Opća uredba o zaštiti osobnih podataka, poznatija pod akronimom GDPR, koja se 25. svibnja prošle godine počela primjenjivati diljem Europske unije, donijela je velike promjene u zakonodavnim okvirima zemalja članica.

Prema nedavno objavljenom izvješću Europske komisije o učinku GDPR-a, tako je utvrđeno da je većina država članica već uspostavila potreban pravni okvir za prilagodbu s tom uredbom, dok samo Grčka, Portugal i Slovenija još nisu uskladile nacionalno zakonodavstvo s pravilima EU-a. S druge strane, iako su građani EU-a svjesniji svojih prava, samo 20 posto njih zna koje je nacionalno javno tijelo odgovorno za zaštitu njihovih podataka, ali su upravo ta tijela do kraja lipnja 2019., u suradnji s Europskim odborom za zaštitu podataka, riješila više od 516 prekograničnih predmeta.

Podatci su to koji obećavaju, a uz to što se i Hrvatska može pohvaliti s visokom razinom usklađenosti zakonodavstva s GDPR-om, nedavno je dobila i najboljeg nacionalnog službenika za zaštitu osobnih podataka 2019. godine. On je Bruno Đurašević, nositelj ključne funkcije usklađenosti UNIQA osiguranja, koji je ujedno i voditelj Radne grupe za GDPR pri Hrvatskom uredu za osiguranje te sudionik Radne grupe za praćenje i provedbu u praksi EU legislative, a ovo priznanje, prvo takve vrste, dodijeljeno mu je na konferenciji o Zaštiti osobnih podataka - ZOP 2019., u Zagrebu. Đurašević je uz sve to aktivno sudjelovao i u formuliranju odredaba Zakona o osiguranju te je iz prve ruke nadzirao proces prilagodbe na GDPR, pa kao priznati stručnjak najbolje može otkriti s kojim se izazovima industrija osiguranja susreće u kontekstu Uredbe, kakvu ulogu uopće ima službenik za zaštitu osobnih podataka, kako su poslovni subjekti prihvatili GDPR te kakva je, prema njegovoj procjeni, razina informiranosti o zaštiti osobnih podataka.

Kako ste uopće postali stručnjak za Opću uredbu o zaštiti podataka?

- Kao i mnoge stvari u životu dogodilo se to prilično neplanirano. Po odlasku kolegice koja je bila zadužena za zaštitu osobnih podataka i vođenje zbirki osobnih podataka postavilo se pitanje preuzimanja tih poslova te sam u tom trenutku pomislio kako se radi o zanimljivom, meni neistraženom području, zbog čega sam naposljetku prihvatio ta zaduženja. Kasnije su se stvari "zahuktale" donošenjem Uredbe, pokretanjem projekata implementacije te okupljanjem sudionika osigurateljne industrije.

Što za vas znači priznanje za najboljeg službenika za zaštitu osobnih podataka, a koje ste primili na konferenciji o Zaštiti osobnih podataka – ZOP 2019.?

- Ovo priznanje svakako je poticaj za daljnji razvoj znanja, proučavanje članaka i prakse, ali i promicanje važnosti zaštite privatnosti - kako u poslovnom tako i privatnom okruženju. Često i sam postavljam pitanje što to znači biti "stručnjak" na ovome području i kako se to postaje. Kada je tema toliko sveprisutna i interesantna, onda je lako vidjeti sva ta pravila posvuda oko nas, prepoznati dobra rješenja, ali i ona koja su naočigled promašena.

Kakve izazove GDPR stavlja pred industriju osiguranja?

- Poslovi osiguranja po pitanju zaštite osobnih podataka iznimno su delikatni. Naime, industrija osiguranja, uz neke opće osobne podatke, obrađuje često i posebne kategorije osobnih podataka, i to zdravstvene podatke. Gotovo svi smo se susretali sa situacijom kada osiguravajuća kuća mora obraditi neki medicinski podatak kako bi odlučila o isplati štete. Upravo je u tome bio najveći izazov, jer sama uredba zabranjuje obradu zdravstvenih podatka, osim u slučajevima koji su točno propisani, a među njima nije ispunjenje ugovora, ili isplata štete iz osiguranja. Ovo je kao problem prepoznato ne samo kod nas, nego i na razini EU-a. Različite inicijative nadzornih tijela i udruženja osiguratelja tako su postavljale konkretno pitanje mogućnosti funkcioniranja osiguranja ako obrada zdravstvenih podataka nije dopuštena, odnosno ako nije ispunjena pretpostavaka propisana Uredbom kojom se takva obrada ipak omogućava. Pritom treba napomenuti da odgovor nismo mogli tražiti u privoli klijenta, jer privolu se u svakom trenutku može povući, a što onemogućava daljnju obradu. Srećom, industrija osiguranja ovu je problematiku prepoznala te u okviru Hrvatskog ureda za osiguranje osnovala posebnu radnu grupu za implementaciju odredaba Uredbe, koja je kroz sudjelovanje svih članova i kroz suradnju s Agencijom za zaštitu osobnih podataka i Hrvatskom agencijom za nadzor financijskih usluga pronašla potrebna rješenja kako bi se poslovi osiguranja uskladili s odredbama Uredbe i u konačnici implementirali u Zakon o osiguranju.

Ima li u toj grani nekih specifičnosti u kontekstu zaštite prava klijenata?

- Treba razlikovati poslovne specifičnosti grane od zaštite prava klijenta. Naime, svaka grana nosi svoje zakonitosti i poslovne procese, tj. načine obrade podataka. S druge strane, sva su pravila zaštite klijenata, pa i pravila zaštite privatnosti, iznad tih specifičnosti. To nas dovodi u situaciju nužnosti spajanja pravila zaštite klijenata i poslovnih procesa kako bi se u konačnici stvorili novi procesi usklađeni s načelima koja ta pravila donose. U tom smislu možemo krenuti s razmišljanjem od prikupljanja podataka - tko prikuplja podatke (sam voditelj obrade, ili neki njegov poslovni partner), kako se podaci prikupljaju (ispunjavanjem upitnika na papiru, ili u elektroničkom obliku; unosi li podatke u takve upitnike sam klijent ili radnik voditelja na diktat ispitanika), poduzimaju li se radnje za utvrđivanje vjerodostojnosti podataka (uvid u ili preslika identifikacijskog dokumenta; potpis klijenta ili neki oblik validacije unosa u elektroničkom obliku). Već na temelju ovoga možete izvesti brojne zaključke o specifičnostima raznih branši, ali neovisno o tim specifičnostima cilj je uvijek isti, a to je da ispitanik bude zaštićen, da zna zašto se njegovi podatci prikupljaju, kako se obrađuju, tko ih obrađuje te koja prava ima u odnosu na svoje podatke. Kada pogledamo proteklu godinu najviše problema pojavljuje se u odnosu na nedostatak transparentnosti te nedovoljne mjere zaštite podataka.

Koja je uloga službenika za zaštitu podataka u industriji osiguranja?

- Službenik za zaštitu podataka u svemu tome ima veliku ulogu, jer prije svega mora poznavati poslovne procese, budući da se pravila Uredbe upravo na njih moraju primijeniti. Uredba je donijela pomak fokusa sa zbirke osobnih podataka na evidenciju procesa obrada, procesa koje treba uskladiti s Uredbom kako bi prava i slobode ispitanika bili zaštićeni. Ujedno ključna je sposobnost sagledavanja situacije sa strane ispitanika, jer ono što nikako ne smijemo zaboraviti jest to da smo svi mi najčešće upravo u toj ulozi. Često sam se pitao kako bih osobno reagirao kao ispitanik, što očekujem i što želim znati. U svakom slučaju službenik za zaštitu podataka mora biti uključen u kreiranje i izmjene poslovnih procesa te razvoj proizvoda, jer svaka promjena može predstavljati novu obradu podataka i zahtijevati primjenu odgovarajućih mjera.

S obzirom na to da je GDPR na snazi još od svibnja prošle godine, možete li se osvrnuti na razinu informiranosti i osviještenosti građana i poslovnih subjekata u Hrvatskoj? Jesmo li, prema vašem iskustvu, kao društvo uvidjeli važnost zaštite osobnih podataka i gdje još vidite mjesta za napredak?

- Informiranosti nikad dosta. AZOP je napravio velike akcije kako bi ljudima približio pravila obrade i upoznao ih s njihovim pravima. Svakako treba spomenuti edukativni video "Tko se šali s mojim osobnim podacima", koji govori upravo o senzibilizaciji, poticanju ljudi na razmišljanje i osvještavanje. Također, treba istaknuti i EU projekt T4DATA – Trening za nacionalna nadzorna tijela i službenike za zaštitu osobnih podataka namijenjen službenicima za zaštitu osobnih podataka u tijelima državne uprave, drugim državnim tijelima, tijelima jedinica lokalne i područne (regionalne) samouprave i pravnim osobama koje imaju javne ovlasti kojeg provodi AZOP. Naposljetku, ne smijemo zaboraviti kako samo kontinuirana edukacija i podizanje svijesti može djelovati na ljudski faktor. Poslovni subjekti svakako bi trebali poduzimati takve kontinuirane radnje izobrazbe svog osoblja, jer tehničke mjere zaštite nisu svemoguće i svijest o ponašanju prema pravilima zaštite privatnosti treba svakodnevno poticati.

Što se još može učiniti?

- Volio bih vidjeti više inicijativa, poput onih koje su pokrenute s ciljem podizanja financijske pismenosti koje određena udruženja redovito provode s ciljem zaštite interesa potrošača. Osobno smatram da se trebamo fokusirati na najranjiviji dio populacije, one koji tek ulaze u svijet digitalnih komunikacija i poslovnih odnosa, koji nisu svjesni opasnosti koje kriju društvene mreže i posljedica koje mogu imati njihovi postupci.

Iz prve ruke imali ste priliku nadzirati proces prilagodbe na GDPR-u u Hrvatskoj, pa najbolje znate kako su poslovni subjekti većinom prihvatili Uredbu - je li prihvaćena sa strahom od velikih kazni i financijskih izdataka, ili je ipak shvaćena kao nužan segment prema uspješnijem poslovanju?

- Svaka edukacija na kojoj sam bio već je u uvodu imala dio o drakonskim novčanim kaznama u slučaju kršenja odredba Uredbe. Naravno, isto je bilo spomenuto više puta tijekom edukacija kao upozorenje na nužnu propast, "kraj svijeta" koji će nastupiti s 25. svibnja 2018. godine. Ono što je rijetko spominjano jest to da taj datum nije kraj, nego početak jednog novog doba, doba u kojemu pravila Uredbe mogu dati dodanu vrijednost na proizvode koji se nude i u konačnici postati komparativna prednost. Svijest poslovnih subjekata svakako je bila, i jest, na visokoj razini vezano uz nužnost prilagodbe poslovanja, pritom smatram nevažnim je li do toga došlo zbog straha, ili zbog želje da se unaprijedi poslovanje.

Čega ih još može biti strah?

- Zanimljivo je kako je rijetko spominjana mogućnost da se uz novčane kazne može izreći i korektivna mjera privremenog ili konačnog ograničavanja ili zabrane obrade podataka. Dakle, ne samo mogućnost da nadzorno tijelo naredi usklađivanje postupka obrade s odredbama Uredbe, nego da se u cijelosti blokira poslovanje, jer bi daljnja obrada podataka bila zabranjena. Također, malo je bilo riječi o tome kako se prilikom odlučivanja o izricanju upravne novčane kazne i njezinu iznosu pridodaje pozornost nizu okolnosti koje upućuju na svijest i postupke voditelja obrade, pa se uistinu sve uzima u obzir. No, važno je da se razmišljanje promijenilo i da smo u konačnici dali klijentima veći stupanj zaštite te da smo spremni odgovoriti na njihove zahtjeve i obrazložiti kako i zašto obrađujemo njihove podatke.

Smatrate li da su građani dovoljno upoznati s GDPR-om?

- Svijest treba kontinuirano razvijati, ljude treba senzibilizirati i poticati da razmišljaju u trenucima kada daju svoje osobne podatke, jesu li ti podaci uistinu potrebni kako bi ostvarili neko pravo ili dobili neku uslugu. Na dobrom smo putu, putu koji je tek počeo i na njemu trebamo ustrajati. Zato smatram potrebnim da se o ovoj temi kontinuirano priča, a ne samo oko obljetnice stupanja na snagu Uredbe, kao i da se edukacija o tome kako se treba postupati sa svojim podacima uključi u obrazovne programe, jer svijet u kojem živimo je svijet informacija, informacija koje svakodnevno dijelimo.