Odbor za informiranje, informatizaciju i medije raspravio je na 3. sjednici, održanoj 2. listopada 2024. godine Godišnje izvješće o radu Agencije za zaštitu osobnih podataka za razdoblje od 1. siječnja do 31. prosinca 2023. godine, koje je predsjedniku Hrvatskoga sabora u skladu s odredbom članka 17. Zakona o provedbi Opće uredbe o zaštiti podataka (”Narodne novine”, broj 42/18), dostavila Agencija za zaštitu osobnih podataka, aktom od 28. ožujka 2024. godine.
Odbor za informiranje, informatizaciju i medije, na temelju članka 110. Poslovnika Hrvatskoga sabora, je navedeno Izvješće raspravio kao matično radno tijelo.
U vrijeme rasprave Odbor je raspolagao s Mišljenjem Vlade Republike Hrvatske na predmetno Izvješće.
U uvodnom obrazloženju ravnatelj Agencije za zaštitu osobnih podataka napomenuo je da je u Godišnjem izvješću o radu Agencije za zaštitu osobnih podataka za razdoblje od 1. siječnja do 31. prosinca 2023. godine omaškom izostavljen godišnji izvještaj o izvršenju financijskog plana te da je on dostavljen naknadno. U ovom izvještajnom razdoblju izrečen je najveći broj upravnih novčanih kazni za kršenje odredbi Opće uredbe o zaštiti podataka odnosno zbog temeljnih prava građana, a ujedno su izrečeni i najviši iznosi upravnih novčanih kazni. Izrečeno je 28 upravnih novčanih kazni u iznosu 8.27 milijuna eura te je time poslana jasna poruka da će svako grubo kršenje prava na zaštitu osobnih podataka, kao prava zagarantiranog Ustavom Republike Hrvatske i Poveljom EU-a o temeljnim pravima, biti strogo kažnjeno. Zanimanje javnosti najviše su privukle dvije kazne izrečene agencijama za naplatu potraživanja, u iznosima od 2.26 i 5.47 milijuna eura, a koje su između ostalog izrečene zbog nepoduzimanja odgovarajućih tehničkih i organizacijskih mjera uslijed čega je došlo do neovlaštenog pristupa osobnim podacima značajnog broja građana. Prema istraživanju Europskog odbora za zaštitu podataka AZOP se nalazi pri samom vrhu među nadzornim tijelima s najvišim ukupnim izrečenim novčanim kaznama u 2023. godini, odnosno na 9 mjestu, čime je iskazana odlučnost i predanost učinkovitoj provedbi Opće uredbe o zaštiti podataka, a time i zaštiti ljudskih prava i sloboda. To je posebno važno jer se očekuje da će ta prava i slobode biti sve ugroženija u eri umjetne inteligencije.
U skadu sa svojim istražnim ovlastima, Agencija je provela 544 nazora i nadzornih aktivnosti, a koje obuhvaćaju nadzor po zahtjevu ispitanika, prijedlogu treće strane te po službenoj dužnosti, od čega su 72 izravna nadzora i 472 nadzora provedena neizravno. Posebno je istaknuto sudjelovanje u koordiniranoj inicijativi Europskog odbora za zaštitu podataka na temu imenovanja i uloge službenika za zaštitu podataka, a u okviru koje je provedeno 3038 nadzornih provjera. Što se tiče edukacije provedene su brojne edukativne aktivnosti namijenjene svim dionicima ukupnog koncepta zaštite osobnih podataka. Također je nastavljeno s provedbom projekta Europske unije ARC II, namijenjenog mikro, malim i srednjim poduzetnicima. Nadalje, u suradnji s talijanskim nadzornim tijelom te akademskom zajednicom razvijan je inovativni web alat ”Olivia”, a s ciljem pružanja potpore poduzetnicima kako bi uskladili svoje poslovne procese sa zakonskim propisima o zaštiti podataka.
U ovom izvještajnom razdoblju zabilježen je i porast broja zaprimljenih predmeta za 18% te je Agencija imala u radu ukupno 3448 predmeta, od kojih je 2601 zaprimljeno u 2023. godini, a 847 predmeta je preneseno u rad iz prethodnog razdoblja. Riješeno je ukupno 2412 predmeta. Građani su najviše tražili mišljenje o obradi njihovih osobnih podataka na internetu, obradi osobnih podataka u svrhu marketinga te obradi osobnih podataka od strane financijskih institucija. Agencija je zabilježila i porast broja zaprimljenih zahtjeva za utvrđivanje povrede prava o kojima Agencija sukladno članku 34. Zakona o provedbi Opće uredbe o zaštiti podataka odlučuje rješenjem. Ti zahtjevi u najvećoj mjeri su bili vezani za obradu osobnih podataka putem videonadzora, obradu osobnih podataka od strane financijskih institucija te objavu osobnih podataka u medijima i na društvenim mrežama. Također je zabilježen povećan broj telefonskih upita u odnosu na broj zaprimljenih upita pisanim putem. U 2023. godini zabilježeno je više od 3000 telefonskih poziva od strane građana, službenika za zaštitu podataka i voditelja obrade.
Na kraju je ravnatelj naglasio da Agencija ulaže napore kako bi potaknula stvaranje okruženja u kojem su pravo na zaštitu osobnih podataka i pravo na privatnost pojedinca, zakonitost, transparentnost, pouzdanost i sigurnost tijekom obrade osobnih podataka temeljni stupovi digitalnog ekosustava odnosno sastavni dio društvenih i gospodarskih odnosa i aktivnosti.
Tijekom rasprave postavljeno je pitanje što Agencija čini kako bi se povećala popunjenost radnih mjesta u istoj, a obzirom da je na dan 31. prosinca 2023. godine efektivna popunjenost radnih mjesta bila 50 % u odnosu na predviđeni okvirni broj državnih službenika potreban za obavljanje poslova iz nadležnosti Agencije, odnosno 34 službenika u odnosu na okvirno predviđenih 68. Iz Godišnjeg izvješća je razvidno kako se broj predmeta prenesenih iz 2023. u 2024. godinu povećao u odnosu na broj predmeta prenesenih iz 2022. u 2023. godinu iz čega se može zaključiti kako ovakvom popunjenošću radnih mjesta će se predmeti samo gomilati. Odgovoreno je kako su u tijeku natječaji te kako se popunjenost smanjuje i internim premještajima te je u ovom trenutku 37 službenika raspoređeno, a do kraja godine se očekuje 40.
Vezano uz Mišljenje Vlade Republike Hrvatske pojašnjeno je kako Godišnje izvješće o izvršenju financijskog plana za 2023. godinu dostavljeno kao dopuna, a isto je bilo objavljeno u svibnju na internet stranicama Agencije, a dostavljeno je i Hrvatskome saboru i Ministarstvu financija te ga Vlada Republike Hrvatske prihvaća.
U raspravi o 2 dvije velike kazne izrečene agencijama za naplatu potraživanja, u iznosima od 2.26 i 5.47 milijuna eura, a koje su izrečene, između ostalog, zbog nepoduzimanja odgovarajućih tehničkih i organizacijskih mjera uslijed čega je došlo do neovlaštenog pristupa osobnim podacima značajnog broja hrvatskih građana, među kojima ima i podataka o maloljetnicima, zdravstvenom stanju osoba, susjedima i članovima obitelji, postavljeno je pitanje što je još učinjeno kako bi se prevenirala takva curenja podataka i uopće preveniralo prikupljanje takvih podataka. Nadalje, da li je Agencija naredila voditeljima obrade podataka u agencijama za naplatu potraživanja da obavijeste sve ispitanike o povredi osobnih podataka, da li je privremeno ili konačno ograničena obrada podataka tih agencija za naplatu potraživanja te razmjenjuju li te agencije podatke sa drugim takvim agencijama? Da li su te agencije pokrenule upravne sporove i ako jesu u kojoj su fazi? Te, vezano za kladionice i kockarnice zbog neovlaštenog prikupljanja preslika bankovnih kartica, što je poduzeto da se ta praksa zaustavi uz novčane kazne koje su izrečene?
Predstavnik predlagatelja odgovorio je kako postoje edukativne aktivnosti za sve voditelje/izvršitelje obrade osobnih podataka te se radi na pojačanju kapaciteta službe za nadzor u samoj Agenciji i da se pripremaju izmjene Pravilnika o unutarnjem redu. Visoke upravne novčane kazne su i odvraćajuće, Agencija i po službenoj dužnosti, a ne samo po prijavama, provodi kontinuirani nadzor nad agencijama za naplatu potraživanja, bankama, osiguravajućim društvima, kladionicama i kockarnicama. Radi se i na ujednačavanju prakse kroz Europski odbor za zaštitu podataka sa drugim članicama. Rješenje o upravno novčanoj kazni sadržavalo je i odredbu da su ti podaci nezakonito obrađivani te nisu u legalnom posjedu voditelja obrade podataka, a upravni sporovi jesu pokrenuti. Istaknut je i problem ljudske razine, odnosno fizičkog izvršitelja koji bi mogao dio podataka koji su mu prije bili ovlašteno dostupni, a prelaskom u neku drugu tvrtku, neovlašteno odnijeti u drugu tvrtku.
Nadalje, suradnja Agencije za zaštitu osobnih podataka sa drugim državnim tijelima, a vezana uz zakone o kibernetičkoj sigurnosti, ogleda se kroz Nacionalno vijeće za kibernetičku sigurnost čiji je Agencija član. A uz to i na redovnoj razini Agencija dobija prijedloge zakona drugih državnih tijela na koje daje mišljenja iz aspekta zaštite osobnih podataka što je i obveza prema članku 14. Zakona o provedbi Opće uredbe o zaštiti podataka te ta mišljenja najčešće budu uvažena.
Nakon provedene rasprave Odbor je jednoglasno (s 9 glasova ”ZA”) odlučio predložiti Hrvatskome saboru sljedeći
Z A K L J U Č A K
Prihvaća se Godišnje izvješće o radu Agencije za zaštitu osobnih podataka za razdoblje od 1. siječnja do 31. prosinca 2023. godine.
Za izvjestitelja na sjednici Hrvatskoga sabora određen je Josip Borić, predsjednik Odbora.
PREDSJEDNIK ODBORA
Josip Borić