Stanko Cerin jedan je od najaktivnijih stručnjaka za zaštitu osobnih podataka u regiji. Osnivač je Udruge za zaštitu osobnih podataka, stručnog portala GDPR novosti, suosnivač je i suvlasnik tvrtke Ostendo Consulting koja je specijalizirana za informacijsku sigurnost i usklađenost. Što osobno, a što putem svoje tvrtke, pokrenuo je niz akcija podizanja svijesti, edukacije i pomoći građanima i malim poduzetnicima u zaštiti osobnih podataka. Prijava Hrvatske Europskoj komisiji radi kršenja Uredbe o zaštiti osobnih podataka (GDPR) povod je ovom razgovoru.
Državu ste prozvali zbog nedavnog imenovanja novog čelnika AZOP-a koji po vama ne zadovoljava uvjete, a prigovor ste poslali i na adresu Europske komisije. Što očekujete da će se dogoditi?
Neobično je Europskoj komisiji podnositi prigovor zbog nečijeg imenovanja, no neosporna je činjenica da uvjete za imenovanje u nadzorno tijelo definira GDPR. Riječ je o Uredbi EU koja se jednako mora primjenjivati u svim članicama. Konkretno, prigovor je podnesen zbog kršenja članaka GDPR-a koji se odnose na zahtijevanu stručnost u području zaštite osobnih podataka i neovisnost.
Ravnatelja AZOP-a imenuje Sabor na prijedlog Vlade, no to nije razlog da zastupnici imenuju osobu koja evidentno ne zadovoljava zakonom propisane uvjete. Pored GDPR-a, uvjeti za ovu poziciju propisani su i također prekršenim Zakonom o provedbi GDPR-a koji je usvojio Sabor. Problem je u tome što GDPR komplicira smjenu ravnatelja jer bi se to moglo tumačiti pokušajem utjecaja na neovisnost nadzornog tijela. Zanimljivo, takav smo slučaj na tijelima EU već imali, i to baš kada je naša Vlada pokušala smijeniti prethodnog ravnatelja. Smijeniti ga može jedino Sabor na prijedlog Vlade (a ona ga je i predložila), i to upravo zbog neispunjavanja uvjeta za imenovanje.
Moj je stav da je AZOP trebalo rasformirati povlačenjem starog Zakona o zaštiti osobnih podataka temeljem kojega je inicijalno i nastao. Početkom primjene GDPR-a trebalo je osnivati novu, potpuno drugačiju agenciju, stručnu i neovisnu, s priznatim stručnjakom na čelu. Upravo kako nalaže GDPR. Umjesto toga, Hrvatska je išla na transformaciju AZOP-a koja još traje. U startu smo agenciji koja za to nije bila spremna dali izuzetno velike ovlasti koje ona ne koristi. Možemo samo špekulirati radi li se tu o strahu od stajanja iza svojih odluka, vanjskom utjecaju ili nečem trećem. Najbolje će znati djelatnici AZOP-a. Bilo kako bilo, kako bi se ovlasti koristile stručno i nepristrano, Agencijom mora upravljati upravo takva osoba. Politička povijest i okolnosti imenovanja novog ravnatelja bude ozbiljnu sumnju u njegovu nepristranost kod donošenja odluka, no čak kada bi i postojala neka dvojba oko ovog pitanja, oko stručnosti dvojbe nema. Bez potrebe za dodatnim obrazlaganjem, u anketi provedenoj među čitateljima stručnog portala GDPR Novosti, nitko ga nije ocijenio stručnim u ovom području.Vjerujem da se g. Vukić prihvatio ovog posla ne razumijevajući zakonske zahtjeve radnog mjesta na koje je imenovan, kompleksnost i odgovornost pozicije ravnatelja ovako moćne agencije, te će s pozicije sam odstupiti.
U priči o GDPR-u država zapravo ima veliku ulogu, budući da ona mora imati nadzorno tijelo koje se bavi upravo zaštitom osobnih podataka. Agencija za zaštitu osobnih podataka trebala je odigrati ključnu ulogu u provedbi i informiranju o GDPR-u. Kako ocjenjujete rad AZOP-a?
Rad AZOP-a trebao bi prema postojećoj regulativi ocjenjivati Sabor i upravo u tome leži najveći problem. Saborski zastupnici AZOP i dalje doživljavaju onako kako su ga doživljavali prije GDPR-a – kao nevažnu agenciju koju je Hrvatska morala uspostaviti radi usklađivanja s EU direktivama. Zato se izvješće o njegovu radu u Saboru usvaja praktički bez ikakve konstruktivne kritike. U stvarnosti, rad AZOP-a nitko ne nadzire. AZOP mora biti neovisan od vanjskih utjecaja, ali to ne znači da ne mora raditi svoj posao.
Iako se radi o uredbi kojom se definira način zaštite temeljnih ljudskih prava, GDPR je u javnosti kritiziran kao „samo još jedan namet“ i bespotreban trošak brojnim organizacijama. AZOP nije na vrijeme senzibilizirao javnost, niti je pružao bilo kakve konkretne informacije o onome što nas čeka. Štoviše, gotovo nikad nije reagirao na netočne informacije objavljene u medijima, pa čak i na samim njihovim javnim edukacijama. AZOP-u nedostaje snažna, samopouzdana, stručna i neovisna osoba koja će ga voditi. U području provedbe inspekcijskog nadzora AZOP je do sada propisao samo jednu kaznu. To može značiti ili da je zaštita osobnih podataka u Hrvatskoj na zavidnoj razini ili da AZOP nije baš agilan. Prepustimo čitateljima da sami zaključe.
Dio ovih propusta može se pripisati žalosno niskom budžetu kojim je ova agencija u to doba raspolagala, no ne treba se vraćati u prošlost. Što je bilo, bilo je. Pobrinimo se da u budućnosti bude bolje.
Pretpostavljam da želite reći da jedna kazna u dvije godine nije odraz naše velike prilagodbe i odlične situacije u području zaštite osobnih podataka, već nedovoljne informiranosti?
Broj izrečenih kazni ne bi trebao biti jedini pokazatelj kvalitete rada AZOP-a. Pokazatelj koji bih ja želio vidjeti je indeks osviještenosti građanstva o pravu na zaštitu osobnih podataka i broj podnesenih pritužbi. Što veća osviještenost uz što manji broj pritužbi. Želim vidjeti AZOP u kojem će svaki djelatnik svaki uočeni prekršaj doživljavati kao vlastiti neuspjeh u podizanju svijesti, edukaciji i podršci građanima RH.
Kako kaže izvještaj na stranicama AZOP-a, kažnjena je jedna banka protiv koje se vodilo više od 20 tužbi i u jednom slučaju je kažnjena. Banka nije službeno imenovana niti je kazna velika. Kako gledate na taj slučaj?
Mislim da bi puno bolju ocjenu mogli dati kada bi slučajeva bilo više. Ovako to nemamo s čime usporediti. Zakon o provedbi GDPR-a ne nalaže objavu imena kažnjene banke do pravomoćnosti, no ne brani objavu iznosa, što je AZOP prešutio. Budući da je propisana samo jedna kazna, iznos će se, nadam se, vidjeti u godišnjem izvješću Saboru o radu AZOP-a. Nedavno istraživanje stručnog portala GDPR Novosti ukazuje na nerazmjer u visini kazni propisanih financijskim institucijama u više zemalja EU. Kako se u Hrvatskoj evidentno radilo o namjernom repetitivnom kršenju ljudskih prava s ciljem ostvarivanja protupravne koristi, kazna bi morala biti ekstremno visoka. Na žalost, neslužbene informacije kojima raspolažemo govore drukčije, ali o tom potom. Cijela ta igra pomalo je smiješna jer se iz opisa prekršaja na AZOP-ovim web-stranicama i medijskih članaka o slučaju Franak jasno može iščitati o kojoj se točno banci radi. Neka to bude mala lekcija AZOP-u o anonimizaciji – jednoj od osnovnih metoda zaštite koju GDPR preporučuje.
GDPR nije baš mlada uredba, u punoj je primjeni dvije godine, a na snazi i dulje; ipak, nekako se dobiva dojam da baš nije zaživjela u potpunosti?
Usvojena 2016., ova je uredba trebala biti prekretnica u razvoju digitalnog društva iako u usporedbi s EU direktivom koja joj je prethodila ne donosi bitne novosti u samom odnosu prema osobnim podacima.
Revolucionarnost GDPR-a sastoji se u davanju izuzetno velikih ovlasti nadzornim agencijama koje sada mogu puno jednostavnije provoditi nadzore i propisivati vrlo velike kazne. Većina ljudi misli da je riječ o iznosima do 20 milijuna eura, no za velike tvrtke maksimalna kazna zapravo može sezati do 4% ukupnog prihoda. Za HEP bi ona primjerice mogla biti i više od 80 milijuna eura.
Budući da u samom upravljanju zaštitom osobnih podataka GDPR ne donosi bitne novosti, svi oni koji su to i prije GDPR-a radili dobro, ne bi se trebali bojati kazni. Problem je u tome što su takvi rijetki. Ne samo da se zaštita osobnih podataka ozbiljno zanemarivala, nego su brojne tvrtke izgradile poslovne modele temeljene na njezinu kršenju. Drugi je problem taj što su tijela javne vlasti izuzete od bilo kakvog kažnjavanja, kako samog tijela, tako i odgovorne osobe. Postoji, doduše, mogućnost kažnjavanja odgovorne osobe po drugoj regulativi, kao i kazneni zakon koji predviđa i zatvorske kazne, no prema mojim saznanjima nijedno od navedenoga još se nije dogodilo.
Kada je riječ o IT industriji od koje se očekivalo i očekuje se da zna sve o GDPR-u, odnosno da ima spremne alate koji će olakšati primjenu, čuje se dosta kritika na uredbu. Kako vi gledate na te kritike?
Govorimo li o IT alatima, alati za zaštitu podatka postoje desetljećima. Evoluiraju i sve su bolji, kao što su i rizici sve veći. Iluzorno je očekivati da će IT sektor riješiti usklađenost s GDPR-om, jednako kao što je iluzorno očekivati da će se to napraviti bez njega.
Zaštita osobnih podataka mora biti duboko integrirana u razvojnu strategiju svake organizacije i društva u cjelini. To nije stvar IT-a nego uprave i poslovnih sektora. Oni su ti koji određuju koji će se podaci prikupljati, obrađivati i kako će se rezultati obrada koristiti. IT je tu da to provede u djelo i pobrine se o zaštiti podataka u IT sustavima. GDPR u smislu zaštite osobnih podataka ne donosi ništa novo.
EU je poznata prema svojoj regulativi, pa čak i američki tehno-divovi smatraju da je EU zakonodavstvo nešto što treba većinom ‘prepisati’. Koliko se GDPR može ‘uhvatiti’ u svijetu?
Ovo je regulativa koja definira obradu osobnih podataka na načine kako do sada to nismo imali prilike vidjeti. Osmišljena je kako bi omogućila razvoj sigurnog i etičkog digitalnog društva. To su prepoznale gotovo sve zemlje svijeta. Istina, pozornost na GDPR skrenuta im je time što se on nekada primjenjuje i na njihove tvrtke bez obzira na to što nisu u EU. Južnoameričke i razvijene azijske zemlje, pa čak i SAD, krenule su sličnim smjerom. U zaštiti osobnih podataka EU definitivno diktira globalne trendove.
Kažete da ćete pojačati ‘aktivizam’ u smjeru osvještavanja ljudi i tvrtki o potrebi zaštite podataka. Što vas je na to ponukalo?
Izumi koji su napravili velike prekretnice u povijesti čovječanstva, poput motora s unutarnjim sagorijevanjem, rendgena, cijepanja atoma itd., uvijek su imali i negativan učinak koji u početku nije bio prepoznat. Informatizacija društva bez ikakve je sumnje veliki evolucijski korak koji upravo kročimo, a prosječni građanin ne razumije rizike modernog digitalnog društva. Primarna uloga UZOP-a je pružati relevantne i kompetentne informacije o ovim rizicima i ispravnim načinima zaštite, ukazivati na kršenja prava građana na zaštitu privatnosti i pomoći im u ostvarivanju njihovih prava. Nadamo se da ćemo ovakvim pristupom potaknuti proaktivnost građana u zaštiti vlastite sigurnosti.
Dakle, kada biste ocjenjivali hrvatsku svijest o zaštiti osobnih podataka, koju bismo ocjenu dobili?
Svijest više ovisi o stručnom području kojim se netko bavi, nego o zemlji u kojoj živi. Netko tko se bavi informacijskom sigurnošću sigurno je svjesniji rizika od nekoga tko se bavi npr. medicinom što je žalosno. Ako bismo već morali napraviti neku zemljopisnu usporedbu, rekao bih da većina građana EU nije adekvatno prepoznala potrebu za zaštitom osobnih podataka. Stanje je nešto bolje u skandinavskim zemljama. Hrvati su negdje u sredini, ali treba imati na umu da je sredina EU vrlo nisko. Pravi je problem u tome što ljudi koji upravljaju ovom zemljom nisu istinski prepoznali zaštitu osobnih podataka kao temeljno ljudsko pravo i ozbiljan rizik, pa se na upozorenja stručnjaka ne obaziru sve dok ne bude kasno.
Vratimo se na vašu odluku da svoje vrijeme više posvetite ‘aktivističkom’ djelovanju. Kakvi su vam planovi daljnjeg djelovanja?
Udruga za zaštitu osobnih podataka – UZOP članica je najpoznatije svjetske udruge NOYB koja se već godinama uspješno bori s najvećim tehnološkim divovima poput Googlea i Facebooka. Planiramo se boriti za odgovornu i etičku obradu podataka kod velikih obrađivača i tijela državne uprave. Građanima želimo pružiti jedinstvenu platformu za kolektivnu zaštitu temeljnog ljudskog prava na privatnost. Posebno ćemo se fokusirati na razumijevanje vrijednosti osobnog podatka unutar pravosudnog sustava i stvaranje sudske prakse koja će omogućiti brzo i jednostavno donošenje presuda u područnu kršenja prava na zaštitu osobnih podataka. Istinsku sigurnost imat ćemo tek onda kad organizacije koje poslovne modele grade na masovnim kršenjima ljudskih prava shvate da s druge strane nije samo AZOP, nego i građani koji udruženi mogu sudskim putem tražiti i dobiti nadoknadu štete.
