Kršenja zaštite osobnih podataka

OTKRIVENA POVREDA GDPR-a Zloupotrijebljeni osobni podaci zaposlenih u gradskim upravama

Vladimir Mrvoš

snimio Ivica Tomić

snimio Ivica Tomić

"Bez obzira na to što su podaci o zaposlenima u javnom sektoru javno dostupni podaci, ne smiju se poslovno upotrebljavati i iskorištavati jer isti nisu proglašeni otvorenim podacima za ponovnu upotrebu sukladno važećoj zakonskoj regulativi."



RIJEKA – Nakon nedavnog stupanja na snagu Opće uredbe o zaštiti podataka, poznatog kao GDPR, u Hrvatskoj je došlo do velikog kršenja zaštite osobnih podataka zaposlenih u javnom sektoru i to u dvadeset i jednom gradu. To su gradovi Rijeka, Pula, Zagreb, Dubrovnik, Varaždin, Bjelovar, Karlovac, Knin, Koprivnica, Križevci, Makarska, Osijek, Ploče, Poreč, Požega, Samobor, Sinj, Slavonski Brod, Velika Gorica, Vukovar i Vrgorac.


Među navedenima gradovima Rijeka je bila inicijator pokretanja pitanja krše li se ocjenjivanjem službenika i namještenika na portalu ocijenime.hr njihova prava te je pitanje uputila GDPR konzultantu Ines Bolkovac direktorici Feralis Grupe koja je ujedno i predsjednica Hrvatskog centra za zaštitu podataka Feralis u Rijeci.


To je rezultiralo zahtjevom za zaštitu prava pri Agenciji za zaštitu podataka i podizanjem kaznene prijave protiv udruge Prospectus iz Dubrovnika koja je portal i pokrenula. Ines Bolkovac tako je prva pokrenula postupak zbog kršenja prava o zaštiti podataka u Hrvatskoj.




– Bez obzira na to što su podaci o zaposlenima u javnom sektoru javno dostupni podaci, ne smiju se poslovno upotrebljavati i iskorištavati jer isti nisu proglašeni otvorenim podacima za ponovnu upotrebu sukladno važećoj zakonskoj regulativi. To znači da svaki građanin ima pravo dobiti informacije o zaposlenima u javnom sektoru, znati tko su zaposlenici, na kojim radnim mjestima rade, znati njihove osnovne plaće i drugo, ali bez da iste informacije mogu koristiti za bilo koju svoju poslovnu svrhu ili ih na bilo koji drugi način zloupotrebljavati – ističe Ines Bolkovac.


Krenulo preispitivanje


Nakon postavljenog upita od strane Službenika za zaštitu podataka Grada Rijeke krenulo je, kaže, preispitivanje. Mnogi portali i novine prenijeli su informaciju o portalu gdje se službenici i namještenici ocjenjuju te je na gotovo svim mjestima predsjednica udruge u čijem je vlasništvu predmetni portal isticala da nema kršenja osobnih podataka i da je dobila pozitivno mišljenje i suglasnost o tome od Povjerenika za informiranje RH. Stoga se mišljenje zatražilo od Povjerenstva kako bi se spoznala pravna osnova s obzirom na to, kaže Bolkovac, da im je poznavanje predmetnog područja i zakonska regulativa ukazivala na sasvim suprotno od onoga što je predsjednica udruge u medijima navodila.


Povjerenik za informiranje, međutim, dostavio je svoj službeni odgovor kojim u cijelosti osporava suglasnost i mogućnost korištenja osobnih podataka službenika i namještenika u javnom sektoru u poslovne svrhe. »Povjerenik za informiranje nije dao nikakvu dozvolu niti može dati dozvolu da se osobni podaci zaposlenika u javnoj upravi smatraju otvorenim podacima i da se mogu ponovno uporabiti. Nadalje, ističemo kako ne postoji zakonska regulativa koja osobne podatke u javnom sektoru definira kao otvorene podatke koji su namijenjeni ponovnoj uporabi. Također ističemo kako je potrebno razlikovati pristup informacijama i ponovnu uporabu informacija«, stajalo je u odgovoru Povjerenstva za informiranje.


– Takvim odgovorom dalo nam je jasno do znanja da je došlo do zloupotrebe velike količine osobnih podataka zaposlenih u javnom sektoru u dvadeset i jednom gradu u Hrvatskoj jer su se osobni podaci koristili protivno zakonskoj regulativi te protivno Općoj uredbi o zaštiti osobnih podataka (GDPR) koja u članku 5 jasno kaže da se svi osobni podaci moraju i zakonito, pošteno i transparentno obrađivati i biti prikupljeni u posebne, izričite i zakonite svrhe te se dalje ne smiju obrađivati na način koji nije u skladu s tim svrhama. Stoga osim kršenja nacionalnih propisa imamo i kršenje Opće uredbe o zaštiti podataka (GDPR) koja vrijedi na nivou cijele EU, a za čije se kršenje vežu visoke sankcije koje u nekim slučajevima čak mogu sezati i do 25.000 eura – navodi Ines Bolkovac.


Kaznena prijava


Nakon dobivenog odgovora Agenciji za zaštitu podataka upućen je zahtjev za zaštitu službenika i namještenika zaposlenih u svim gradovima, a čiji se osobni podaci zloupotrebljavaju te podnesena kaznenaprijava Općinskom državnom odvjetništvu u Rijeci zbog nedozvoljene upotrebe osobnih podataka.


Svi službenici i namještenici čiji su se podaci nezakonito koristili i zloupotrebljavali mogu također i samostalno podnijeti prijavu AZOP-u za zaštitu svojih prava, temeljem koje, a sve sukladno Općoj uredbi za zaštitu osobnih podataka (GDPR), mogu ostvariti pravo na naknadu štete.


– Ono što je bitno istaknuti je da u postupcima zaštite osobnih podataka sukladno GDPR-u ispitanici, odnosno u ovom slučaju svi oštećeni ne moraju dokazivati da je došlo do kršenja njihovih osobnih podataka već je sav teret dokaza na voditelju obrade, odnosno na udruzi u čijem se vlasništvu portal nalazi, da dokaže svoju zakonitost obrade – istaknula je Bolkovac i dodala:


– Znamo da je među građanima državna uprava omražena i da će biti mnogo negativnih komentara na račun ovog čina, međutim ako dozvolimo i svjesno pristajemo na kršenje zakona i druge pravne regulative kakva budućnost nas tada očekuje i koju pravnu sigurnost tražimo?