Usprkos negodovanjima i prijedlozima FINA-e, INA-e, GONG-a, M-SAN Grupe, APIS IT-a, PwC-a i ostalih, Ministarstvo uprave odlučilo je ostaviti odredbu koja je bila zaista prijeporna. Govorimo, dakako, o isključivanju primjene upravnih novčanih kazni na tijela javne vlasti. Naime, originalnim prijedlogom zakona u potpunosti su se izuzela tijela javne vlasti, dok je sva odgovornost svaljena na poduzeća.
Svi prijedlozi kojima se u očima zakona htjela postići jednakost izmeću tijela javne vlasti i poduzeća odbijeni su. Kako odgovaraju iz Ministarstva uprave:
„Sukladno Općoj uredbi o zaštiti podataka, od izricanja upravnih novčanih kazni izuzeta su tijela javne vlasti. Međutim, od primjene ostalih odredbi ovoga Zakona kao i odredbi Opće uredbe o zaštiti osobnih podatka ta tijela nisu izuzeta. Naime, nadzorno tijelo ima ovlasti nadzirati i tijela javne vlasti u primjeni odredaba ovog Zakona i Uredbe te izreći mjere sukladno Uredbi izuzev upravne novčane kazne.“
Pitanje u kojoj će mjeri upozorenja i ostale korektivne mjere djelovati ako se nadležne ne može „udariti po džepu“ uvelike je retoričko.
Tijelima javne vlasti u smislu GDPR-a smatraju se tijela državne uprave i druga državna tijela te jedinice lokalne i područne (regionalne) samouprave. Pravnoj osobi s javnim ovlastima i pravnoj osobi koja obavlja javnu službu može se izreći upravna novčana kazna, navodi u komentaru Ministarstvo uprave.
Prema čl. 83. st. 7. GDPR-a, zakonodavac zaista ima pravo od administrativnih kazni izuzeti tijela javne vlasti. No teorija je jedno, a praksa – i motivi – nešto deseto.
Kako bi se GDPR još više neutralizirao, ukinut je i čl. 47. koji je za odgovorne osobe u poduzećima propisivao kazne od 5 000 do 500 000 kuna. Primjedbe zainteresiranih išle su ka promjeni teksta članka kako bi u to bile uključene i udruge i tijela javne vlasti, no zakonodavac je čitav članak odlučio izbrisati. Sada se kažnjavati mogu samo pravne osobe (i obrti), i to kaznama koje stoje u izvornome tekstu Opće uredbe, dakle najviše 20 milijuna eura odnosno do 4 % ukupnog godišnjeg prometa na svjetskoj razini, uz obvezu da kazna bude proporcionalna i djeluje preventivno.
Koplja su se lomila i oko najniže dobi za privolu djeteta. Komentatori su uvidjeli da prijedlog zakona uopće ne definira dobnu granicu za dječju privolu. O toj su se problematici oglasili i Google Hrvatska i Američka gospodarska komora u Hrvatskoj, s prijedlozima da se granica uvede i postavi na 13, odnosno na 15 godina. Google tu navodi primjere država koje su odlučile uskladiti dobnu granicu s američkom (13 godina): Ujedinjeno Kraljevstvo, Portugal, Estonija, Španjolska, itd.
Iz Googlea smatraju da je postavljanje dobne granice na 16 godina štetno jer bi visoko postavljena granica „mogla postati dodatna prepreka mladima na putu njihovog pristupa znanju i spriječiti ih da uživaju sve prednosti online usluga“ te navode da „se na taj način mladim ljudima mogu uskratiti bitne društvene i obrazovne mogućnosti s kojima mogu biti upoznati preko online usluga. Dobro poznata istraživanja o razvoju djeteta potkrepljuju ovaj stav.“
Iz Ministarstva uprave odgovor je jasan – za suglasnost roditelja važit će granica propisana u tekstu Opće uredbe, a to je 16 godina. O mogućnosti spuštanja te dobne granice, što su neke države iskoristile, ni traga ni glasa.
Što reći na ovaj prijedlog zakona? Pa, za početak, da se javnost s time uvelike ne slaže, a osobito poduzetnici, te da vlada opći dojam da je zakon – nepravedan. Ne pomaže ni činjenica da Njemačka ima slične, mada manje, ustupke koji se tiču kažnjavanja tijela javne uprave. Razlog tome leži prvenstveno u reputaciji koju je naša uprava stekla.
Europskoj komisiji već se ne sviđa ovakav način implementacije zakona i možemo očekivati službeni odgovor iz Bruxellesa. Što ćemo u odgovoru imati prilike pročitati, vjerojatno ovisi i o praksi ostalih (moćnijih) članica. Ipak, iz Europske su komisije dali nagovijestiti da u ovakvim situacijama razmišljaju o pokretanju postupka zbog povrede prava. Tim bi se postupkom manjkava primjena propisa iz GDPR-a, odnosno propisi koji nisu u duhu GDPR-a, sankcionirala i ispravila.
Francuska će, na primjer, uvesti dodatno razdoblje u kojem će prvih nekoliko mjeseci nadzorno tijelo vršiti funkcije savjetovanja i upozoravanja, bez novčanih kazni. S druge strane, slovenski prijedlog zakona kažnjava i odgovorne osobe, ali umjerenijim kaznama. Smatramo ga boljim kompromisom od sadašnjeg hrvatskog prijedloga. Preostaje nam čekati i vidjeti što će biti dalje kad zakon uđe u saborsku proceduru.
Slika s naslovnice: Suradnik13, CC-BY-SA.
