Opća uredba o zaštiti podataka (GDPR) uspostavila je jedinstven europski sustav zaštite osobnih podataka, koji se temelji na strogo definiranim pravima ispitanika i obvezama voditelja i izvršitelja obrade. Jedan od ključnih elemenata njezina funkcioniranja jest mehanizam prekršajne odgovornosti, sadržan ponajprije u članku 83. GDPR-a. Posebno je značajno to što je Uredba propisala iznimno visoke novčane sankcije, uključujući mogućnost izricanja kazni do 20 milijuna eura ili do 4 % ukupnog godišnjeg prometa poduzeća, čime se zaštita osobnih podataka pozicionira kao regulatorno područje usporedivo s područjem tržišnog natjecanja ili financijskog nadzora.

Odgovornost voditelja obrade i načelo odgovornosti

Iako GDPR definira obveze različitih sudionika, voditelj obrade zauzima središnju ulogu. Članak 5. stavak 2. propisuje načelo odgovornosti prema kojem je voditelj obrade dužan osigurati sukladnost postupaka obrade s propisima te biti u mogućnosti dokazati tu sukladnost. Člankom 24. dodatno se naglašava obveza primjene odgovarajućih tehničkih i organizacijskih mjera, uzimajući u obzir prirodu, opseg, kontekst i svrhu obrade te rizik različitih razina vjerojatnosti i težine za prava i slobode pojedinaca.

U praksi, odgovornost voditelja obrade obuhvaća pravilno utvrđivanje pravnih osnova iz članka 6., osiguravanje suglasnosti u skladu sa člankom 7., primjenu načela privatnosti po dizajnu iz članka 25., vođenje evidencija iz članka 30., primjenu sigurnosnih standarda iz članka 32., kao i pravilno i pravodobno postupanje u slučaju povrede osobnih podataka prema člancima 33. i 34. Neispunjavanje ovih obveza može rezultirati prekršajnom odgovornošću.

Sustav kazni prema GDPR-u

Članak 83. GDPR-a postavlja dvostupanjski sustav administrativnih novčanih kazni. Pri određivanju visine kazne nadzorno tijelo uzima u obzir niz kriterija, uključujući prirodu, težinu i trajanje povrede, broj pogođenih ispitanika, namjeru ili nehat voditelja obrade, stupanj odgovornosti, prethodne povrede, razinu suradnje s nadzornim tijelom te kategorije podataka na koje se povreda odnosi. Uredba time omogućuje individualizirani pristup, ali istodobno postavlja gornje granice kazni za određene kategorije prekršaja.

Povrede kažnjive do 10 milijuna eura ili 2 % globalnog godišnjeg prometa

Niži rang kazni, sukladno članku 83. stavku 4., odnosi se na povrede koje se uglavnom tiču organizacijskih i tehničkih obveza voditelja i izvršitelja obrade. U ovu skupinu ulaze povrede članka 8. o obradi podataka djece, članka 11. koji uređuje situacije u kojima identifikacija nije potrebna, te čitavog niza odredbi od članka 25. do 39. koje obuhvaćaju teme kao što su privatnost po dizajnu, politike sigurnosti, evidencije obrade, obveze kod povreda podataka, procjene učinka i imenovanje službenika za zaštitu podataka.

Tipičan primjer povrede iz ove kategorije može biti nepostojanje DPIA-e u situaciji kada je ona obvezna, neprijavljivanje povrede osobnih podataka nadzornom tijelu u roku od 72 sata, nepoduzimanje odgovarajućih tehničkih mjera zaštite, ili formalno neimenovanje službenika za zaštitu podataka kada to zahtijeva članak 37. Povrede članka 42. i 43., koje se odnose na certificiranje i nadzorne mehanizme, također spadaju u ovaj rang.

Iako je riječ o “nižem” razredu kazni, valja naglasiti da su iznosi i dalje izrazito visoki te za velika poduzeća mogu biti financijski i reputacijski iznimno teški.

Povrede kažnjive do 20 milijuna eura ili 4 % globalnog godišnjeg prometa

Ovo je viši, najstroži rang kazni predviđen člankom 83. stavkom 5. U njega spadaju povrede koje zadiru u samu srž sustava zaštite podataka: povrede temeljnih načela obrade, povrede prava ispitanika te nepravilnosti kod međunarodnih prijenosa podataka.

Povrede temeljnih načela iz članka 5. – poput nezakonite obrade, nedostatka transparentnosti, kršenja načela točnosti ili minimalizacije, kao i obrada bez odgovarajuće pravne osnove iz članka 6. – predstavljaju najteže kategorije prekršaja. Isto vrijedi i za nepravilnu obradu posebnih kategorija podataka iz članka 9. te nepravilnosti u vezi s prikupljanjem i dokazivanjem valjanosti privole iz članka 7.

Povrede prava ispitanika iz članaka 12.–22., primjerice uskraćivanje prava na pristup, pravo na brisanje ili pravo na prenosivost podataka, također ulaze u ovu skupinu. Posljedice takvih povreda posebno su izražene jer izravno utječu na mogućnost pojedinca da ostvaruje kontrolu nad vlastitim podacima.

Treća važna skupina teških povreda odnosi se na međunarodne prijenose podataka u skladu s člancima 44.–49. Neovlašteni ili nepravilno osigurani prijenosi podataka u treće zemlje predstavljaju visok rizik i stoga su sankcionirani najvišim kaznama.

U ovaj rang ulazi i nepoštivanje obveza iz nacionalnog prava donesenog na temelju poglavlja IX GDPR-a, primjerice posebnih pravila o obradi podataka radnika, zdravstvenih podataka ili podataka u javnom sektoru.

Neizvršavanje naloga nadzornog tijela

Članak 83. stavak 6. posebno naglašava da će svako nepoštivanje naloga nadzornog tijela iz članka 58. stavka 2. automatski biti sankcionirano u najvišem rasponu kazni, do 20 milijuna eura ili 4 % globalnog prometa. Riječ je o jednoj od najtežih povreda jer predstavlja izravno kršenje regulatornog nadzora. Primjeri uključuju nastavak obrade unatoč izričitoj zabrani, odbijanje omogućavanja pristupa informacijama nadzornom tijelu ili neizvršenje naloga za brisanje podataka.

Zaključak

Prekršajna odgovornost voditelja obrade prema GDPR-u predstavlja jedan od ključnih mehanizama osiguravanja učinkovitog funkcioniranja sustava zaštite podataka. Visina kazni i strogi kriteriji nadzornih tijela potiču organizacije na uspostavu kvalitetnih sustava upravljanja privatnošću, kontinuiranu procjenu rizika i transparentno postupanje prema ispitanicima i regulatorima. Za voditelje obrade to znači obvezu ne samo formalne, nego i stvarne usklađenosti, koja se mora dokazivati dokumentacijom, praksom i proaktivnim pristupom zaštiti osobnih podataka.

U konačnici, prekršajna odgovornost nije prvenstveno kazneni alat, nego mehanizam koji osigurava da zaštita osobnih podataka zadrži razinu povjerenja potrebnu u suvremenom digitalnom društvu.
Autor: Dinko Šperanda, odvjetnik