jer s obzirom na nove izazove, njihova uloga postat će još važnija i složenija u bliskoj budućnosti”, navode u AZOP-u.

Dodatno, sudjeluju i u koordiniranoj provedbenoj aktivnosti, koju je pokrenuo Europski odbor za zaštitu podataka, u okviru kojeg trenutno se provodi istraživanje na temu imenovanja i uloge službenika za zaštitu podataka. “Željno iščekujemo rezultate ove inicijative kako bismo vidjeli imaju li službenici adekvatnu ulogu u svojim organizacijama te kako bismo dobili dublji uvid u njihove probleme s kojima se susreću”, navode. No, ne suočavaju se s izazovima samo službenici za zaštitu podataka, već ističu da su “pred svima nama izazovi zbog sve većeg prisustva korištenja umjetne inteligencije i prijenosa poslovanja u digitalnu sferu”.

Prema mišljenju Silvija Papića, voditelja studija sistemskog inženjerstva na Algebri, većina tvrtki je, što zbog pritiska, a što zbog toga što su vidjele priliku, uložile znatne napore i resurse u proces usklađivanja vlastitog sustava s GDPR uredbom. Enkripcija podataka, kontrola pristupa i procedure obavješćivanja o kršenju pravila o korištenju i obradi podataka, zatim bolje procedure za upravljanje i zaštitu osobnih podataka te jasna podjela odgovornosti, ističe, neke su od mjera koje su tvrtke poboljšale ili čak uvele, jer ih prije nisu imale.

“Smatram da generalno stručnjaci u području kibernetičke sigurnosti imaju pozitivno mišljenje o provedbi GDPR uredbe i njezinim učincima na cjelokupno stanje kibernetičke sigurnosti u tvrtkama. Kao i svaka direktiva ili uredba koja utječe generalno na ‘standardizaciju pristupa’, GDPR je utjecao na poboljšanje zaštite podataka i privatnosti i to primarno kroz poticanje odgovornosti prilikom upravljanja podatcima kroz razne procese, procedure i politike”, kaže Papić.

Dodaje da je primjena GDPR uredbe također znatno utjecala i na podizanje svijesti zaposlenika tvrtki koji su kroz razne edukacije i primjenu novih procedura postali upućeniji u različite rizike, prihvatljive načine ponašanja i najbolje prakse što je svakako utjecalo na “povećanje ukupne sigurnosti IKT sustava, ali i sigurnosti podataka”.

Izazovi prilikom implementacije GDPR uredbe za organizacije po njemu su svakako znatan napor i ulaganje znatnih resursa da se snađu u složenim zakonskim zahtjevima koji se mijenjaju, ponekad i različito tumače, a tek onda da “izvedu tehnički dio koji će jamčiti da su svi potrebni elementi GDPR uredbe zaista u efektu u IKT sustavu”.

“Ovi izazovi će samo postati značajniji i bit će ih više kako se tehnologija razvija i kako se sve više uređaja korisnika povezuju na internet i generiraju sve više osjetljivih podataka, na primjer Internet stvari. Svakako trebamo biti svjesni da sama činjenica da se neka tvrtka usklađuje s propisima, zakonima, direktivama i uredbama ne znači nužno potpunu sigurnost, što praktički i nije izvedivo i uvijek treba biti svjestan kibernetičkih prijetnji koje neprestano evoluiraju. Uz praćenje najboljih praksi u implementaciji GDPR-a nužno je svakako nastaviti raditi i na svim ostalim aspektima kibernetičke sigurnosti modernih organizacija, jer ako IKT sustav nije siguran, teško da će GDPR to moći kompenzirati”, poručuje Papić.