GONG za odgovornost tijela javne vlasti za GDPR

Prijedlog zakona propustio je regulirati izuzeća od Uredbe kako bi zaštitio pravo na informiranje, slobodu izražavanja i pristup informacijama, no obilato se izuzećima služi određujući razinu odgovornosti tijela javnih vlasti.

Europski parlament, najavio je njegov predsjednik Antonio Tajani, istražit će navode zviždača Christophera Wylieja o hakiranju osobnih podataka više desetaka milijuna korisnika društvene mreže Facebook zlorabljenih u korist Dondalda Trumpa na posljednjim izborima za američkog predsjednika.

Zloupotreba osobnih podataka povezuje se i s ubojstvom slovačkog novinara Jána Kuciaka i to od tijela javne vlasti kojem je poslao zahtjev za informacijom. Zbog toga je više međunarodnih organizacija civilnog društva pokrenulo inicijativu kojom od Europske unije zahtijevaju konkretno djelovanje u cilju uspostavljanja snažnih mjera zaštite sigurnosti novinara i svih koji koriste pravo na pristup informacijama.

To su okolnosti u svjetlu kojih se provodi e-savjetovanje o Prijedlogu Zakona o provedbi opće Uredbe o zaštiti podataka kojem se općenito mogu zamjeriti dvije stvari: izostanak zakonodavnih mjera koje bi regulirale obradu podataka u novinarske svrhe ili u svrhe akademskog, umjetničkog ili književnog izražavanja i uskladile pravo na pristup informacijama s pravom na zaštitu osobnih podataka, te članak 45. koji bi trebalo brisati, a u kojem stoji da se tijelu javne vlasti ne može izreći novčana kazna. Osim toga, prilikom usvajanja Zakona potrebno ga je tretirati kao organski zakon, kao i Zakon o pravu na pristup informacijama, s time da nedostatak pravovremene procjene učinka ovog propisa uzrokuje puno problema u predviđanju provedbe samog propisa.

Slijede konkretni prijedlozi koje je GONG uputio u e-savjetovanje o Prijedlogu zakona o provedbi opće uredbe o zaštiti podataka.

Članak 7. stavak (2)

Uloga, ovlasti i odgovornosti zamjenika ravnatelja nisu precizirani te stoga nije jasno postoji li uopće potreba za tom funkcijom. Štoviše, zbog potrebe povećanja učinkovitosti javne uprave, smislenijim se čini ukidanje ove odredbe.

Članak 7. stavak (5)

Zaštita osobnih podataka jedno je od temeljnih prava iz Povelje EU, Ustava RH i drugih akata, baš kao i sloboda izražavanja i informiranja.

Predlažemo zato transparentniju proceduru izbora ravnatelja i zamjenika ravnatelja Agencije, kao i osiguravanje veće razine neovisnosti ove institucije od izvršne vlasti. Javni poziv za dostavu kandidatura, umjesto Ministarstva, treba raspisati matično saborsko tijelo (Odbor za Ustav, Poslovnik i politički sustav) koji, uz prethodno pribavljeno mišljenje Odbora za ljudska prava i prava nacionalnih manjina, potvrđuje prijedlog najmanje dvaju kandidata za svaku dužnost i upućuje ga Hrvatskom saboru. K tome, neophodno je istaknuti da je ravnatelj AZOP-a u svom radu samostalan i neovisan, te je za svoj rad odgovoran Hrvatskom saboru..

Ovlasti Agencije znatno su proširene. Ovo upravno tijelo koje je posljednjih sedam godina pokrenulo svega desetak prekršajnih postupaka zbog grubog kršenja Zakona o osobnim podacima sada će dobiti ovlasti naplate visokih novčanih kazni, provedbe nadzora uz pomoć policije, pečaćenje i uzimanje sustava pohrane i opreme. Uz tako visoke ovlasti nužno je osigurati i njezin neovisan i samostalan rad.

Članak 8. stavak (1)

Svaki član nadzornog tijela mora imati kvalifikacije, iskustvo i vještine, posebno u području zaštite osobnih podataka, potrebne za obavljanje svojih dužnosti i izvršavanje svojih ovlasti. Predlažemo da se kvalifikacije i vještine Zakonom preciznije definiraju s ciljem osnaživanja proklamirane neovisnosti Agencije i ograničenja mogućnost postavljanja pojedinaca prema stranačkim preferencijama.

S obzirom na prethodna iskustva s izlaskom kandidata iz političkih stranaka na dan kandidature, neophodno je spriječiti takve zloupotrebe nejasnoća u zakonskom tekstu tako da se precizira uvjet nestranačkog djelovanja unazad minimalno pet godina. Sukladno zahtjevima Zakona o sprječavanju sukoba interesa, navod „koja nije član političke stranke“ treba proširiti dodavanjem riječi „unazad pet godina od dana raspisivanja javnog poziva“.

Članak 8. stavak (3)

Neophodno je s Povjerenikom za informiranje uskladiti ne samo iznos plaće, nego i način izbora i smjene ravnatelja AZOP-a.

Članak 9. stavak (1)

Među razloge zbog kojih Hrvatski sabor razrješava dužnosti ravnatelja prije isteka mandata neophodno je dodati i navod „ako je spriječen obavljati dužnost u razdoblju duljem od šest mjeseci“.

Članak 9. stavak (2)

Razrješenje ravnatelja treba biti prema istoj proceduri kao i imenovanje tako da o tome odlučuje Hrvatski sabor, tj. Odbor za Ustav, Poslovnik i politički sustav, uz prethodno mišljenje Odbora za informiranje, informatizaciju i medije, osim u slučaju nastupa „okolnosti zbog kojih više ne ispunjava uvjete za izbor“ kad razrješenje nastupa po sili zakona, a odluka Hrvatskog sabora ima samo deklarativni karakter.

Članak 17. stavak (1) podstavak 12

Godišnjem izvješću o radu neophodno je dodati i transparentno izvještavanje o provedbi članka 41. stavaka 2. i 3. ovog nacrta Zakona što se odnosi na mogućnost AZOP-a da odbije izvršiti zahtjeve ispitanika ako su „očito neutemeljeni ili pretjerani“ ili „preučestali“.

Članak 34. stavak (3)

Nije jasno tko pokriva troškove organizaciji koja bi zbog pečaćenja i uzimanja opreme mogla biti blokirana u redovnom radu ako nadzor utvrdi da nije bilo propusta u zaštiti osobnih podataka.  Alternativno bi bilo dobro dodati novi članak: „Agencija je odgovorna za svaku štetu koja nastane provođenjem nadzornih aktivnosti./Gostujuće nadzorno tijelo koje je prouzročilo štetu odgovarat će prema odredbama članka 62. stavku 4. i 5. Opće uredbe o zaštiti podataka“

Članak 41. stavak (2)

Ovako oblikovan stavak kojemu bi cilj trebao biti sprečavanje zloupotreba i neopravdanog opterećivanja rada i redovitog funkcioniranja tijela javne vlasti treba puno preciznije oblikovati kako bi se spriječile eventualne zloupotrebe od strane tijela javne vlasti. Primjer relativno dobre prakse opisan je u Zakonu o pravu na pristup informacijama, članak 23, stavak 14, prema kojem tijelo javne vlasti ne donosi rješenje o zahtjevu „ako jedan ili više međusobno povezanih podnositelja putem jednog ili više funkcionalno povezanih zahtjeva očito zloupotrebljava pravo na pristup informacijama, a osobito kada zbog učestalih zahtjeva za dostavu istih ili istovrsnih informacija ili zahtjeva kojima se traži velik broj informacija dolazi do opterećivanja rada i redovitog funkcioniranja tijela javne vlasti.“

Članak 41. stavak (3)

Ovaj članak treba uskladiti sa Zakonom o pravu na pristup informacijama (članak 10., stavak 14.) koje definira obavezu tijela javne vlasti, pa tako i AZOP-a, da „na lako pretraživ način i u strojno čitljivom obliku“ objavljuju „odgovore na najčešće postavljena pitanja, o načinu podnošenja upita građana i medija, kao i ostale informacije (vijesti, priopćenja za javnost, podaci o aktivnostima), u svrhu informiranja javnosti o svom radu i ostvarivanju njihovih prava i izvršavanju obveza.“

Poglavlje Isključenje tijela javne vlasti 

Različite definicije tijela javnih vlasti (na popisu Povjerenika za informiranje popisano ih je preko šest tisuća) mogu dovesti do problema u provedbi Zakona.

Naime, kako Prijedlog zakona tijela javne vlasti, kao i pravne osobe s javnim ovlastima ili koje obavljaju javnu službu  spominje isključivo u kontekstu isključenja od upravnih novčanih kazni odnosno ograničenja novčanih kazni potrebno je jasno definirati koja su javna tijela i pravne osobe s javnim ovlastima isključene iz odredbi.

Zbog ove situacije je posebno značajan Članak 47. zakonskog prijedloga koji propisuje naplatu novčane kazne  fizičkoj, odnosno odgovornoj osobi samo u poduzećima.

Članak 47. stavak (1)

Radi ujednačenog standarda u zaštiti podataka nužno je ovaj stavak izmijeniti na sljedeći način: „Odgovorna osoba u subjektu protiv kojega je izrečena upravna novčana kazna sukladno ovom Zakonu ili Općoj uredbi o zaštiti podataka, odgovara prema odredbama ovog Zakona“

Članak 49.

S obzirom na nedostatak djelovanja nadzornog tijela od njegovog osnivanja pa do danas, bilo bi nužno dodati podstavak:

– službena osoba Agencije ako ne pokrene ili vodi postupak u skladu s Općom uredbom o zaštiti podataka ili ako iz krajnje nepažnje ili namjerno ne izriče upravnu novčanu kaznu koju je bila dužna izreći u skladu s odredbama Opće uredbe o zaštiti podataka

Članak 50.

Ovaj članak neophodno je uskladiti s cjelokupnom svrhom i načinom provedbe ovog Zakona, uz vrlo jasno definiranje prekršajnog, tj. upravnog postupka i razlikovanje od pokretanja kaznenog postupka po službenoj dužnosti i u skladu sa Zakonom o kaznenom postupku i Kaznenim zakonom.

Za usporedbu, u Zakonu o pravu na pristup informacijama prekršajne odredbe jasno su definirane u članku 61.:

„(1)  Novčanom kaznom u iznosu od 5000,00 do 20.000,00 kuna kaznit će se za prekršaj odgovorna osoba u tijelu javne vlasti koja ne postupi u skladu s odlukom Povjerenika iz članka 25. stavka 7. ovoga Zakona ili ne postupi u roku koji je određen odlukom Povjerenika.

(2)    Novčanom kaznom od 5000,00 do 50.000,00 kuna kaznit će se za prekršaj fizička osoba koja ošteti, uništi, sakrije ili na drugi način učini nedostupnim dokument koji sadrži informaciju u namjeri da onemogući ostvarivanje prava na pristup informacijama.

(3)    Novčanom kaznom u iznosu od 1000,00 do 50.000,00 kuna kaznit će se fizička osoba, odnosno novčanom kaznom od 2000,00 do 100.000,00 kuna pravna osoba koja upotrijebi informacije protivno objavljenim uvjetima za ponovnu uporabu informacija iz članka 31. ovoga Zakona.“

i u članku 62.:

„Novčanom kaznom u iznosu od 2000,00 do 10.000,00 kuna kaznit će se za prekršaj odgovorna osoba u tijelu javne vlasti ako:

1)  ne postupi po nalogu Povjerenika,

2)  ne omogući Povjereniku uvid u informacije koje su predmet postupka, ne dostavi tražene podatke ili dostavi nepotpune odnosno netočne podatke,

3)  onemogući inspektoru nesmetano obavljanje nadzora,

4)  u zapisnikom određenom roku ne otkloni nezakonitosti, nepravilnosti i nedostatke utvrđene zapisnikom.“

I na koncu,

Članak 51. stavak (2)

Neophodno je pričekati ne samo donošenje Pravilnika o unutarnjem redu, nego prije toga i Pravilnika o radu Agencije.

GONG je Centar znanja u području građanskog aktivizma i izgradnje demokratskih institucija društva u okviru Razvojne suradnje s Nacionalnom zakladom za razvoj civilnog društva.

Razvoj edukacijskih modula sufinancirala je Nacionalna zaklada za razvoj civilnog društva kroz Centre znanja za društveni razvoj.

Informacije i stavovi iz publikacija su odgovornost autora i suradnika u izradi i ne predstavljanju službeni stav Nacionalne zaklade za razvoj civilnog društva.