Općine su, ma kako god bile male, vrlo kompleksne po pitanju aktivnosti obrada osobnih podataka i opsega osobnih podataka koje obrađuju o svojim sumještanima, podnositeljima zahtjeva za raznim javnim uslugama i potporama iz programa koje općine i gradovi osiguravaju svojim sugrađanima, programa pomoći starijima, nemoćnima i socijalno ugroženima te obiteljima s djecom, iz pružanja javnih komunalnih usluga kao npr. odvoz komunalnog otpada ili održavanje groblja ili kroz aktivnosti prilikom osnivanja dječjih vrtića ili sufinanciranja škola na svom području ili školskog pribora učenicima pa sve do videonadzora javnog prostora na pojedinim lokacijama.
Općine su po našem nemalom iskustvu kompleksnije od regionalnih korporacija kad je u pitanju obrada osobnih podataka.
A kako općine stoje s GDPR usklađenošću? Bacili smo pogled na web stranice podosta njih.
Čast rijetkim općinama kao izuzecima koje su ozbiljno odlučile investirati u zaštitu osobnih podataka, ali velika većina pregledanih web stranica općina otkriva stanje:
- Nema objavljenih obavijesti ili politika zaštite osobnih podataka kojima bi se javnosti objasnilo kako se postupa s osobnim podacima i koja GDPR prava su osigurana
- Nema objavljenih podataka o službenicima za zaštitu podataka, a tamo gdje su objavljeni radi se o članovima jedinstvenog upravnog odjela općine koji ionako u svom području utvrđuju načine i svrhe obrade pojedinih osobnih podataka pa samim time ulaze u područje sukoba interesa, nedozvoljenog prema GDPR-u
- Neke općine objavile su umjesto Politike privatnosti svoje pravilnike o zaštiti osobnih podataka, prema onim šprancama iz 2018., a ima i slučajeva da linkovi na njih ne rade jer izgleda nitko niti ne provjerava dostupnost takvih informacija svih ovih godina
- Ako se i spominju teme zaštite osobnih podataka, redovito se spominje da je temeljni propis u tom području Zakon o provedbi Opće uredbe o zaštiti podataka, a ponekad i Zakon o zaštiti osobnih podataka iz 2003. zadnji put izmijenjen 2012. GDPR se kao temeljni propis ne spominje baš nešto.
- Miješaju se termini zaštite osobnih podataka i prava na pristup informacijama, pri čemu je razrađeno samo ovo zadnje područje
- Privole se traže za sve svrhe obrada bez obzira na svrhu prikupljanja osobnih podataka, što je jako pogrešno s obzirom da općine praktički sve obrade osobnih podataka provode temeljem pravnih obveza i u okviru izvršavanja zadaća od javnog interesa i službenih ovlasti temeljem brojnih propisa
Naravno, kad fizički posjetimo prostorije općina, lako se mogu primijetiti velike količine pohranjene dokumentacije s obzirom na obveze zadržavanja iste, često i trajno, s obzirom na rokove utvrđene vlastitim pravilnicima o upravljanju arhivskim i dokumentarnim gradivom.
Izazov je u takvim okolnostima osigurati traženu razinu informacijske sigurnosti s obzirom na fluktuaciju posjetitelja prostora i ograničenost proračunskih sredstava za takve svrhe, dok je pitanje kibernetičke sigurnosti zasigurno na trajnom testiranju kad govorimo o programskim rješenjima za računovodstvo, javne usluge ili za uredsko poslovanje s naglaskom na urudžbiranje i arhiviranje.
Prema članku 47. Zakona o provedbi Opće uredbe o zaštiti podataka općinama se ne može izreći upravna novčana kazna za povrede tog zakona i GDPR-a.
Istovremeno je jedna jedinica lokalne samouprave u Italiji zbog izostanka obavijesti o imenovanju službenika za zaštitu podataka nadzornom tijelu kažnjena s 3.000 EUR jer ga zaista nije ni imenovala:
Stoga moramo reći da skidamo kapu onim rijetkim općinama u Hrvatskoj koje su, unatoč tome što nisu izložene kaznama, itekako investirale ozbiljna sredstva u GDPR usklađenost.
#gdprcroatia
