Povreda osobnih podataka: sigurnost i zaštita

Povreda osobnih podataka događa se svakog dana. U današnjem digitalnom dobu, osobni podaci postali su izuzetno vrijedna imovina, ali istovremeno i meta brojnih prijetnji. Od financijskih informacija do privatnih komunikacija, naši podaci neprestano se prikupljaju, obrađuju i pohranjuju. Opća uredba o zaštiti podataka (GDPR) Europske unije postavlja temelje za zaštitu tih podataka, no razumijevanje rizika i mehanizama zaštite ključno je za svakog pojedinca. Ovaj blog ima za cilj rasvijetliti kako se sigurnost osobnih podataka može ugroziti, koje su metode povrede, kako se možemo zaštititi te tko snosi odgovornost i koji su pravni lijekovi dostupni u slučaju da do povrede ipak dođe.

I. Uvod: Rizici vrebaju – Kako se ugrožava sigurnost osobnih podataka i koje su metode povrede?

Sigurnost osobnih podataka neprestano je na kušnji u digitalnom okruženju. Razumijevanje načina na koje podaci mogu biti kompromitirani i metoda koje napadači koriste prvi je korak prema učinkovitoj zaštiti.

A. Načini ugrožavanja sigurnosti osobnih podataka

Osobni podaci mogu biti ugroženi na različite načine, koji sežu daleko izvan sofisticiranih hakerskih napada. Često su to posljedice ljudskih pogrešaka, tehničkih nedostataka ili čak prirodnih događaja. Sigurnost podataka može biti narušena kroz hardver, softver, komunikacijske kanale ili čak fizičke dokumente.

Konkretni primjeri ugroza uključuju:

• Neprimjerena upotreba: Ovo može obuhvaćati zlouporabu prava pristupa od strane ovlaštenih osoba ili postupanje s pogreškom koje dovodi do otkrivanja podataka.
• Modifikacija: Podaci mogu biti izmijenjeni bez odobrenja, primjerice instalacijom zlonamjernog softvera poput keyloggera koji bilježe pritiske na tipkovnici, ili drugim vrstama softverskih ili hardverskih zamki.
• Gubitak: Fizički gubitak uređaja poput prijenosnih računala ili USB ključeva na kojima su pohranjeni nezaštićeni podaci čest je uzrok povreda.
• Promatranje: Neovlašteno promatranje zaslona ili geolokacijsko praćenje uređaja također predstavljaju rizik.
• Pogoršanje: Vandalizam ili prirodno pogoršanje medija za pohranu mogu dovesti do gubitka ili oštećenja podataka.
• Preopterećenost ili nedostupnost: Napadi uskraćivanjem usluge (DDoS) mogu učiniti podatke nedostupnima, dok ucjenjivački softver (ransomware) može šifrirati podatke i zahtijevati otkupninu za njihovo vraćanje.

Procjena rizika

Opća uredba o zaštiti podataka (GDPR) nalaže voditeljima i izvršiteljima obrade da procijene rizike povezane s obradom, kao što su slučajno ili nezakonito uništenje, gubitak, izmjena, te neovlašteno odavanje ili pristup osobnim podacima.  Prijetnje mogu biti i namjerne, poput ciljanih napada, i slučajne, proizašle iz svakodnevnih operacija ili ljudskog faktora. Stoga, sigurnost osobnih podataka nije ugrožena isključivo vanjskim zlonamjernim akterima. Interni propusti, slučajnosti ili neadekvatno rukovanje podacima predstavljaju jednako značajan rizik. Sveobuhvatna strategija zaštite podataka mora adresirati višestruke vektore prijetnji. To uključuje tehničke, fizičke i ljudske aspekte.

B. Metode povrede sigurnosti osobnih podataka

Napadači koriste raznolike metode kako bi došli do osobnih podataka. Ove metode postaju sve sofisticiranije i često ciljaju na ljudski faktor kao najslabiju kariku u sigurnosnom lancu.

Phishing i Socijalni inženjering

Phishing je jedna od najraširenijih tehnika. Phishing uključuje slanje lažnih e-mailova koji izgledaju kao da dolaze od legitimnih izvora, poput banaka ili popularnih internetskih servisa. Cilj je navesti žrtvu da klikne na zlonamjernu poveznicu i unese svoje osjetljive podatke. Često se traže korisnička imena, lozinke, brojeve kreditnih kartica. Socijalni inženjering obuhvaća različite tehnike psihološke manipulacije kako bi se osobe navele da otkriju povjerljive informacije. Napadači često stvaraju osjećaj hitnosti ili se lažno predstavljaju kao osobe od povjerenja. GDPR prepoznaje ove rizike i nalaže voditeljima obrade da poduzmu odgovarajuće mjere zaštite.

Zlonamjerni softver (Malware)

Ovo je krovni pojam za različite vrste štetnih programa, uključujući viruse, crve, trojanske konje, spyware (špijunski softver), keyloggere (koji bilježe unos s tipkovnice) i ransomware (ucjenjivački softver). Zlonamjerni softver može dospjeti na uređaj putem zaraženih privitaka e-pošte, preuzimanja s nepouzdanih stranica ili iskorištavanjem sigurnosnih propusta. Jednom instaliran, može ukrasti podatke, oštetiti sustav ili ga učiniti nedostupnim.

Hakiranje

Hakiranje podrazumijeva neovlašteni pristup računalnim sustavima, mrežama ili podacima. Hakiranjem se iskorištavaju tehničke ranjivosti u softveru ili hardveru. Iako GDPR izravno ne definira “hakiranje”, koncept “neovlaštenog pristupa” osobnim podacima pokriva ovu metodu.

Interne prijetnje

Zlonamjerni ili nemarni postupci zaposlenika ili drugih osoba koje imaju legitiman pristup podacima (npr. “zlouporaba prava” ili “postupanje s pogreškom”) mogu dovesti do ozbiljnih povreda. Ljudski faktor je često najkritičnija točka u sigurnosti podataka. Stoga je svijest i edukacija zaposlenika od presudne važnosti.

Slučajno otkrivanje podataka

Povrede se mogu dogoditi i uslijed nenamjernih pogrešaka, kao što je slanje e-maila s osjetljivim podacima pogrešnom primatelju. Drugi primjeri su npr. gubitak nezaštićenih prijenosnih uređaja poput USB memorija, ili neadekvatno uništavanje papirnatih dokumenata. Takvi “slučajni” incidenti naglašavaju važnost uspostavljenih procedura i pažnje u svakodnevnom radu s podacima.

Kontinuirana edukacija

S obzirom na sve sofisticiranije metode napada, postaje jasno da tehničke mjere same po sebi nisu dovoljne. Potrebna je kontinuirana edukacija i podizanje svijesti svih korisnika. Načela GDPR-a nisu statične obveze. One impliciraju potrebu za dinamičnim pristupom. Organizacije moraju kontinuirano procjenjivati nove metode napada i prilagođavati svoje obrambene strategije.

II. Štit u digitalnoj areni: Mjere zaštite osobnih podataka od pojedinca do korporacije

Zaštita osobnih podataka zahtijeva višeslojni pristup koji uključuje poštivanje temeljnih načela GDPR-a. Primjena specifičnih mjera treba biti prilagođenih različitim subjektima – od pojedinaca do velikih korporacija.

A. Opće mjere i temeljna načela zaštite podataka prema GDPR-u

GDPR postavlja sedam ključnih načela koja moraju voditi svaku obradu osobnih podataka:

Zakonitost, poštenost i transparentnost

Obrada mora biti zakonita, temeljena na jednoj od pravnih osnova definiranih Uredbom. Npr. privola, ugovor, ili pravna obveza. Obrada mora biti poštena prema ispitanicima te transparentna. To znači da pojedinci moraju biti jasno informirani o svrsi i načinu obrade njihovih podataka.

Ograničenje svrhe

Osobni podaci smiju se prikupljati samo za jasno određene i legitimne svrhe te se ne smiju dalje obrađivati na način koji nije u skladu s tim svrhama.

Smanjenje količine podataka (Data Minimisation)

Smiju se prikupljati i obrađivati samo oni osobni podaci koji su nužni za postizanje određene svrhe.

Točnost

Osobni podaci moraju biti točni i, prema potrebi, ažurirani. Potrebno je poduzeti mjere za ispravak ili brisanje netočnih podataka.

Ograničenje pohrane

Podaci se smiju čuvati u obliku koji omogućuje identifikaciju ispitanika samo onoliko dugo koliko je potrebno za svrhe za koje se obrađuju.

Cjelovitost i povjerljivost

Potrebno je primijeniti odgovarajuće tehničke i organizacijske mjere kako bi se osigurala sigurnost podataka, uključujući zaštitu od neovlaštene ili nezakonite obrade te od slučajnog gubitka, uništenja ili oštećenja.

Pouzdanost (Odgovornost – Accountability)

Voditelj obrade odgovoran je za poštivanje navedenih načela i mora biti u stanju dokazati tu usklađenost.

Integrirana zaštita podataka

Uz ova načela, GDPR naglašava važnost tehničke zaštite podataka i integrirane zaštite podataka (Privacy by Design and by Default). To znači da mjere zaštite, poput smanjenja količine podataka koji se obrađuju, pseudonimizacije (obrade podataka na način da se više ne mogu pripisati određenom ispitaniku bez korištenja dodatnih informacija) ili enkripcije (šifriranja podataka), trebaju biti ugrađene u sustave i procese od samog početka, a ne dodane naknadno.

Okvir temeljen na procjeni rizika

Bitno je napomenuti da GDPR ne propisuje egzaktan popis tehničkih mjera koje se moraju primijeniti. Umjesto toga, Uredba postavlja okvir temeljen na procjeni rizika, zahtijevajući od organizacija da same procijene i implementiraju “odgovarajuće” mjere zaštite. Ova fleksibilnost omogućuje prilagodbu specifičnim okolnostima, ali istovremeno stavlja veći teret odgovornosti na voditelje obrade da donesu informirane odluke o tome što je “odgovarajuće” za njihovu situaciju, uzimajući u obzir prirodu podataka, opseg obrade, potencijalne rizike i troškove provedbe. Načelo “smanjenja količine podataka” nije samo tehnička preporuka, već strateški pristup koji fundamentalno smanjuje potencijalnu “površinu napada” i moguću štetu u slučaju povrede. Jednostavno rečeno, manje prikupljenih i pohranjenih podataka znači i manji rizik.

B. Kako pojedinac treba štititi svoje podatke (Praktični savjeti)

Iako GDPR postavlja obveze organizacijama, pojedinci također imaju ključnu ulogu u zaštiti vlastitih podataka. Aktivno i informirano sudjelovanje u vlastitoj digitalnoj sigurnosti presudno je. Evo nekoliko praktičnih savjeta:

• Jake i jedinstvene lozinke: Koristite duge lozinke (minimalno 12-14 znakova) koje kombiniraju velika i mala slova, brojeve i simbole. Izbjegavajte korištenje istih lozinki za različite račune. Razmislite o korištenju upravitelja lozinki.
• Dvofaktorska autentifikacija (2FA): Gdje god je moguće, aktivirajte 2FA. Ona dodaje dodatni sloj sigurnosti zahtijevajući drugi oblik potvrde identiteta (npr. kod poslan na mobitel) uz lozinku.
• Prepoznavanje phishinga: Budite izuzetno oprezni s e-mailovima, SMS porukama ili pozivima koji traže vaše osobne podatke ili vas usmjeravaju na sumnjive web stranice. Ne otvarajte privitke i ne klikajte na poveznice u porukama nepoznatih ili sumnjivih pošiljatelja.
• Sigurno korištenje interneta: Izbjegavajte unos osjetljivih podataka kada ste spojeni na javne Wi-Fi mreže. Razmislite o korištenju virtualne privatne mreže (VPN) za dodatnu sigurnost, posebno izvan vlastitog doma.
• Fizička zaštita i uništavanje dokumenata: Zaštitite svoje uređaje (računala, mobitele) lozinkom, PIN-om ili biometrijskom zaštitom. Papirnate dokumente koji sadrže osobne podatke uništite prije bacanja (npr. rezanjem).

C. Kako malo poduzeće treba štititi podatke koje obrađuje (Ključne strategije)

Mala i srednja poduzeća (MSP) često raspolažu s ograničenim resursima, no to ne umanjuje njihovu obvezu zaštite osobnih podataka koje obrađuju. Ključ uspjeha leži u pragmatičnom pristupu koji kombinira osnovne, ali dosljedno primijenjene tehničke mjere s jakom svijesti i odgovornošću zaposlenika.

• Edukacija zaposlenika: Ljudski faktor je presudan. Redovita edukacija zaposlenika o važnosti zaštite podataka, prepoznavanju prijetnji poput phishinga i internim sigurnosnim procedurama je temelj.
• Osnovne tehničke mjere: Implementacija i redovito ažuriranje antivirusnog softvera, postavljanje vatrozida (firewall), korištenje jakih lozinki za pristup sustavima i podacima te redovito ažuriranje cjelokupnog softvera.
• Enkripcija i sigurnosne kopije: Enkriptirajte osjetljive osobne podatke, posebno prilikom prijenosa ili pohrane na prijenosnim medijima. Redovito izrađujte sigurnosne kopije (backup) važnih podataka i testirajte mogućnost njihovog povrata. Za visokorizične podatke, kopije bi uvijek trebale biti enkriptirane i pohranjene na sigurnom mjestu, po mogućnosti bez pristupa internetu.
• Politike pristupa i smanjenje količine podataka: Definirajte jasne politike tko, kada i zašto ima pristup određenim podacima (načelo najmanjih privilegija). Pridržavajte se načela smanjenja količine podataka – prikupljajte i čuvajte samo one podatke koji su vam zaista potrebni za poslovanje. Utvrdite rokove za brisanje podataka koji više nisu nužni.
• Izjave o povjerljivosti: Razmislite o korištenju izjava o povjerljivosti kojima se zaposlenici obvezuju na čuvanje tajnosti podataka kojima pristupaju.

GDPR-ova skalabilnost u pogledu “odgovarajućih mjera” znači da se od malih poduzeća ne očekuje ista razina sofisticiranosti kao od velikih korporacija. Mjere trebaju biti proporcionalne riziku.

D. Kako velika korporacija treba štititi podatke (Sveobuhvatni pristup)

Velike korporacije, s obzirom na količinu i osjetljivost podataka koje obrađuju, kao i na broj zaposlenika, moraju implementirati sveobuhvatan i formaliziran sustav upravljanja zaštitom osobnih podataka. To uključuje upravljačke procese, dodjelu specifičnih odgovornosti i proaktivnu procjenu rizika.

• Službenik za zaštitu podataka (DPO): Imenovanje DPO-a je obvezno ako se obrada provodi od strane tijela javne vlasti, ako se temeljne djelatnosti sastoje od redovitog i sustavnog praćenja ispitanika u velikoj mjeri, ili ako se u velikoj mjeri obrađuju posebne kategorije podataka ili podaci o kaznenim osudama. DPO savjetuje organizaciju o usklađenosti s GDPR-om, prati primjenu i surađuje s nadzornim tijelom.
• Procjena učinka na zaštitu podataka (DPIA): Za vrste obrade koje vjerojatno mogu prouzročiti visok rizik za prava i slobode pojedinaca (npr. uvođenje novih tehnologija, obrada osjetljivih podataka u velikoj mjeri), nužno je provesti DPIA.⁶
• Napredne tehničke mjere: Implementacija enkripcije i pseudonimizacije gdje je prikladno, višeslojna obrana (defense-in-depth), sustavi za detekciju i prevenciju upada (IDS/IPS), te redovito testiranje sigurnosti.
• Stroge kontrole pristupa: Primjena načela najmanjih privilegija (djelatnici imaju pristup samo podacima nužnim za njihov rad), korištenje jedinstvenih korisničkih računa i jakih lozinki, te bilježenje pristupa podacima (logovi).
• Upravljanje životnim ciklusom podataka: Redovito brisanje osobnih podataka koji više nisu potrebni za svrhu za koju su prikupljeni, u skladu s internim politikama i zakonskim rokovima čuvanja.
• Integrirana zaštita privatnosti (Privacy by Design and by Default): Ugrađivanje zahtjeva zaštite podataka u sve faze razvoja novih proizvoda, usluga i poslovnih procesa.
• Evidencije aktivnosti obrade: Vođenje detaljnih evidencija o svim aktivnostima obrade osobnih podataka, kako to nalaže članak 30. GDPR-a, osim ako ne postoji izuzeće.
• Revizije i edukacija: Provođenje redovitih internih i eksternih revizija sigurnosti te sveobuhvatnih programa edukacije i podizanja svijesti o zaštiti podataka za sve zaposlenike.

Načelo “odgovornosti” (accountability) za velike korporacije znači ne samo postizanje usklađenosti s GDPR-om, već i sposobnost kontinuiranog dokazivanja te usklađenosti kroz sveobuhvatnu dokumentaciju, jasno definirane politike i procedure, te redovite revizije. To implicira uspostavu trajnog ciklusa planiranja, implementacije, provjere i djelovanja (PDCA) u području zaštite osobnih podataka.

III. Tko snosi odgovornost? Razjašnjenje uloga u slučaju povrede osobnih podataka

Kada dođe do povrede osobnih podataka, ključno je utvrditi tko snosi odgovornost. GDPR postavlja jasan okvir odgovornosti za različite aktere uključene u obradu podataka.

A. Opća odgovornost voditelja obrade i izvršitelja obrade prema GDPR-u

GDPR razlikuje dvije ključne uloge u obradi osobnih podataka: voditelja obrade i izvršitelja obrade.

• Voditelj obrade je fizička ili pravna osoba, tijelo javne vlasti, agencija ili drugo tijelo koje samo ili zajedno s drugima određuje svrhe i sredstva obrade osobnih podataka.
• Izvršitelj obrade je fizička ili pravna osoba, tijelo javne vlasti, agencija ili drugo tijelo koje obrađuje osobne podatke u ime voditelja obrade.

Primarnu odgovornost za usklađenost s GDPR-om i za štetu koja proizlazi iz povrede Uredbe snosi voditelj obrade. On mora osigurati i biti u stanju dokazati da se obrada provodi u skladu s Uredbom. Izvršitelj obrade odgovoran je za štetu prouzročenu obradom samo ako nije poštovao obveze iz GDPR-a koje su posebno namijenjene izvršiteljima obrade ili ako je djelovao izvan zakonitih uputa voditelja obrade ili protivno njima. Ako je u istu obradu uključeno više voditelja ili izvršitelja obrade, ili i voditelj i izvršitelj, te su odgovorni za štetu, svaki od njih smatra se solidarno odgovornim za cjelokupnu štetu kako bi se osigurala učinkovita naknada ispitaniku.

U kontekstu odgovornosti, važna je i uloga Službenika za zaštitu podataka (DPO). DPO, ako je imenovan, izravno odgovara najvišoj rukovodećoj razini organizacije i ne smije primati nikakve upute od voditelja ili izvršitelja obrade u pogledu izvršenja svojih zadaća. Ova neovisnost i direktna linija odgovornosti signaliziraju da GDPR tretira zaštitu podataka kao strateško pitanje upravljanja, a ne isključivo kao operativni IT zadatak, dajući DPO-u autoritet potreban za učinkovit nadzor i savjetovanje.

B. Primjer: Što ako veliko poduzeće doživi curenje podataka ili ih neovlašteno koristi?

Curenje podataka ili njihova neovlaštena uporaba u velikom poduzeću može imati dalekosežne posljedice. Za pogođene pojedince to može značiti materijalnu štetu (npr. financijski gubitak) i nematerijalnu štetu (npr. krađa identiteta, diskriminacija, narušavanje ugleda, gubitak povjerljivosti osobnih podataka zaštićenih poslovnom tajnom).

Velika poduzeća koja prekrše GDPR mogu se suočiti s izuzetno visokim novčanim kaznama. Primjeri iz prakse uključuju kaznu od 22 milijuna eura izrečenu British Airwaysu zbog curenja podataka više od 400.000 kupaca, ili kaznu od 1.24 milijuna eura njemačkom zdravstvenom osiguranju AOK zbog nedostatka odgovarajućih tehničkih i organizacijskih mjera.

U slučaju povrede osobnih podataka, voditelj obrade dužan je bez nepotrebnog odgađanja, a po mogućnosti najkasnije u roku od 72 sata nakon saznanja o povredi, obavijestiti nadležno nadzorno tijelo (u Hrvatskoj je to Agencija za zaštitu osobnih podataka – AZOP). Ako povreda vjerojatno može prouzročiti visok rizik za prava i slobode pojedinaca, voditelj obrade mora bez nepotrebnog odgađanja obavijestiti i te pojedince.

C. Primjer: Što ako država ne osigura sigurnost osobnih podataka?

Država i tijela javne vlasti također podliježu odredbama GDPR-a kada obrađuju osobne podatke građana. To uključuje obvezu imenovanja DPO-a za većinu tijela javne vlasti. Države članice imaju mogućnost unutar nacionalnog zakonodavstva uvesti dodatne uvjete i ograničenja za obradu posebnih kategorija osobnih podataka, kao što su genetski, biometrijski ili zdravstveni podaci, ali uvijek unutar okvira GDPR-a.

Kada državna tijela čuvaju osobne podatke, moraju poštivati načelo ograničenja pohrane, čak i kada postoje zakonski propisi o čuvanju arhivskog gradiva. To znači da se podaci ne smiju čuvati duže nego što je nužno za svrhu za koju su prikupljeni.

Država ima dvostruku ulogu: kao voditelj obrade za podatke koje sama prikuplja i obrađuje (npr. u sustavima porezne uprave, zdravstva, pravosuđa) te kao zakonodavac koji može dodatno specificirati pravila zaštite podataka na nacionalnoj razini, uvijek poštujući nadređenost GDPR-a. Nadalje, obveza države da osigura sigurnost osobnih podataka proteže se i na zaštitu od zahtjeva trećih zemalja za pristupom podacima koji nisu u skladu s pravom EU. Presude sudova ili odluke administrativnih tijela trećih zemalja kojima se nalaže prijenos ili otkrivanje osobnih podataka nisu provedive unutar EU, osim ako se temelje na međunarodnim sporazumima, poput ugovora o uzajamnoj pravnoj pomoći. Time se naglašava načelo suvereniteta podataka unutar europskog pravnog prostora.

D. Primjer: Što ako pojedinac dovede do povrede tuđih osobnih podataka?

GDPR primarno regulira voditelje i izvršitelje obrade, no štiti pojedince i od zlonamjernih radnji drugih pojedinaca. Zlouporaba tuđih osobnih podataka može se dogoditi radi nanošenja štete (npr. povreda ugleda i časti, povreda privatnosti), počinjenja prijevare ili pribavljanja protupravne koristi, primjerice sklapanjem lažnih ugovora na tuđe ime.

Krađa identiteta je jedan od najozbiljnijih oblika takve zlouporabe i predstavlja kazneno djelo. Primjeri uključuju otvaranje lažnih profila na društvenim mrežama s tuđim podacima i objavljivanje neprimjerenog sadržaja, ili korištenje tuđih podataka za sklapanje ugovora s teleoperaterima. Pojedinac koji počini takvo djelo može snositi i građanskopravnu odgovornost za naknadu štete oštećenoj osobi, kao i kaznenopravnu odgovornost.

Osobe čiji su podaci zloupotrijebljeni imaju prava prema GDPR-u, kao što su pravo na brisanje ili ispravak podataka koje mogu ostvariti prema organizacijama koje su možda omogućile tu zlouporabu (npr. nisu adekvatno zaštitile podatke pohranjene na svojim serverima). Digitalno nasilje koje uključuje zlouporabu osobnih podataka, poput stvaranja lažnih profila, predstavlja moderni oblik povrede privatnosti i časti s potencijalno teškim psihološkim i socijalnim posljedicama za žrtve. Ovo naglašava važnost edukacije o odgovornom ponašanju u digitalnom svijetu i posljedicama zlouporabe tuđih podataka.

IV. Vaša prava i pravna zaštita: Koraci nakon povrede osobnih podataka

Ako sumnjate da je došlo do povrede vaših osobnih podataka ili da se vaši podaci obrađuju nezakonito, GDPR vam pruža niz prava i mehanizama pravne zaštite.

A. Prijava Agenciji za zaštitu osobnih podataka (AZOP)

Kao što je ranije spomenuto, voditelji obrade imaju obvezu obavijestiti AZOP o povredi osobnih podataka unutar 72 sata od saznanja, osim ako nije vjerojatno da će povreda prouzročiti rizik za prava i slobode pojedinaca. Obavijest AZOP-u treba sadržavati opis prirode povrede, kategorije i približan broj pogođenih ispitanika i evidencija podataka, kontakt podatke službenika za zaštitu podataka, opis vjerojatnih posljedica povrede te opis poduzetih ili predloženih mjera za rješavanje povrede.

Pojedinci koji smatraju da je došlo do povrede njihovih prava na zaštitu osobnih podataka mogu podnijeti zahtjev za utvrđivanje povrede prava AZOP-u. Zahtjev se može podnijeti osobno (usmeno na zapisnik), pisanim putem na adresu Agencije, putem online obrasca na web stranici AZOP-a, e-mailom ili faxom. Zahtjev mora biti razumljiv i potpun te sadržavati osobne podatke podnositelja zahtjeva (ime, prezime, OIB, adresa), detaljan opis povrede, dokaze koji potkrepljuju navode (npr. preslike dokumenata, korespondencija) te informaciju o tome je li prethodno kontaktiran voditelj obrade.³⁰ AZOP savjetuje da se prije podnošenja zahtjeva Agenciji pokuša ostvariti pravo izravnim obraćanjem voditelju obrade.

AZOP ima široke ovlasti, koje uključuju:

• Istražne ovlasti: Pravo na pristup svim osobnim podacima i svim informacijama potrebnim za obavljanje zadaća, provođenje istraga u obliku revizije zaštite podataka, pristup poslovnim prostorijama voditelja i izvršitelja obrade, uključujući opremu i sredstva za obradu podataka.
• Korektivne ovlasti: Izdavanje upozorenja, opomena, naloga voditelju ili izvršitelju obrade da usklade postupke obrade s odredbama Uredbe, nalaganje brisanja podataka, ograničavanje ili zabrana obrade, te izricanje upravnih novčanih kazni koje mogu biti vrlo visoke.
• Savjetodavne ovlasti: Davanje savjeta voditelju obrade u skladu s prethodnim postupkom savjetovanja te izdavanje mišljenja.

AZOP djeluje kao ključni mehanizam za provedbu GDPR-a u Hrvatskoj, ne samo reaktivno rješavanjem prijava, već i proaktivno kroz nadzor i savjetovanje. Kratak rok od 72 sata za prijavu povrede od strane voditelja obrade stavlja značajan pritisak na organizacije da imaju uspostavljene brze i učinkovite interne procedure za detekciju, procjenu rizika i izvještavanje o incidentima, naglašavajući time presudnu važnost stalne pripravnosti.

B. Mogućnost sudskih tužbi

Prema članku 82. GDPR-a, svaka osoba koja je pretrpjela materijalnu ili nematerijalnu štetu zbog kršenja ove Uredbe ima pravo na naknadu od voditelja obrade ili izvršitelja obrade za pretrpljenu štetu.

Primjeri nematerijalne štete mogu uključivati strah od moguće buduće zlouporabe osobnih podataka, gubitak kontrole nad podacima ili pretrpljenu emocionalnu štetu, pod uvjetom da je takva šteta stvarna i dokaziva. Sudska praksa Suda Europske unije (CJEU), primjerice u predmetu C-340/21, potvrdila je da strah od buduće zlouporabe osobnih podataka može predstavljati nematerijalnu štetu koja daje pravo na naknadu, pod uvjetom da ispitanik dokaže da je taj strah utemeljen s obzirom na okolnosti slučaja i da je pretrpio stvarnu i izvjesnu emocionalnu štetu. Važno je napomenuti da GDPR ne postavlja prag ozbiljnosti štete koji bi morao biti dosegnut da bi se ostvarilo pravo na naknadu, no dokazivanje postojanja stvarne štete ključno je za uspjeh tužbenog zahtjeva.

Sudski postupak za ostvarivanje prava na naknadu štete vodi se pred sudovima koji su nadležni prema pravu države članice. Protiv rješenja AZOP-a žalba nije dopuštena, ali se tužbom može pokrenuti upravni spor pred nadležnim upravnim sudom. Ova mogućnost sudske revizije odluka AZOP-a osigurava dodatnu razinu pravne kontrole i zaštite prava kako za ispitanike tako i za voditelje obrade, čime se jača vladavina prava u području zaštite podataka.

Ispitanici također imaju pravo usprotiviti se donošenju odluka koje se temelje isključivo na automatiziranoj obradi, uključujući izradu profila, ako takve odluke proizvode pravne učinke koji se na njih odnose ili na sličan način značajno na njih utječu, osim ako je odluka nužna za sklapanje ili izvršenje ugovora, dopuštena pravom Unije ili države članice, ili se temelji na izričitoj privoli ispitanika. U tim slučajevima, ispitanik ima pravo zatražiti ljudsku intervenciju, izraziti svoje stajalište i osporiti odluku.

Pravo na naknadu nematerijalne štete, koje uključuje i “strah od moguće buduće zlouporabe” osobnih podataka, značajno proširuje opseg odgovornosti voditelja i izvršitelja obrade. Ovo potencijalno može dovesti do povećanja broja i vrijednosti tužbenih zahtjeva, čineći prevenciju povreda osobnih podataka još kritičnijom komponentom poslovanja i upravljanja rizicima.

V. Zaključak

Zaštita osobnih podataka u sve kompleksnijem digitalnom svijetu predstavlja kontinuirani izazov, ali i imperativ za sve dionike – pojedince, poduzeća i državna tijela. Kao što je ovaj pregled pokazao, rizici od povrede sigurnosti osobnih podataka su brojni i raznoliki, a metode napada postaju sve sofisticiranije, često ciljajući ljudski faktor kao najslabiju kariku.

Opća uredba o zaštiti podataka (GDPR) pruža snažan pravni okvir i postavlja jasna načela za obradu i zaštitu podataka. Međutim, sama Uredba nije dovoljna ako se ne provodi dosljedno i ako ne postoji visoka razina svijesti o važnosti privatnosti. Odgovornost leži na svima:

• Pojedinci moraju biti proaktivni u zaštiti vlastitih podataka, koristeći alate i znanja koja su im na raspolaganju te poznavajući svoja prava.
• Mala poduzeća trebaju usvojiti pragmatičan pristup, fokusirajući se na temeljne mjere zaštite i edukaciju zaposlenika, proporcionalno rizicima s kojima se suočavaju.
• Velike korporacije moraju implementirati sveobuhvatne sustave upravljanja zaštitom podataka, uključujući formalne procese, dodijeljene odgovornosti i napredne tehničke mjere.
• Državna tijela imaju dvostruku ulogu – kao voditelji obrade podataka građana i kao kreatori nacionalnog zakonodavnog okvira koji nadopunjuje GDPR.

Mehanizmi pravne zaštite, od prijave nadzornom tijelu poput AZOP-a do mogućnosti sudskih tužbi za naknadu štete, osiguravaju da se prava ispitanika mogu ostvariti, a odgovorni za povrede sankcionirati.

U konačnici, zaštita osobnih podataka nije jednokratni zadatak, već kontinuirani proces koji zahtijeva suradnju, odgovornost, stalno učenje i prilagodbu novim prijetnjama i tehnologijama. Samo kroz zajednički angažman i poštivanje temeljnih načela privatnosti možemo se nadati sigurnijem digitalnom okruženju za sve. Kontinuirana edukacija i oprez ostaju najbolja prevencija u svijetu gdje su naši osobni podaci neprestano izloženi.

U slučaju da trebate odvjetnika za zaštitu osobnih podataka javite nam se na:

info@odvjetnik-bistrovic.hr