GDPR zakon - primjena - iznimke - na koga se odnosi
U petak, odnosno 25.05.2018. na snagu stupa GDPR zakon, točnije uredba EU. GDPR je skraćenica za General Data Protection Regulation. Govori se da GDPR donosi najveće promjene vezane uz zaštitu osobnih podataka u posljednjih 20 godina.
GDPR nije direktiva nego uredba, što znači da je pravno "jača" od direktive i da se smatra zakonom, odnosno da vrijedi kao zakon u svim državama članica EU.
Moram odmah napomenuti da ja nisam pravnik i da je sve napisano isključivo moje osobno mišljenje. Komentiram logički i na temelju informacija koje imam, a postoji mogućnost da nisam dovoljno upućen pa svatko koga ova tema profesionalno interesira neka se samostalno dodatno informira.
Kao uredba EU-a, a ne direktiva, GDPR je direktno obvezujući za sve članice EU-a i kada stupi na snagu (25.05.2018.) moraju ga se pridržavati sve članice, bez mogućnosti da se lokalno odredi da li će biti na snazi ili ne.
Moram odmah reći da je GDPR jedan od glupljih zakona i da nije primjenjiv u praksi zbog niza razloga. Daleko od toga da se osobni podaci ne trebaju štititi. Naravno da trebamo biti zaštićeni od recimo prodaje naših e-mail adresa oglašivačima, ali da li trebamo radi toga imati ovakav GDPR koji je u nekim dijelovima apsurdan? Što mi se može dogoditi ako netko proda moju e-mail adresu nekom oglašivaču? Mogu dobiti na e-mail ponudu da nešto kupim. Ajme meni, pa to je strašno, trebao bih psihološku pomoć nakon tog strašno traumatskog iskustva. S druge strane, ako se netko neće pridržavati GDPR-a može dobiti kaznu i od 20 milijuna eura. Da, dobro ste pročitali :-) To je za tvorce ovog idiotskog zakona primjerena kazna za neku firmu koja recimo učini dostupnom e-mail adresu nekog posjetioca svoje web stranice nekom oglašivaču.
Naravno da podaci poput punog imena i prezimena, OIB-a, adrese, broja telefona itd trebaju biti zaštićeni. iako po meni nije neka velika katastrofa ako netko sazna recimo vaše puno ime i OIB. Pa te podatke ste već do sada dobrovoljno dali na barem 100 mjesta gdje su dostupni tisućama ljudi. Osobnim podatkom se smatra i vaša e-mail adresa. Vjerojatno je nemoguće pobrojati gdje ste sve ostavili svoju e-mail adresu, a ako ste je ikada javno napisali na nekom internet forumu ili na nekoj web stranici, ona je potencijalno dostupna milijunima ljudi. Jel to zaista neka katastrofa?
Osobnim podacima se smatra jako puno toga, a samo nešto od toga je vaše ime, prezime, adresa, OIB, IP adresa, MAC adresa, šarenica oka, fizički opis, fotografija, itd itd. Da, i fotografija. To zapravo znači da novinari više neće smjeti objaviti niti jednu fotografiju mase na kojoj se bilo koga može prepoznati, ako taj netko nije dao svoje izričito dopuštenje. Ne znam da li su idioti koji su kreirali zakon razmišljali o tome i da li je im je to uopće palo napamet.
Evo jedan primjer. Odem sutra u Vinkovce na utakmicu finala kupa između Dinama i Hajduka. Zapravo nije najbolji primjer jer zakon stupa na snagu u petak, a ne sutra, ali ajde neka bude. Na tribini me snimi fotograf Jutarnjeg zajedno sa još tisućama drugih ljudi. Mene se može prepoznati na toj fotografiji pa je time povrijeđeno pravo zaštite mojih osobnih podataka jer je fizički izgled također osobni podatak, kao i fotografija osobe. Prema GDPR-u Jutarnji bi trebao biti kažnjen sa 4% svojih godišnjih prihoda (ili možda čak i više, ali sigurno ne manje). Uz to, ja bih imao pravo podići još i privatnu tužbu protiv Jutarnjeg (joj da sam odvjetnik kako bih guštao od petka). Sve to zato što nisam dao svoju izričitu suglasnost jutarnjem da slobodno barata sa mojim osobnim podacima. Jel to normalno? Što će sada Šime Strikoman sa svojim milenijskim fotografijama? Tražiti će pismenu dozvolu od svakog od tisuća aktera sa svojih fotografija?
Ako se zakon neće primijenjivati, onda čemu ga uopće donositi? Ako će se striktno primijenjivati, onda će nastati totalni kolaps. Ja vjerujem da se neće striktno primijenjivati jer bi to bilo rasulo, ali mi je blago rečeno smiješno da se uopće događa da tako sirov (ne surov nego baš sirov) i neprilagođen zakon stupa na snagu.
Ako netko misli da fizički izgled nije osobni podatak vara se. Evo jedne definicije ili što već: "Pojedinac je fizička osoba čiji se identitet može utvrditi izravno ili neizravno, posebno na osnovi jednog ili više obilježja specifičnih za njegov fizički, psihološki, mentalni, gospodarski, kulturni ili socijalni identitet."
Iz toga je jasno da se na temelju fizičkog izgleda može uvrditi identitet osobe, izravno ili neizravno, i da je zato i to osobni podatak. Neizravno utvrđivanje identiteta fizičke osobe na temelju fotografije koja prikazuje fizički izgled bilo bi recimo da se nečija fotografija objavi u medijima i da se zatraži građane da jave informacije koje će dovesti do identificiranja te osobe. To se ne treba napraviti, dovoljno je da se samo MOŽE napraviti, a naravno da se može.
Znači nečija fotografija, bila ona i u masi, je nedvojbeno osobni podatak i ne smije ne samo biti javno objavljena, nego niti "prikupljena", čuvana itd od petka pa nadalje.
Ono što će mnoge zanimati je recimo policijska kamera na cesti. Bez vaše dozvole, policija vas neće smjeti snimiti na cesti, kao niti registarsku oznaku vašeg automobila (jer je to osobni podatak koji može dovesti do vaše točne identifikacije). Opaska: Ovo još provjeravam, ali za sada pretpostavljam da je tako. Naravno da se toga neće držati, ali od petka će kršiti zakon ako će tako postupati, a siguran sam da hoće. Postoji novi zakon koji im navodno dozvoljava da i dalje snimaju, ali u nastavku ću napisati više o tome zašto mislim da taj novi zakon nije dovoljan.
Dakle u petak stupa na snagu GDPR, a Hrvatska je tim povodom donjela i Odluku o proglašenju Zakona o provedbi opće uredbe o zaštiti podataka, koja je objavljena u Narodnim novinama. Sabor je na sjednici 27.04.2018. donio Zakon o provedbi opće uredbe o zaštiti podataka, tj. donio je Zakon o provedbi GDPR-a.
Relevantni linkovi za GDPR i hrvatski Zakon o GDPR-u su:
https://gdpr-info.eu/
https://www.zakon.hr/z/1021/Op%C4%87a-uredba-o-za%C5%A1titi-podataka---Uredba-(EU)-2016/679
https://narodne-novine.nn.hr/clanci/sluzbeni/2018_05_42_805.html
GDPR, sam po sebi, nema iznimke (ne navodi na koga se ne odnosi), ali ostavlja mogućnost državama da ih samostalno odrede kada je to u javnom interesu. Opaska: još ću to dodatno provjeriti, ali za sada mislim da je tako. To znači da Hrvatska ima mogućnost odrediti da recimo policija i/ili druga javna tijela nisu obuhvaćena GDPR-om. Naravno, naši političari i "stručnjaci" koji su radili na našem Zakonu o GDPR-u, propustili su kvalitetno iskoristiti pruženu mogućnost. To je moje mišljenje.
U Zakonu o GDPR-u je zakonodavac pokušao odredti iznimke na koje se odnosi GDPR, ali to je učinjeno totalno amaterski i po meni nedovoljno da bi išta vrijedilo. Ja ne znam tko su ti "stručnjaci" koji su radili na tom zakonu, niti da li su ga zastupnici uopće pročitali prije donošenja, ali meni to sve djeluje kao zajebancija priglupih ljudi ograničenih mentalnih sposobnosti, a ne kao ozbiljan posao. Evo i zašto...
"(2) Ovaj se Zakon ne odnosi na obradu osobnih podataka koju obavljaju nadležna tijela u svrhu sprečavanja, istrage, otkrivanja ili progona kaznenih djela ili izvršavanja kaznenih sankcija, uključujući zaštitu od prijetnji javnoj sigurnosti i njihova sprečavanja, kao ni na područje nacionalne sigurnosti i obrane."
To je bio citat sa početka našeg Zakona o GDPR-u. Sa tom jednom rečenicom su zapravo poništili sve što su pokušali navesti kao iznimku od GDPR-a. Napravili su grešku koju sam ja, koji nisam pravnik, uočio čim sam otvorio Zakon. To ne znači da ja imam neke turbo sposobnosti nego da su svi koji su radili na tom Zakonu uključujući i zastupnike koji su ga izglasali potpuno nesposobni.
Početak našeg Zakona o GDPR-u (točno ime je Zakon o provedbi opće uredbe o zaštiti podataka, a ta uredba je zapravo GDPR, tj. Uredba Europskog parlamenta 2016/679) glasi ovako:
"(1) Ovim Zakonom osigurava se provedba Uredbe (EU) 2016/679 Europskog parlamenta i Vijeća od 27. travnja 2016. o zaštiti pojedinaca u vezi s obradom osobnih podataka i o slobodnom kretanju takvih podataka...."
Iz toga je jasno vidljivo da naš Zakon o GDPR-u pod terminom "ovaj Zakon" misli na sebe, odnosno na naš Zakon o GDPR, a ne na sam GDPR.
U nastavku našeg Zakona o GDPR-u piše ovo:
"(2) Ovaj se Zakon ne odnosi na obradu osobnih podataka koju obavljaju nadležna tijela u svrhu sprečavanja, istrage, otkrivanja ili progona kaznenih djela ili izvršavanja kaznenih sankcija, uključujući zaštitu od prijetnji javnoj sigurnosti i njihova sprečavanja, kao ni na područje nacionalne sigurnosti i obrane."
Radi ovog što sam naveo o terminu "ovaj Zakon", u ovom nastavku ovo "ovaj Zakon se ne odnosi...." se odnosi na naš Zakon o GDPR-u, a ne na sam GDPR. Slijedom toga sve iznimke od GDPR-a koje su navedene u nastavku našeg Zakona o GDPR nemaju nikakvog pravnog značaja jer su odmah na početku Zakona isključene. To je vjerojatno posljedica greške nesposobnih ljudi, ali je tako kako je i da bi se to promijenilo mora ponovno na izglasavanje u Hrvatski sabor i ponovno na objavu u Narodne novine. Pravno gledano, nije bitno što su oni mislili nego što zapravo točno piše u zakonu, a u zakonu jasno piše da se naš Zakon o GDPR-u ne odnosi na one koje su oni vjerojatno željeli navesti kao iznimke od GDPR-a.
Pretpostavljam da će jednog dana shvatiti kakvu su pogrešku napravili pa poslati Zakon na izmjene i dopune u Hrvatski sabor i onda izmjenu objaviti u Narodnim novinama, ali do tada je 100% sigurno da je primjerice slikanje registarske oznake automobila koji je nepropisno parkiran ili snimanje policijske kamere prekršitelja dozvoljene brzine vožnje PROTIVNO ZAKONU, i to GDPR-u. Ponavljam, GDPR sam po sebi nema iznimke i samo ostavlja mogućnost državama da dodatnim zakonima navedu iznimke, a naši biseri su svojom nesposobnošću to propustili učiniti.
Da li ćete se moći pozvati na kršenje GDPR-a ako vas recimo komunalci slikaju (vašu tablicu) dok ste nepropisno parkirani ili ako vas snimi policijska kamera u prekoračenju dozvoljene brzine vožnje to je već drugi par rukava. Pravno, imate potpuno pravo pozvati se na kršenje GDPR-a te je prekršitelj dužan platiti kaznu, a vama odštetu ako ih tužite, ali ne bih se kladio da bi to prolazilo na našim sudovima jer ne vjerujem da su dosljedni u provođenju zakona, pogotovo kada se kršenje odvija na štetu malih i kada bi se u sporu sa velikima trebalo dosuditi u korist malih. Još kada je država (koja je i oformila sud) druga strana spora, piši kući propalo.
To što je Zakonom o sigurnosti prometa na cestama, a možda i još nekim drugim zakonima, dozvoljeno recimo da vas policija snima kamerom u prometu neće (pravno) raditi neku razliku od petka kada stupi na snagu GDPR. U poštenom i pravednom slučaju, trebala bi se istodobno primijenjivati oba zakona, što bi značilo da ako prekoračite dozvoljenu brzinu vožnje i budete snimljeni policijskom kamerom dužni ste odgovarati za to, tj. platiti kaznu, ali je i policija dužna odgovarati za kršenje GDPR-a, odnosno platiti kaznu te uz to je dužna platiti vama odštetu ako ih tužite.
Neki misle da ako je dozvoljeno nekim drugim zakonom da je onda dopušteno, ali to nije točno. Jedino je Ustav iznad svih zakona, a zakoni međusobno su ravnopravni i niti jedan niti "jači" od drugog. Drugo su neke upute, preporuke, podzakonski akti itd, ali zakon je odnosu na drugi zakon ravnopravan i jednake pravne snage. Da oni budu međusobn o usklađeni ima tko paziti, ali ti čiji je posao da paze na usklađenost očito jako loše rade svoj posao.
Zapravo bi ovo mogao biti veliki skandal i velika afera, ali teško je to očekivati u državi u kojoj nema ništa sporno niti u pljačkanju cijele države od strane političara.
Evo još nekih pojašnjenja:
"Što se sve smatra osobnim podatkom? Svaka informacija koja se odnosi na fizičku osobu čiji je identitet utvrđen ili se može utvrditi. Fizička osoba čiji se identitet može utvrditi jest osoba koja se može identificirati, izravno ili neizravno uz pomoć identifikatora kao što su imena, slike, email adrese, bankovnih podataka, objava na društvenim mrežama, zdravstvenih podataka ili računalne IP adrese."
To je samo dio onoga što se smatra osobnim podatkom. Uglavnom, osobni podatak je svaki podatak koji može izravno ili neizravno dovesti do identificiranja neke osobe. To može biti las kose (pa se neizravno preko DNK dođe do punog identiteta osobe), IP adresa, fotografija, registarska oznaka automobila itd. Bitno je znati da su GDPR-om zaštićeni i podaci koji NEIZRAVNO mogu dovesti do identifikacije, što zapravo obuhvaća ogroman spektar podataka.
Evo još jednog bisera GDPR-a:
"Što je sa subjektima mlađim od 16 godina? Kada su u pitanju online usluge, za obradu osobnih podataka djece mlađe od 16 godina potrebno je dobiti suglasnost roditelja. Države članice mogu smanjiti dob za koju je potrebna roditeljska suglasnost, ali ona ne smije biti ispod 13 godina starosti djeteta."
To zapravo znači da neka tvrtka koja ima web stranicu krši GDPR i riskira veliku kaznu i privatnu tužbu u kojoj se traži odšteta ako je "prikupio" e-mail adresu osobe mlađe od 16 godina, čiji roditelj nije osobno dao izričitu suglasnost da ta web stranica smije prikupljati osobne podatke (e-mail adresu u tom slučaju) njegovog djeteta. Ovo vrijedi i recimo za web stranicu Vipneta i ja stvarno ne znam kako će sprječiti nekog klinca od 15 godina, čiji roditelj nije dao suglasnost za prikupljanje osobnih podataka njegovog djeteta, da pristupi sa svog mobitela ili kućnog računala njihovoj web stranici. Prema GDPR-u to će biti kažnjivo! To je apsurd nad apsurdima, ali su kreteni izglasali takav zakon i on će biti od petka na snazi.
Bitan dodatak
Evo paralelno uz pisanje ovog teksta surfam i tražim dodatne informacije pa sam sada vidio i nešto što u nekoj mjeri mijenja dijelove do sada napisanog teksta. Evo citata:
"This Regulation does not apply to the processing of personal data:
in the course of an activity which falls outside the scope of Union law;
by the Member States when carrying out activities which fall within the scope of Chapter 2 of Title V of the TEU;
by a natural person in the course of a purely personal or household activity;
by competent authorities for the purposes of the prevention, investigation, detection or prosecution of criminal offences or the execution of criminal penalties, including the safeguarding against and the prevention of threats to public security."
Sad mi je jasniji onaj dio pod 2) u našem Zakonu o GDPR-u. Taj dio je prepisan i preveden citat koji sam upravo naveo. Bravo za naše bisere :-) Ovaj citat se odnosi na GDPR, a naši nesposobnjakovići su ga prekopirali i ubacili u naš Zakon o GDPR-u pa nisu niti svjesni da se u tom slučaju odnosi na Zakon o GDPR-u, a ne na sam GDPR :-)
Ok, ipak imaju sreće da se zapravo sam GDPR ogradio pa je rečeno da se ne odnosi na tijela javne vlasti (skraćeno). To ipak mijenja dio onoga što sam gore napisao. Ispričavam se na svojoj grešci, ali evo ispravljam je i prije objave ovog posta.
Da ne brišem gore navedeno i da ne ispadne da sam bio potpuno u krivu mogu reći da vas policijska kamera ipak ima pravo snimiti, ali ne zato što je to "prosecution of criminal offences or the execution of criminal penalties" jer se to odnosi na kaznena djela, a ne na prekršajna, nego zato što je prekoračenje brzine ugrožavanje javne sigurnosti, odnosno spada pod navedeno u dijelu "safeguarding against and the prevention of threats to public security".
Ipak, i dalje stoji da će od petka biti kršenje zakona recimo kada parkirate na zelenu površinu i pauk služba vam slika registarsku oznaku, kao i kada fotograf Jutarnjeg slika tribinu na stadionu sa hrpom ljudi bez izričite dozvole svakog od njih koga se može prepoznati. Jutarnji je privatna firma, ali pauk služba spada pod ovo "javna tijela". Zašto onda tvrdim da će pauk služba kršiti zakon? Zato što GDPR-om nisu iz tog zakona isključena sva "javna tijela", nego ona koja se bave otkrivanjem, procesuiranjem itd kaznenih djela (dakle ne prekršaja nego kaznenih djela), te ona koja brinu o javnoj sigurnosti (tu može spadati policija dok brine o pridržavanju ograničenja brzine na cesti jer prekoračenje može dovesti do nesreće što može biti opasno za ostale sudionike u prometu). Pod javnu sigurnost ne spada briga o tome da ne parkirate na zelenoj površini jer time najčešće nikoga ne ugrožavate nego samo činite prekršaj (što nije niti kazneno djelo niti ugrožavanje javne sigurnosti).
To bi bilo to, nekome će možda biti zanimljiv ovaj post. Ponavljam da je sve navedeno moje osobno mišljenje i da ja nisam pravnih pa sve još istražite sami ako ste zainteresirani za tu tematiku.
U svakom slučaju ovog zakona se ne trebaju bojati fizičke osobe, te se radi o jednom jako sirovom, nedorečenom i vrlo teško primjenjivom zakonu, tj. radi se o velikoj gluposti.
