Svaka institucija koja želi koristiti osobne podatke mora ishoditi privolu kao dobrovoljno, posebno, informirano i nedvosmisleno izražavanje želje ispitanika kojom on izjavom ili jasnom potvrdnom radnjom daje pristanak za prikupljanje, korištenje i obradu osobnih podataka koji se na njega odnose.
Uredba 2016/679 Europskog Parlamenta i Vijeća od 27. travnja 2016. o zaštiti pojedinaca u vezi s obradom osobnih podataka i o slobodnom kretanju takvih podataka te o stavljanju izvan snage Direktive 95/46/EZ, tzv. General Data Protection Regulation ili Opća Uredba o zaštiti osobnih podataka (dalje u tekstu: GDPR), objavljena je 4. svibnja 2016. u Službenom listu EU broj L 119/88 i stupila je na snagu 25. svibnja 2016., a njena primjena započinje od 25. svibnja 2018. Propisan je iznimno dugi vacatio legis kako bi se s novim obvezama upoznali oni na koje se GDPR odnosi, dajući im razuman rok da se pripreme za ispunjenje obveza koje se njome nameću. O ozbiljnosti govori činjenica da je GDPR pripremana i pisana nekoliko godina a slijedi smjernice o stvaranju jedinstvenog digitalnog tržišta, te će se izravno primjenjivati u svim zemljama članicama koje su obvezne uspostaviti neovisno nadzorno tijelo zaduženo za praćenje provedbe propisa o zaštititi osobnih podataka, rješavanje i istraživanje pritužaba, izdavanje upozorenja, opomena i naloga, ograničiti i/ili zabraniti obradu te izreći kazne. U Republici Hrvatskoj tu ulogu će najvjerojatnije obavljati Agencija za zaštitu osobnih podataka (AZOP), djelujući kao Supervisory Authority (SA). Uspostavit će se i Europski odbor za zaštitu podataka koji će se sastojati od čelnika nadzornih tijela svake države članice i Europskog nadzornika za zaštitu podataka, a koji će biti zadužen za dosljednu primjenu GDPR-a i rješavanje sporova između nadzornih tijela država članica, izdavanje preporuka, smjernica i primjera najbolje prakse.
Prema GDPR-u, osobnim podatkom smatraju se svi podaci koji se odnose na pojedinca čiji je identitet utvrđen ili se može utvrditi, osobito uz pomoć identifikatora kao što su primjerice ime, identifikacijski broj, podaci o lokaciji, mrežni identifikator ili uz pomoć jednog ili više čimbenika svojstvenih za fizički, fiziološki, genetski, mentalni, ekonomski, kulturni ili socijalni identitet tog pojedinca. Jednostavnije rečeno to su primjerice ime i prezime, OIB, MBG, slika, glasovni zapis, adresa, broj telefona, IP adresa, RFID tagovi i kolačići na web stranicama, povijest bolesti, različiti biometrijski podaci, podaci o obrazovanju i stručnoj spremi, plaći, kreditnom zaduženju, računima u banci, zdravlju, seksualnoj orijentaciji i sl., ako mogu dovesti do izravnog ili neizravnog identificiranja pojedinca. Prije prikupljanja subjekt koji ih prikuplja ima obvezu ispitaniku pružiti informaciju u koju svrhu se podaci prikupljaju, pravnu osnovu, komu se otkrivaju te ga upoznati s pravom da podacima pristupi, zahtijeva njihov ispravak ili brisanje. Zakonita obrada podrazumijeva ili postojanje privole, ili mora biti nužna za izvršavanje određenog ugovora, odnosno radi poštovanja pravnih obveza voditelja obrade, za zaštitu ključnih interesa ispitanika ili druge fizičke osobe, za izvršavanje zadaće od javnog interesa ili službene ovlasti voditelja obrade. Svi osobni podaci moraju se obrađivati na načelima zakonitosti, poštenosti i transparentnosti obrade, sa ograničavanjem svrhe na minimum onoga za koju se svrhu prikupljaju, točnosti, ograničenja pohrane, cjelovitosti, povjerljivosti i pouzdanosti.
Za ispitanike povećava se sigurnost, privatnost, transparentnost te kontrola nad njihovim osobnim podacima, neovisno o tome tko ih obrađuje. Uvjeti moraju biti napisani jednostavno i razumljivo s jasnim objašnjenjem u koje se svrhe prikupljaju osobni podaci, a korisnici će pristanak moći povući na jednostavan način, kao što će ga i dati, i zatražiti da se prikupljeni podaci izbrišu („pravo na zaborav“). Ako dođe do povrede koja može prouzročiti rizik za prava i slobode ispitanika, on mora biti obavješten o tome. Pravo je svakog građanina EU da svojim osobnim podacima sam raspolaže, te se ovom Uredbom konkretizira pravo na informiranje, ispravak, uskraćivanje privole, pravo na preseljenje podataka te pravo na zaborav.
Dakle, svaka institucija koja želi koristiti osobne podatke mora ishoditi privolu kao dobrovoljno, posebno, informirano i nedvosmisleno izražavanje želje ispitanika kojom on izjavom ili jasnom potvrdnom radnjom daje pristanak za prikupljanje, korištenje i obradu osobnih podataka koji se na njega odnose. Privola mora biti napisana kratko i jednostavnim jezikom, sa navedenim podacima čije prikupljanje, obrada i pohrana se traži/dopušta, koliko dugo i za koju svrhu, pravnom temelju, te se može povući u svakom trenutku. Ispitanik se ima pravo usprotiviti donošenju pojedinačnih automatiziranih odluka (profiliranje). Sama obrada obuhvaća radnje poput prikupljanja, bilježenja, čuvanja, uvida, otkrivanja, prenošenja ili uništavanja. Pravo na zaborav je pravo tražiti od institucije da „zaboravi“ sve vaše osobne podatke (postoje izuzeci kada je riječ o zakonom propisanim dokumentima). GDPR posebno regulira zaštitu osobnih podataka maloljetnih osoba (potrebna je dozvola roditelja ili skrbnika). “Povreda” znači kršenje sigurnosti koje dovodi do slučajnog ili nezakonitog uništenja, gubitka, izmjene, neovlaštenog otkrivanja ili pristupa osobnim podacima koji su preneseni, pohranjeni ili na drugi način obrađivani. “Sustav pohrane” znači svaki strukturirani skup osobnih podataka dostupnih prema posebnim kriterijima. Pseudonimizacija znači obradu na način da se osobni podaci više ne mogu pripisati određenom ispitaniku bez uporabe dodatnih informacija. Najbitnije obveze voditelja i izvršitelja obrade su poduzimanje svih odgovarajućih tehničkih i organizacijskih mjera, poput pseudonimizacije, enkripcije, obrađivanje samo nužnih podataka i za točno određene svrhe, te informiranje ispitanika ako dođe do povrede.
Kada obradu provodi tijelo javne vlasti (dakle i vatrogasne organizacije iz svoje nadležnosti), mora se imenovati službenik za zaštitu podataka, tzv. DPO – Data Protection Officer. On ne mora biti zaposlenik voditelja ili izvršitelja obrade, ali ne smije biti u sukobu interesa, a ključna uloga mu je informirati i savjetovati voditelja ili izvršitelja obrade o obvezama iz područja zaštite podataka, pratiti poštivanje propisa o zaštiti podataka, sudjelovati u procjeni učinka i prethodnom savjetovanju te surađivati s nacionalnim nadzornim tijelom.
Prema mišljenju AZOP-a, GDPR se primjenjuje na sve javne institucije koje prikupljaju osobne podatke o korisnicima, bez iznimke. GDPR je pravni tekst i ne razrađuje tehnička rješenja, ali ona postaju jedini i isplativi način da se izvrši usklađenost s Uredbom. Za nepoštivanje Uredbe propisane su kazne, i to za kršenje od strane voditelja i izvršitelja obrade u maksimalnom iznosu od 10 milijuna eura ili 2% godišnjeg prometa, a za kršenje načela (obrade, prava ispitanika, prijenosi podataka u treće države, obveze u skladu s nacionalnim pravom, nepoštovanja naredbe ili pravo pristupa nadzornog tijela) do maksimalno 20 milijuna eura ili 4% godišnjeg prometa na svjetskoj razini, ovisno o tomu što je veće. Prilikom izricanja vodit će se računa da je sankcija učinkovita, razmjerna i odvraćajuća, a za određivanje iznosa uzimat će se u obzir kriteriji poput prirode, težine i trajanje kršenja, vrsta krivnje, mjere ublažavanja štete, prijašnja kršenja, tehničke i organizacijske mjere primijenjene u obradi podataka, itd.
Usklađivanje s GDPR-om za mnoge organizacije, pa tako i vatrogasne neće biti lako, jer je potrebno njihov postojeći sustav upravljanja podacima prilagoditi zahtjevima Uredbe, za što treba sudjelovanje i upravljačke strukture, ICT stručnjaka, pravnika i službenika za informiranje. Budući da je riječ o procesima koji svi provode prvi put i nedostaje primjer najbolje prakse, kao pomoć mogu doći specijalizirani konzultanti za navedena područja, a koji bi svakako trebali nakon što snime unutarnje procese postaviti pravni temelj, zatim predložiti rješenje upravljanja privolama (sustavno vođenje evidencije prikupljenih suglasnosti za obradu osobnih podataka u točno određene svrhe), iznaći način na koji će se osigurati trajno zabilježene aktivnosti pristupa podacima, svakodnevni preventivni nadzor sustava, enkripciju podataka, pseudonimizaciju, procjeniti utjecaj na privatnost, uspostaviti djelotvoran sustav otkrivanja povrede, predložiti metode reakcije na povrede te način obavještavanja ispitanika i način suradnje s nadzornim tijelom, predložiti model sigurnosnog aspekta pohrane, te po potrebi ponuditi kontinuiranu izobrazbu službenika za zaštitu podataka.
Tekst: Renato Podbojec, mag. iur.