Točno je da kazne mogu biti velike – i do 20 milijuna eura ili 4 % prihoda godišnjih prihoda tvrtke, ali zahvaljujući tome dobar je dio javnosti upoznat s Općom Uredbom o zaštiti podataka (GDPR). To je samo po sebi pravo malo čudo u EU-u koja pomalo pati od demokratskog deficita. Da vas vidimo – koliko ostalih propisa EU-a znate nabrojati napamet?
Vratimo se na temu. Umjesto da lamentiramo nad prijetnjama visokih kazni, smatramo da je našim čitateljima bolje predstaviti što to sve ‘policajci’ koji su zaduženi za kazne mogu i smiju napraviti. U GDPR-u ti se policajci nazivaju nadzornim tijelima, i svaka će država članica imati po jedno glavno takvo tijelo.
U većini slučajeva radit će se o već postojećim agencijama (poput ICO-a u Ujedinjenom kraljevstvu ili AZOP-a u Hrvatskoj), dok će države s više agencija, poput Njemačke, morati odlučiti koja će biti glavna.
Regulatorne zadaće
U čl. 57 GDPR-a navode se zadaće koje će nadzorna tijela obavljati. Ukratko, radi se o svim zadacima vezanim uz zaštitu osobnih podataka. Među ostalima, to uključuje:
- Praćenje primjene GDPR-a
- Promicanje javne svijesti o rizicima i mjerama sigurnosti
- Savjetovanje institucija i ispitanika
- Promicanje osviještenost voditelja i izvršitelja obrade
- Suradnju s ostalim nadzornim tijelima
- Praćenje bitnih tehnoloških razvoja
- Donošenje standardnih ugovornih klauzula
- Poticanje izrade i odobravanje kodeksa ponašanja
- Poticanje uspostave mehanizama certificiranja i njihovo preispitivanje
- Vođenje evidencije o prekršajima
Od nadzornih se tijela očekuje da preuzmu inicijativu što se problematike primjene GDPR-a tiče. Njihovi se zadaci ne sastoje samo od nadzora, već od aktivnog sudjelovanja u dijalogu s javnosti i političarima, do čega nije dolazilo u trenutnom zakonodavnom okviru. Nadzorna tijela postaju kontaktnim točkama između tvrtki i pojedinaca.
Ovo je u načelu ponešto prošireniji i formalizirani popis poslova koji većina nadzornih tijela već sada obavlja, pa stoga ne očekujemo neke drastične promjene u komunikaciji s nadzornim tijelima. Pojedincima će se svidjeti činjenica da su nadležna tijela dužna potpuno besplatno obraditi žalbe na tvrtke i s istima komunicirati u svrhu njihova rješavanja.
Regulatorne ovlasti
Nadzornim su tijelima dodijeljene tri vrste ovlasti: istražne, korektivne i savjetodavne. One se navode u čl. 58. GDPR-a, ali popis nije iscrpan jer države članice imaju mogućnost dodatno proširiti njihove ovlasti (ali ne smiju ih suziti).
Te su ovlasti povezane s regulatornim zadaćama i nužne za njihovo provođenje. Sve tvrtke i organizacije podliježu nadzoru nadzornih tijela.
Istražne ovlasti sastoje se od prava na:
- Traženje podataka od voditelja ili izvršitelja obrade
- Preispitivanje certifikata
- Obavještavanje tvrtki o kršenju GDPR-a
- Pristup osobnim podacima nužnim za provođenje istrage
- Pristup fizičkoj lokaciji i svim prostorijama voditelja ili izvršitelja obrade
Korektivne ovlasti pokrivaju aktivnosti i postupke nadzornih tijela u slučaju da dođe do povede podataka. Nadzorna tijela ovlaštena su:
- Izdati upozorenja tvrtkama da bi njihova obrada mogla kršiti GDPR
- Izdavati službene opomene u slučaju da se otkrije kršenje propisa
- Narediti tvrtkama da postupe u skladu sa zahtjevom ispitanika
- Tražiti usklađivanje tvrtke s GDPR-om u određenom vremenskom roku
- Narediti tvrtki da obavijesti ispitanike o povredi podataka
- Privremeno ograničiti ili zabraniti obradu podataka
- Narediti izvješćivanje ostalih voditelja obrade kad ispitanik aktivira pravo na zaborav
- Izreći administrativnu novčanu kaznu
- Narediti suspenziju protoka podataka u treće zemlje
Kako bi mogli efikasno obavljati svoje poslove, nadzornim je tijelima omogućeno da neovisno mogu sudjelovati u sudskim postupcima protiv prekršitelja, naravno u skladu sa zakonima svake od država članica.
Administrativne ovlasti uglavnom se tiču funkcija certificiranja i savjetovanja. Nadzorna tijela također odobravaju ugovorne klauzule i obvezujuća korporativna pravila za prijenos podataka u treće zemlje.
Nadzorna su tijela dužna izrađivati godišnja izvješća u kojima navode i opisuju svoje aktivnosti i odluke. Od njih se također očekuje i suradnja s ostalim nadzornim tijelima u slučajevima da se problematika tiče više zemalja članica, kao što često zna biti slučaj kod multinacionalnih korporacija.
Zaključak
Nadzornim je tijelima u GDPR-u namijenjena najvažnija uloga. Služit će kao posrednik između tvrtki i osoba, te rješavati praktične probleme i davati savjete zainteresiranoj javnosti.
Nove obaveze uključuju važne aktivnosti ‘iza kulisa’, u što spada i stručno savjetovanje političara i institucija, kao i obaveza da javnost obavještavaju i educiraju o njihovim pravima. Time se njihova uloga proširuje, pa više nisu zaduženi isključivo za kažnjavanje i punjenje proračuna, već i za općenito podizanje svijesti o zaštiti podataka i privatnosti. Reklame koje se odnedavno vrte na TV-u (ma kakve bile) dobar su znak da je Agencija ozbiljno shvatila svoj posao.
