KADA je 2018. godine u Europskoj uniji na snagu stupila Opća uredba o zaštiti podataka (GDPR), mnogi su strahovali da će njome europska birokracija zakomplicirati poslovanje firmi i otežati ljudima korištenje interneta. To se sada i događa, a GDPR, se po nekim procjenama, pokazao ne baš uspješnim i u onome što mu je bila nominalna namjera, a to je zaštita osobnih podataka građana EU.

>> Sjećate se GDPR-a koji "štiti privatnost"? Sad je imate još manje

Europski regulatori odredili su novčane kazne u ukupnom iznosu od 114 milijuna eura od sredine 2018., kada su na snagu stupili postroženi propisi o zaštiti privatnosti podataka.

Velike kazne za Google

>> Više od 100 milijuna eura kazni za kršenje GDPR-a u EU

Najvišu pojedinačnu kaznu, od 50 milijuna eura, izrekla je Francuska, i to Googleu. Nizozemska, Velika Britanija i Njemačka prednjače pak po broju obavijesti o kršenju propisa o zaštiti podataka, pokazuje izvješće odvjetničkog ureda DLA Piper.

GDPR je uveden kako bi se zaštitili osjetljivi osobni podaci i propisuje stroge kazne ako kompanije izgube kontrolu nad podacima ili ih obrađuju bez suglasnosti klijenata.

No, jedino se u Hrvatskoj dogodilo nešto što je u drugim članicama Unije nezamislivo - GDPR su vlasti počele koristiti kako bi javnosti odnosno novinarima, uskratile informacije na koje po zakonu imaju pravo i koje GDPR zapravo ne štiti.

GONG: GDPR se koristi da se ne bi davale informacije o vladajućima

Primjena europske uredbe u verziji državne administracije premrežene HDZ-ovim uhljebima u Hrvatskoj, kojom upravlja vlada Andreja Plenkovića, GDPR je pretvorila u sredstvo zaštite uhljeba, korumpiranih političara i lopova. 

Iz GONG-a su još 2019. upozoravali da se GDPR koristi "da se ne bi davale informacije o vladajućima", a o kulturi tajnovitosti govorio je i povjerenik za informiranje Zoran Pičuljan.

>> GONG: GDPR se koristi da se ne bi davale informacije o vladajućima

"Radi se o nepoštivanju sudskih odluka, na što smo već upozorili HEP i Zagrebački holding, dok HBOR nismo jer već postoji bogata praksa gdje je Visoki upravni sud promijenio pravno shvaćanje i utvrdio novi standard. Želim napomenuti, osim toga, da nepoštivanje sudskih odluka nije samo problem Ureda povjerenika već pitanje političke kulture", rekao je Pičuljan na tribini u Zagrebu 2019., pozivajući novinare i javnost da se češće koriste pravom i da inzistiraju na odgovoru jer na taj se način stvaraju novi standardi.

O tome kako bi se GDPR trebao primjenjivati, a kako se u Hrvatskoj u stvarnosti primjenjuje, razgovarali smo s dvojicom stručnjaka za tematiku zaštite osobnih podataka. 

Duje Kozomara: Privatnost i zaštita podataka su već desetljećima temeljna ljudska prava

Pravnik Duje Kozomara je osnivač tvrtke Consent, koja se bavi savjetovanjem o zaštiti podataka, te suosnivač udruge Politiscope s politologom Dujom Prkutom. Udruga Politiscope je fokusirana na zaštitu ljudskih i digitalnih prava te demokratskih izbornih procesa, kroz korištenje GDPR-a kao ključnog alata za temeljitu transformaciju digitalne (javne) sfere.

Duje Kozomara i Duje Prkut objašnjavaju što nam je činiti s GDPR-om te kako se oduprijeti zloupotrebi GDPR-a.

Za početak, ne treba zaboraviti da je zaštita podataka u današnjoj digitalnoj eri itekako važna stvar. Zato nas je zanimalo koja je bila svrha GDPR-a, zašto je to zapravo uvedeno na razini Europske unije.

"Privatnost i zaštita osobnih podataka već su desetljećima priznate kao temeljna ljudska prava, a velik broj građana nije svjestan da je Europska unija i dugo prije GDPR-a uređivala zaštitu osobnih podataka svojih građana - Direktivom o zaštiti podataka iz 1995. godine, čija su osnovna načela veoma slična onima koje danas zahtjeva njen popularniji mlađi brat", kaže Duje Kozomara.

Ona je kroz vrijeme jednostavno zastarjela. "Dva desetljeća ranije nitko nije mogao ni zamisliti svu današnju tehnologiju ni našu digitalnu svakodnevicu, baziranu na kontinuiranom prikupljanju, obradi i prijenosu osobnih podataka", dodaje Kozomara.

Problemi s tehnološkim divovima

On upozorava da su taj vakuum iskoristile velike tehnološke kompanije.

"Google, Facebook i ostali tehnološki divovi izgradili su svoja poslovna carstva upravo na nezakonitim i netransparentnim praksama praćenja našeg svakog koraka u online okružju (ali i stvarnom prostoru), s ciljem predviđanja našeg budućeg ponašanja i sa željom da utječu na njega. Te tvrtke danas smatramo predvodnicima nadzornog kapitalizma, ekonomskog modela današnjice koji predstavlja ozbiljnu prijetnju za naša prava i slobode te temeljne demokratske procese", smatra Kozomara.

>> Otkriveno kako je Facebook pokušao zaustaviti GDPR, lobirao je i u Hrvatskoj

"Donošenjem Opće uredbe o zaštiti podataka osigurala se harmonizacija zakonodavstva jer uredbe početkom svoje primjene vrijede jednako za sve države članice. To znači da ista pravila vrijede za sve građane Europske unije, što građanima, ali i tvrtkama koje obrađuju podatke, jamči pravnu sigurnost i izvjesnost. Uredba jasno definira načela kojih se poslovni subjekti moraju pridržavati i pojedincima jamči prava vezana uz vlastite podatke", kaže.

Europska Uredba o zaštiti podataka osigurava i transparentnost

I najvažnije od svega: "Uredba ni u kojem slučaju nije zabranila obradu i dijeljenje podataka. Dapače, upravo suprotno - puni naziv uredbe sadrži frazu 'slobodno kretanje podataka'. Cilj Uredbe je osigurati da se to slobodno kretanje odvija na zakonit, pošten i transparentan način." 

Duje Kozomara kaže da se već može vidjeti niz dobrih učinaka GDPR-a.

"Svijest građana o važnosti zaštite osobnih podataka posljednjih je godina jako porasla - sve češće se postavljaju pitanja o tome kako i u koje svrhe tvrtke obrađuju njihove podatke. Velik broj poslovnih subjekata svakodnevno radi na unaprjeđenju vlastitih tehničkih i organizacijskih mjera zaštite podataka, svjesni da to itekako može pozitivno utjecati na njihovu reputaciju. Niz zemalja izvan EU osvijestio je potrebu donošenja sličnih zakonskih propisa - upravo je GDPR poslužio kao uzor cijelim nizu novih legislativnih inicijativa usmjerenih na zaštitu podataka", nabraja ovaj stručnjak.

U praksi ima i određenih problema s provedbom Uredbe. 

"Nadzorna tijela za zaštitu podataka često imaju ograničene budžete i manjak stručnog tehničkog osoblja, zbog čega ne mogu provoditi primjeren nadzor nad tehnološki naprednim načinima obrade podataka", kaže Kozomara.

Manjkavosti Zakona o provedbi Opće uredbe o zaštiti podataka

"Što se tiče Hrvatske, treba istaknuti da Uredba ostavlja državama članicama prostor za manje prilagodbe i proširenja akta unutar vlastitog zakonodavstva - kod nas je to učinjeno Zakonom o provedbi Opće uredbe o zaštiti podataka", navodi.

"Niz je manjkavosti tog zakona, ali posebno je problematična odredba koja u potpunosti isključuje mogućnost izricanja upravnih novčanih kazni tijelima javne vlasti za kršenje Uredbe, što je dovelo do toga da su upravo javna tijela odgovorna za neke od najvidljivijih primjera kršenja GDPR-a u Hrvatskoj", kaže. Ističe da je iznimno loše zakonsko rješenje prema kojem javnost ne zna kome je izdana novčana kazna. 

"Naime, Zakonom o provedbi Uredbe propisano je kako se upravne novčane kazne objavljuju neanonimizirane tek nakon pravomoćnosti rješenja. U praksi to znači da je potrebno čekati odluku Upravnog suda o tužbi", navodi Kozomara.

"Imamo slučaj banke koja je kršila prava tisućama ispitanika - mi još ne znamo o kojoj se banci radi jer Visoki upravni sud nije odlučio o tužbi sankcionirane banke. Ako naši građani godinama čekaju da doznaju koje to tvrtke grubo krše njihova temeljna ljudska prava, gubi se jedna od osnovnih svrha same sankcije", objašnjava Kozomara.

Privatni sektor poštuje GDPR, javni sektor zavlači

Novinari Indexa su se u mnogo navrata suočili s time da im institucije odbijaju dati odgovore na neka elementarna pitanja, pozivajući se na GDPR. Kozomara ističe razliku između privatnog i javnog sektora.

"Brojni poslovni subjekti u Hrvatskoj uložili su ozbiljne resurse da bi poslovali u skladu s Uredbom i zaista brinuli o osobnim podacima svojih kupaca, klijenata i zaposlenika, dok se u isto vrijeme strašno velik broj javnih institucija - zbog nemogućnosti da budu novčano kažnjene - naprosto ponaša kao da za njih taj pravni akt uopće ne vrijedi", kaže i proziva državnu Agenciju za zaštitu podataka (AZOP).

"Dio problema leži i u tome što hrvatsko nadzorno tijelo, AZOP, uglavnom uopće ne reagira na kršenja GDPR-a od strane javnih tijela, kao što bi trebalo po službenoj dužnosti. Činjenica da tijelima javne vlasti ne mogu izreći novčane kazne ne znači da ne postoje ostale korektivne mjere, kao što su izdavanje službene opomene, naredba da se postupci usklade s Uredbom - pa i ograničenje te zabrana obrade podataka", kaže Kozomara. 

"Zahtijeva se veća transparentnost rada javnih institucija"

On ističe da javna tijela imaju posebnu odgovornost prema građanima. "Treba razumjeti da pravo na zaštitu osobnih podataka nije apsolutno i Opća uredba o zaštiti podataka nije iznad svih drugih zakona. Uredba podrazumijeva da će države nacionalnim zakonima propisati situacije u kojima obradu osobnih podataka smatraju neophodnom", kaže.

"Takvi zakoni su, između ostalog, Zakon o pravu na pristup informacijama i Zakon o medijima. Budući da su zaposlenici u javnim ustanovama plaćeni novcem građana, logično je da se zahtijeva veća razina transparentnosti njihovog rada, koja može obuhvaćati i određene osobne podatke. Na kraju krajeva, pravo na pristup informacijama zajamčeno je i Ustavom Republike Hrvatske", ističe Kozomara. 

"GDPR je najčešći razlog za odbijanje zahtjeva za pristup informacijama"

Da se GDPR koristi kao izlika da se novinarima ne daju informacije na koje imaju pravo, potvrđuju i službeni podaci. 

"Izvješća povjerenika za informiranje potvrđuju da je u Hrvatskoj upravo zaštita osobnih podataka najčešći razlog za odbijanje zahtjeva za pristup informacijama. Istovremeno, u 2020. godini rješenje prvostupanjskog tijela je poništeno kao nezakonito u 65% žalbenih postupaka povezanih sa zaštitom podataka. Dakle, pristup informacijama je bio neopravdano uskraćen u većini slučajeva", kaže.

Je li GDPR dobar razlog ako javne institucije, primjerice, odbijaju otkriti plaće svojih visokopozicioniranih zaposlenika, zanimalo nas je.

"U konkretnoj situaciji test razmjernosti i javnog interesa bi pokazao da je otkrivanje bruto plaće zaposlenika u redu, dok bi neto iznos plaće ipak mogao otkriti nepotreban višak osobnih podataka o pojedincu", kaže.

"Bilo je potrebno nekoliko godina da se ustali optimalan način rješavanja ovakvih zahtjeva za pravom na pristup informacijama. Izuzev relevantnih odluka povjerenika za informiranje, na stranicama AZOP-a je dostupno mišljenje agencije o osobnim podacima koji se tiču visine plaća zaposlenika javnih tijela", kaže Kozomara.

Duje Prkut: Uvijek se treba žaliti povjereniku za informiranje

GDPR i Zakon o pravu na pristup informacijama (ZPPI) ne bi trebali biti u koliziji, ali se događaju situacije u kojima se GDPR koristi kako bi se eskivirale obaveze institucija prema javnosti, koje definira spomenuti zakon.

Duje Prkut objašnjava: "Zakon o pravu na pristup informacijama prepoznaje situacije u kojima javnost ima pravo pristupa informaciji, čak ako ista sadrži osobni podatak. Isto tako, načelno je odstranjena mogućnost zlouporabe GDPR-a s ciljem skrivanja koruptivnih i/ili neetičkih radnji. No u praksi zaštita osobnih podataka se može koristiti i kao nezakoniti oblik uskrate pristupa informaciji."

"Rekao bih da tijela javne vlasti u ovakvim situacijama provode APP taktiku - ako prođe, prođe. Stoga uvijek treba biti spreman i na taj dodatni korak podnošenja žalbe povjereniku za informiranje", dodaje.

Ovako opisuje aktualnu situaciju u Hrvatskoj: "Ako ste u lovu na osjetljive informacije, očekujte da ćete morati podnijeti žalbu povjereniku te da će proći određeno vrijeme dok ne dobijete pristup informacijama. Ovo je možda primjerena praksa za aktiviste i istraživače, no nimalo ne odgovara potrebama brze dnevne produkcije novinarskog sadržaja."

Novinari moraju biti uporni

Prkut ohrabruje novinare da budu uporni. "Moram primijetiti da su neke od najrelevantnijih istraživačkih priča izgrađene upravo na provedbi uspješne strateške litigacije pred povjerenikom za informiranje", savjetuje te nudi i konkretne savjete.

"Uvijek treba podnijeti žalbu. Ako tijelo javne vlasti uskrati informaciju, vaša je zadaća i odgovornost cijeli slučaj prebaciti kod povjerenika za informiranje. Umjesto rasprave sa službenikom za informiranje, pažnju treba posvetiti sastavljanu kvalitetne žalbe. Ako ste svojim zahtjevom tražili osobni podatak, upravo je žalba prostor u kojem trebate obrazložiti zašto u vašem pojedinačnom slučaju pravo javnosti na informaciju preteže nad pravom na zaštitu osobnih podataka", kaže.

"Upravo zbog testa proporcionalnosti i javnog interesa kojim povjerenik ustanovljava koje pravo preteže u pojedinom slučaju mudro je suziti obujam osobnih podataka koji se traže koliko god je to moguće. Što se traži veći opseg osobnih podataka, to i prateća argumentacija mora biti valjanija i utemeljenija", navodi Prkut. Drugačija je pak situacija u kojoj se traži neki dokument, a pristup se odbije jer sadrži osobne podatke. 

"Radi se o nezakonitom postupanju jer je tijelo javne vlasti obvezno cenzurirati osobne podatke i omogućiti uvid u ostatak dokumenta. To je, na primjer, vrlo čest slučaj s ugovorima između tijela javnih vlasti i fizičkih osoba. Ne može ugovor, kojim se transferiraju javna sredstva fizičkoj osobi, biti nejavan samo jer sadrži nečiji OIB ili adresu. Potrebno je podnijeti žalbu povjereniku te je vrlo izvjesno da će povjerenik narediti dostavu dokumenta uz prethodno cenzuriranje osobnih podataka", objašnjava Prkut.

Ogromno problemi s Agencijom za zaštitu osobnih podataka

Problem je i što za kršenje zakonskih odredbi o zaštiti podataka ne postoje sankcije za javna tijela. 

"U analizi rada AZOP-a pronašli smo niz slučajeva u kojima se propustilo djelovati prema javnim tijelima, posebice Vladi RH. Tako AZOP uopće nije reagirao kad je Grad Vukovar na svojim stranicama objavio video maloljetnika, što je kasnije rezultiralo premlaćivanjem te djece na ulici", podsjeća.

"Digitalni asistent Andrija je objavljen bez politike privatnosti, kao i tzv. 'testno' lansiranje portala za naručivanje za cijepljenje, kad su prikupljeni osobni podaci preko 4000 osoba. AZOP je dao za pravo ministru Berošu da telefonskim pozivom dobije informacije o zdravstvenom statusu Nine Badrić i potom ih podijeli s javnosti, u svrhu kontrole štete, nastale zbog vlastitog neodgovornog ponašanja na javnom događanju", kaže Prkut.

Dodaje da ga ne čudi da se vlada i druga javna tijela ne boje odluka AZOP-a jer su na čelno mjesto te ustanove, koja bi trebala biti samostalna i neovisna, imenovali HDZ-ovog tajnika iz ministarstva graditeljstva, koji praktički nema nikakvog iskustva u području zaštite podataka. 

"Kao da sve navedeno nije dosta, jedino relevantno radno iskustvo trenutnog čelnika AZOP-a je u tvrtki Cesting, koja je punila novinske stupce zbog ekstravagantnih troškova reprezentacije i uključenosti tvrtke u pokušaj podmićivanja sudaca Vrhovnog suda u slučaju Glavaš. Ovo mi se ne čine kao relevantne reference za čelnu funkciju samostalne i neovisne institucije koja štiti ljudska prava građana, nadzire rad izvršne vlasti i nadzire suvremene tehnološke procese obrade podataka koje obavljaju tvrtke", upozorava Prkut.

Kakvu pomoć možemo očekivati od povjerenika za informiranje?

Zanimalo nas je i kakva je uloga povjerenika za informiranje u svemu tome. On je očito ključan u tome da se od institucija, unatoč njihovom zavlačenju i zlorabi GDPR-a, ipak dobiju tražene informacije.

"Praktički obje osobe koje su osnovale i uspostavile institucije povjerenika za informiranje i Povjerenstva za odlučivanje o sukobu interesa odustale su od kandidiranja za drugi mandat. Mislim da nam ovakve stvari puno više govore o kvaliteti vladavine prava u RH od europskih ljestvica, na kojima smo, dakako, uvijek na začelju", kaže Duje Prkut.

"U odnosu na prvu povjerenicu za informiranje, čini mi se da trenutni povjerenik u manjoj mjeri kao svoju misiju postavlja kontinuirano širenje područja transparentnosti. U nekim međuresornim legislativnim procesima se zalagao za konzervativnija zakonska rješenja, usmjerena na očuvanje statusa quo trenutnog polja transparentnosti", dodaje.

Ipak, kaže da su kao udruga načelno zadovoljni slučajevima koje pokreću pred povjerenikom - reakcije su pravovremene, a odlučivanje ispravno. 

Kako su natjerali HZZO da objavi serološku studiju

"Zahvaljujući uspješnom obraćanju povjereniku za informiranje, Toni Rebić je konačno dobio ugovore jedne imotske javne ustanove. Isto tako smo natjerali gospodina Capaka, odnosno HZJZ, da objave na web stranicama famoznu serološku studiju prema kojoj je 25 posto građana u proljeće 2021. već preboljelo virus", kaže Prkut.

"Iako je korištena kao ključni argument za ukidanje epidemioloških mjera, studija nije objavljena vjerojatno jer detaljnije informacije o uzorku ispitanika otkrivaju neprimjerenost donošenja zaključaka na razini opće populacije", dodaje.

"Agencija za zaštitu podataka nam je morala dostaviti detaljne informacije o stručnoj spremi svojih zaposlenika, koje smo tražili jer smo provodili analizu rada i kapaciteta Agencije. Iz malobrojnih slučajeva koje imamo pred povjerenikom za informiranje, čini nam se da korektno obavlja svoj posao", procjenjuje Prkut.

On ipak upozorava da bi ocjena rada povjerenika bila drugačija ako bi se provela detaljnija i opsežnija istraživanja o nekim aspektima koji se već sada prepoznaju kao potencijalno problematični - zlouporaba prava na zaštitu podataka, izbjegavanje davanja informacija uz izgovor da predstavlja bezrazložno trošenje ograničenih administrativnih resursa. 

Sve će se pokazati u antikorupcijskom operativnom planu koji je u izradi

"Nadzor rada tijela javne vlasti, koja uključuje i mrežu samostalnih i neovisnih institucija, treba sistemski poticati kroz ciljano financijsko podupiranje aktivnosti organizacija civilnog društva i neprofitnih medija. Nažalost, država ima malo poticaja da podupre aktivnosti koje doprinose izgradnji vladavine prava - iz jednostavnog razloga jer se time istovremeno potiče i kritički odnos prema vlasti", smatra Prkut.

Kaže da ćemo uskoro na institucionalnoj razini jasno vidjeti hoće li se nastaviti ovakvo ponašanje vlasti.

"Trenutno je u tijeku priprema antikorupcijskog operativnog plana uz strategiju suzbijanja korupcije, proces programiranja EU fondova (uključujući i sredstva za udruge) te izrada operativnog plana za poticanje rada civilnog sektora. Ako ovi dokumenti ne budu ukazivali na jasan plan podupiranja i financiranja aktivnosti usmjerenih na izgradnju vladavine prava (zaštita ljudskih prava, monitoring rada javnih tijela, antikorupcija i istraživačko novinarstvo), to će biti jasan znak da će u Hrvatskoj, još neko vrijeme - sve ostati isto", zaključuje Duje Prkut.