Ines Bolkovac, stručnjakinja za primjenu i implementaciju mjera zaštite osobnih podataka, ujedno i vlasnica tvrtke Feralis Grupa te predsjednica Hrvatskog centra za zaštitu podataka Feralis poznato je ime u poslovnom svijetu grada Rijeke.
Od trenutka kada je u javnosti progovorila o kršenju prava o zaštiti osobnih podataka zaposlenika u javnom sektoru među kojima su i Dubrovčani, započela je njena rasprava s našom sugrađankom Viktorijom Knežević. Naime, Knežević je pokrenula portal ocijenime.hr na kojoj je lista svih javnih službenika u ukupno 21 hrvatski grad. Rasprava, međutim, nije stala samo na medijskom prepucavanju već i podizanju kaznenih prijava.
S Ines Bolkovac smo razgovarali o granici ‘prava javnosti na informaciju’ i zadiranja u ta prava kao i o najčešćim greškama u provedbi GDPR-a. Objasnila je također zbog čega je kazneno prijavila Viktoriju Knežević, zašto podaci zaposlenika nisu javni podatak, ali i upozorila na štetu koja nastaje ocjenjivanjem zaposlenika, u ovom slučaju onih zaposlenih u javnom sektoru.
Od listopada prošle godine vodite svojevrsnu pravnu bitku s Dubrovkinjom Viktorijom Knežević koja je pokrenula portal ocijenime.hr? U čemu je zapravo problem?
Problem je nastao jer smatram da su na portalu ocjenime.hr objavljena imena i prezimena zaposlenih u gradskim upravama u 21 gradu bez valjane zakonite osnove čime se dovodi do povrede osobnih podataka. Ovim se omogućilo nekontrolirano ocjenjivanje i komentiranje tako objavljenih podataka što može dovesti do raznih zloupotreba, a tim i do ugrožavanja privatnog i poslovnog života osoba. Naravno, sve je to napravljeno bez pristanka i informiranosti tih istih osoba.
Naime, ovim podaci o zaposlenima u javom sektoru javno su dostupni podaci. To znači da svatko ima pravo zatražiti i dobiti određene informacije, između ostaloga, primjerice, imamo pravo znati na kojem radnom mjestu je netko zaposlen, na temelju čega je zaposlen, osnovne podatke o visini primanja i drugo. Međutim, to što imamo pravo uvida i znati takve podatke, ne znači da smo time dobili i pravo korištenja istih podataka. Da bi tako javno dostupne podatke mogli i koristiti potrebno je da su istovremeno ‘OTVORENI PODACI ZAPONOVNUUPOTREBU’, a što podaci o zaposlenim u javnom sektoru nisu niti mogu biti. Stoga, da bi se imena i prezimena zaposlenih u gradskim upravama mogla koristiti na portalu ocjenime.hr potrebno je da su svi dali svoj jasni, nedvosmisleni i dokazivi pristanak te pri tome dobili sve potrebne obavijesti i informacije.
Je li se manipuliralo s informacijom da je Povjerenik za informiranje dao suglasnost, a ne mišljenje? I Vi ste se obratili Povjereniku, koje je njegovo tumačenje za objavljivanje imena zaposlenika na jednom portalu?
Tako je. Smatram velikim problemom što je udruga Prospectus, upravama gradova i u javnost, iznosila neistinu tvrdeći kako je Povjerenik za informiranje RH dao svoju suglasnost za korištenje njihovih podataka na portalu ocjenime.hr. Povjerenik za informiranje dostavio je Udruzi mišljenje, a ne suglasnost, koje se odnosilo samo i isključivo na pravo uvida u takve podatke bez ikakvog prava daljnjeg korištenja. Međutim, s obzirom na navode koje je iznosila predsjednica Prospectusa Viktorija Knežević, a koja je po profesiji odvjetnica, smatrala sam da možda samo ja osobno nisam upoznata s takvom mogućnošću Povjerenika za informiranje i ne raspolažem sa svim informacijama. Stoga sam upitom kontaktirala Povjerenika Zorana Pičuljana i tražila pojašnjenje je li dao takvu svoju suglasnost. Naime, Povjerenik za informiranje RH decidirano navodi da nikada nije dao suglasnost udruzi Prospectus za korištenje osobnih podataka zaposlenih u javnom sektoru na portalu ocjenime.hr niti da bi ikad takvu suglasnost mogao dati jer bi to bilo protivno zakonskoj regulativi Republike Hrvatske.
Zbog toga ste i podignuli kaznenu prijavu protiv Viktorije Knežević?
Da, iz tog razloga. Naime, dobivenim službenim odgovorom od Povjerenika za informiranje RH aludiralo nam se da se ne radi samo o povredi osobnih podataka temeljem Opće uredbe o zaštititi osobnih podataka i Zakona o provedbi opće uredbe. Riječ je i o kaznenom djelu nedozvoljene upotrebe osobnih podataka za koju je predviđena kazna zatvora do tri godine i stoga mi je kao predsjednici Hrvatskog centra za zaštitu podataka Feralis te kao građaninu ove zemlje bila dužnost prijaviti sumnju na kazneno djelo.
Međutim, Knežević je protiv Vas podnijela kaznenu prijavu koja je odbačena…
Knežević me je prije podnošenja kaznene prijave putem e-maila pokušala zastrašiti raznim lažnim prijavama jer, pisala mi je, ona odvjetnica i da ona zna kako mi može uništiti život ako ne postupim po njenom traženju. Naravno, ja nisam postupila po njenom traženju te je ona podnijela kaznene prijave kojima je i prijetila. Njene prijave DORH je odmah odbacio. Takvo ponašanje predsjednice udruge Prospectus i odvjetnice Viktorije Knežević prijavila sam nadležnim tijelima i Odvjetničkoj komori koji će dalje postupiti u skladu sa zakonskom i drugom regulativom.
Dio javnosti o stranici ocijenime.hr dao je pozitivno mišljenje jer navode ‘potiče na bolji rad službenika i namještenika’. Može li jedna takva ideja biti provediva na način da ne krši ničija prava ili je pak isključivo riječ o tome da poslodavac ima u rukama alate kojim bi nagradio ili kaznio svoje zaposlenike?
Ovakvim načinom smatram da se ne utječe na njihov bolji rad nego da ih se potiče čak na još veći otpor i nezadovoljstvo. Istodobno ih se naziva ‘uhljebima’ i stavlja u vrlo negativne konotacije prikazujući ih kao osobe koje ne zaslužuju biti na tim radnim mjestima, koje su lijene, neljubazne i samo čekaju da prođe njihovo radno vrijeme te dobiju svoju plaću.
Pri tome dobar dio onih koji isto podržava i tako komentira, voljeli bi ili nastoje doći na njihova radna mjesta te pri tome nisu svjesni, s obzirom na veličinu javnog sektora, kolika je vjerojatnost da kad govore o ‘uhljebu’ pričaju o članu nečije obitelji, rodbini, prijatelju, a za kojeg, vjerujemo, da tako ne misle niti bi voljeli da se o njenima na takav ili sličan način raspravlja, a najmanje krše njegova prava i pri tome zarađuje.
Neosporno je da postoje problemi. Na njima se treba raditi, ali ne na ovakav način i zasigurno ne na način da se pri tome krše njihova ili bilo čija prava samo zato jer nisu ‘omiljena’ kategorija društva. U protivnom, koji je smisao pravnog sustava i kakva se slika šalje društvu?
Koja je granica između ‘prava javnosti na informaciju’ i zadiranja u ta prava? Je li tu granicu uopće moguće odrediti?
‘Pravo na javnost informacije’ znači da vi tu informaciju imate pravo znati te da vam mora biti dostupna, ali to vam ne daje pravo da je koristite u poslovne svrhe.
Da je riječ o dužnosnicima, a ne službenicima i namještenicima, bila bi drukčija situacija?
Dužnosnici su jedna, dok su službenici i namještenici druga, odvojena kategorija i uživaju različita prava po pitanju javnosti njihovog rada. Dužnosnici se ne primaju u radni odnos i oni nisu zaposlenici već se imenuju na određenu funkciju. To su primjerice, predsjednik RH, članovi Vlade, zastupnici u Saboru, gradonačelnici, općinski načelnici i njihovi zamjenici, predsjednici i članovi uprava trgovačkih društava koji su u državnom vlasništvu i drugi. Na portalu ocjenime. hr njihov rad bi mogli komentirati i ocjenjivati.
Zašto tada pod ‘kršenje osobnih podataka’ ne spada i javno objavljivanje imovinskih kartica državnih dužnosnika?
Javna dostupnost imovinskih kartica dužnosnika propisana je zakonskom regulativom i stoga nema povrede prava po pitanju dostupnosti takvih osobnih podataka. Međutim, naglašavam da to što su podaci objavljeni i javno dostupni ne daje za pravo da se ti podaci mogu koristiti u bilo koje svrhe.
Može li takve pojedince zaštititi GDPR?
GDPR štiti svih, međutim istodobno ga se i krivo shvaća. Naime, i prije GDPR imali smo Zakon o zaštiti osobnih podataka koji nam je osiguravao većinu prava. Međutim, samo mali broj građana bio s je time upoznat i ostvarivao ta prava. Općenito GDPR na svakodnevnoj razini nije donio baš neke revolucionarne promjene kako se to prikazuje. Iako ih nedvojbeno donio, međutim, da smo svi već postupali s postojećim zakonom i bili s njime usklađeni te promjene bi nam danas, na nekoj općoj razini, bile minorne.
Uskoro će se napuniti godina dana od stupanja na snagu zakona o GDPR-u. U kojoj se mjeri on provodi u Hrvatskoj i može li se već sada govoriti o nekim načelnim odstupanjima u provedbi?
U Hrvatskoj se kao i u svim EU zemljama one nastoji provoditi, iako se kod nas, u određenim slučajevima, to čini dosta nespretno. Mnoge tvrtke nisu još implementirale potrebne instrumente i mjere zaštite osobnih podataka, a dobar dio tvrtki koji je to i pokušao napraviti, napravio je s dosta propusta i na manjkav način. Tako smo imali situaciju da se za gotovo sve prikuplja privola pa čak i za izdavanje računa, ponuda ili sklapanje ugovora kojom se čak i kršio sam GDPR. No, vjerujem da smo na dobrom putu, iako će taj put još dugo biti popločan brojnim pogreškama, raznim krivim primjenama i tumačenjima, ali najbitnije je da se na tome radi i da je zaštita osobnih podataka svakim danom sve bolja.