GDPR će utjecati na svaku tvrtku koja obrađuje podatke porijeklom iz EU-a, neovisno o tome gdje je tvrtka smještena – bitno je samo da posluje na prostoru EU-a ili s osobama iz EU-a. Svi trebaju biti usklađeni s novim pravilima zaključno s datumom stupanja GDPR-a na snagu 25. svibnja 2018.
Dobra je vijest da će se GDPR u manje-više istom obliku primjenjivati u cijeloj Europskoj uniji, što znači da ćete većinu posla trebati obaviti samo jednom uz, naravno, kontinuirani nadzor nakon toga.
U usporedbi s postojećim zakonodavnim okvirom definiranim Direktivom 95/46/EZ, nadzorna tijela dobivaju više ovlasti koje dolaze s povećanjem kazni. Kazne će izricati u pravilu vodeće nadzorno tijelo za tu tvrtku, tj. nadzorno tijelo u državi u kojoj tvrtka ima poslovni nastan.
Nadzorna tijela
Nadzorna tijela predstavljaju glavnu kontaktnu točku između tvrtke i novog zakona. One u suštini igraju ulogu nadzornika i regulatora. Međusobno, koordinacijom nadzornih tijela u zemljama članicama trebalo bi se osigurati konzistentna primjena kaznenih mjera, međutim vjerojatno se više radi o pustim željama nego realnoj mogućnosti. Europska komisija izričito tvrdi da neće biti moguće tražiti popustljiva nadzorna tijela koja bi omogućila tvrtkama da se lako izvuku, pa nam preostaje čekati da vidimo što će se zaista dogoditi.
Neprijatelji ili saveznici?
Bilo kako bilo, nadzorna su tijela ovlaštena provoditi revizije, inspekcije i preglede certifikata i zapisa. Smiju tražiti i podatke koji imaju veze s njihovim trenutnim istragama. Ako se pronađu nepravilnosti, nadzorno tijelo može izdati upozorenja, opomene ili u najgorem slučaju administrativne kazne.
Osim kazni, nadzorno tijelo može narediti zabranu obrade podataka ili prestanak prijenosa podataka u treće zemlje. Također mogu suspendirati certifikacijska tijela i zahtijevati od tvrtke da prijavi korisnicima povredu podataka.
Mrkva i batina
GDPR na neki način ne mijenja već tisućljećima poznatu i prokušanu metodu ‘udaranja’ prekršitelja po džepu. Pridržavanje propisa najlakše se može osigurati tako da se pobrinete da se njihovo kršenje ne isplati. Najjednostavniji način jest da propišete goleme kazne, u čemu je GDPR uvelike uspješan.
Mrkva i batina… ali ponajviše batina.
Ovisno o težini prekršaja, predviđene su kazne do 10 milijuna eura ili 2 % ukupnog godišnjeg prometa tvrtke za prethodnu godinu ili dvostruko veći iznos od 20 milijuna eura ili 4 % ukupnog godišnjeg prometa za najteže prekršaje. Primjenjuje se veća cifra, dakle tvrtka s milijardom eura prometa platila bi za neki teži prekršaj i do 40 milijuna eura!
Nisu svi prekršaji isti
I EK je uspjela ovdje zadržati trunku razumijevanja pa se najveće kazne neće prepisivati olako. Kod manje prekršaje koji se dogode prvi puta za očekivati je da će se prvo davati blaže kazne ili iznimno upozorenja, no milosti za opetovane prekršitelje neće biti.
Suradnja se isplati
Prilikom određivanja veličine kazne, nadzorna tijela u obzir mogu uzeti razne olakotne ili otegotne okolnosti. To uključuje:
- oblik prekršaja
- namjeru
- nemarnost
- trajanje
- prethodne prekršaje
- pridržavanje kodeksa ponašanja
- način na koje je nadzorno tijelo doznalo za prekršaj i sl.
Očigledno je da će kazne biti manje ako se tvrtke same prijave čim doznaju za nepravilnosti nego da to probaju zataškati, u kojem slučaju ih čeka pregršt neugodnosti.
Loše namjere, gore posljedice
Pokušaji zataškavanja prekršaja ili posljedica, odnosno loša praksa koja je dovela do povrede kažnjavat će se najvišim kaznama. Nadzorna tijela u cijeloj EU trebala bi na nekoj dosljednoj razini provoditi propise i kažnjavati otprilike s jednakim kriterijima, ali kao što smo gore naveli, to tek moramo vidjeti.
Administrativne kazne, važno je reći, ni u kojem slučaju ne umanjuju ostalu odgovornost odgovornih osoba, bilo kaznenu ili prekršajnu – to uopće ne spada u domenu GDPR-a. Ipak, tvrtke se ne bi smjelo kažnjavati dva puta za isti prekršaj, prema načelu ‘ne bis in idem’. Upamtite da države članice imaju pravo oduzeti nezakonito stečenu dobit, tj. dobit nastalu kršenjem GDPR-a. Sankcije u kaznenim procesima definirat će svaka država članica zasebno.
Maksimalne kazne
Kako je navedeno iznad, prva razina kazni do 10 milijuna eura, odnosno 2 % ukupnog godišnje prometa tvrtke, izricat će se za većinu prekršaja. To uključuje:
- obradu podataka djece bez roditeljske privole
- propusti u vođenju evidencije
- kano obavještavanje nadzornih tijela
- neimenovanje DPO-a
- nedovoljna provjera voditelja obade
- loša implementacija mjera integrirane zaštite podataka
- nepridržavanje kodeksa ponašanja i mehanizama za certificiranje itd.
Ukratko, većina tih prekršaja odnosi se na administrativne propuste, transparentnost i pohranu podataka.
Viša razina koja propisuje dvostruko veće kazne (do 20 milijuna eura, odnosno 4 % godišnjeg prometa) rezervirana je za najteže prekršaje, a to su:
- obradu bez privole
- kršenje osnovnih prava pojedinaca
- nezakonita obrada
- nepridržavanje prethodnih naredbi nadzornih tijela
- nedozvoljeni prijenos podataka trećim stranama, a osobito izvan EU-a.
Pripremite se za strogoću
Velik broj nadzornih tijela i agencija za zaštitu podataka već neko vrijeme glasno zagovara stroži režim kazni kako bi prekršiteljima zaista uspjeli stati na kraj. S GDPR-om njihove su se želje u potpunosti ispunile. Ipak, ako sve dobro prođe, što je upitno, samo bi manji broj tvrtki trebao biti kažnjen jer je cilj kazni da odvrate ostale od prekršaja – za očekivati je da će nadzorna tijela oglobiti redovne prekršitelje kako bi dokazali da misle ozbiljno. No moguće je i da će se kažnjavati sve redom – proračun se neće napuniti sam od sebe!
Namjera ovog članka nije da vas zastraši, već upozori na poprilično ozbiljne posljedice i troškove prekršaja i nemara prema zaštiti podataka. Ušteda na usklađivanju s GDPR-om mogla bi vas poslije skupo koštati. I ovdje vrijedi ona narodna, „što dobiješ na mostu izgubiš na ćupriji“. Zato se nemojte kockati s budućnosti vaše tvrtke i pripremite se na vrijeme.
