Agencija za zaštitu osobnih podataka (AZOP) pokrenula je postupak protiv Socijaldemokratske partije Hrvatske (SDP) zbog vođenja interne baze podataka o članovima i simpatizerima te stranke i sumnje u povredu osobnih podataka građana, potvrđeno je za tportal i u AZOP-u i u SDP-u
Neposredan povod istrazi otkriće je upravo tportala otprije mjesec dana, kada smo pisali o optužbama SDP-ovaca protiv svog bivšeg člana i bivšeg predsjednika splitskog ogranka Damira Barbira da je po odlasku iz stranke ukrao bazu s podacima čak 12 tisuća građana - članova, simpatizera i potencijalnih birača - te ih uoči parlamentarnih izbora nazivao i agitirao da glasaju upravo za njega.
Dijeljenje informacija
Više građana za tportal je potvrdilo da nemaju pojma kako su se uopće našli u spomenutoj bazi podataka, a neki se sjećaju da su jednom u prošlosti ispunili neku vrstu SDP-ove ankete - ali sasvim sigurno nisu dali privolu da se njihovi podaci godinama čuvaju i da se kontaktira s njima uoči svakih izbora, a posebno nisu dozvolili da se informacije o njima dijele izvan te stranke.
Obrađivanje osobnih podataka građana strogo je regulirano europskom uredbom koju je Hrvatska doslovno ugradila u svoje zakonodavstvo, a za kršenje pravila predviđene su drakonske kazne.
'Nadzorno postupanje nad SDP-om (Socijaldemokratska partija Hrvatske) je u tijeku te će se isto provesti i nad ostalim subjektima o kojima je izvještavano u medijima da su uključeni u možebitnu povredu osobnih podataka', potvrdili su iz Agencije za zaštitu osobnih podataka za tportal. Iz njihovog odgovora može se zaključiti da će uskoro provjeriti i postupke spomenutog Damira Barbira, a koji kao kandidat stranke Centar na petom mjestu zajedničke liste u Desetoj izbornoj jedinici na koncu nije uspio izboriti saborski mandat.
'Da, postupak je pokrenut. Dok on traje, nemamo namjeru komentirati ga', rekao nam je poslovni direktor SDP-a Igor Cigula.
'Političke stranke i drugi sudionici izbornih postupaka (nezavisne liste i dr.) kao voditelji obrade nisu u obvezi Agenciji dostaviti informaciju o uspostavi takvih baza birača ili simpatizera, već se na iste primjenjuju sve relevantne odredbe Opće uredbe o zaštiti podataka, odnosno za svako formiranje baze podataka koja sadržava podatke o biračima/simpatizerima dužni su dokazati svrhu i pravnu osnovu iz članka 5. i 6. Opće uredbe o zaštiti podataka, kao i zadovoljenje jednog od uvjeta iz članka 9. Opće uredbe o zaštiti podataka, s obzirom da se podaci o političkom uvjerenju smatraju posebnom kategorijom podataka i uživaju posebnu zaštitu. Isti su također u obvezi poduzeti odgovarajuće organizacijske i tehničke mjere zaštite iz članka 25. i 32. Opće uredbe o zaštiti podataka kako bi takve baze podataka sačuvali od bilo kakve neovlaštene izmjene, uništenja, uvida neovlaštene osobe i slično, a sve u skladu s načelom sigurnosti osobnih podataka te osiguravanja njihovog integriteta, povjerljivosti i dostupnosti', odgovor je AZOP-a koji detaljno pojašnjava obaveze političkih stranaka.
vezane vijesti
Prevedeno, baze podataka o članovima i simpatizerima mogu imati - ali moraju se držati strogih pravila o GDPR-u i spriječiti bilo kakve zloupotrebe i njihovo neovlašteno korištenje. Između ostalog, moraju imati imenovanog službenika za obradu osobnih podataka te od svih osoba čiji se podaci nalaze u bazi dobiti izričitu privolu za korištenje njihovih podataka u točno određene svrhe.
Kako se pune baze podataka
Javna je tajna to da sve velike hrvatske političke stranke imaju baze podataka koje koriste uoči svakih izbora - tada se najčešće organiziraju veliki pozivni centri iz kojih se pozivaju potencijalni birači.
Osim toga, javna je tajna i to da velika većina stranaka - premda na svojim službenim stranicama imaju odjeljke posvećene zaštiti privatnosti - svoje baze podataka puni na, u najmanju ruku, dvojben način. Primjerice, u njih unose osobne podatke građana koji su jednom u prošlosti dali potpis za kandidacijsku listu, pa čak i građana s kojima su nasumično kontaktirali telefonom - a nisu im odmah spustili slušalicu, nego pokazali barem minimalnu dozu zainteresiranosti.
'Ići na izbore bez pozivnog centra je kao zaigrati utakmicu bez prethodnog treniranja', slikovito je za tportal opisao bivši član velike političke stranke. On objašnjava da se u tim centrima angažiraju članovi stranke, a katkad i studenti, čiji je zadatak u nekoliko dana ili tjedana obaviti na tisuće telefonskih poziva. Katkad se baza podataka čak podijeli među aktivistima te oni njene dijelove odnose kući.
U susjednoj Srbiji prošlog tjedna čak su izbili neredi upravo zbog pozivnih centara, koje vladajući SNS Aleksandra Vučića masovno koristi, što se označava kao značajan povod za proglašavanje neregularnosti izbora. No situacija je ipak drugačija od one u Hrvatskoj, jer Vučić kao bazu podataka evidentno koristi službeni popis birača, a vodi i svoje paralelne liste o zaposlenima u lokalnoj ili javnoj upravi, javnim poduzećima i slično - dakle zapravo koristi državnu infrastrukturu i svoj povlašteni položaj.
U hrvatskom slučaju zasad nema naznaka za tako nešto, ali ima naznaka toga da se baze podataka prikupljaju i koriste suprotno europskim i hrvatskim propisima o zaštiti osobnih podataka. Za kontrolu toga zadužen je AZOP, iz kojeg za tportal kažu da su povodom nedavno održanih parlamentarnih izbora zaprimili 'svega nekoliko upita' vezanih uz povredu osobnih podataka, ali nemaju informacija da je bilo kršenja u značajnijem opsegu.
Kolike su kazne
U Državnom izbornom povjerenstvu (DIP), koje nadzire kompletan izborni proces, za tportal su potvrdili da pozivni centri po zakonu nisu sporni, no može biti sporan način na koji se koriste osobni podaci građana - a za taj dio nadležan je upravo AZOP:
U izvještajima o financiranju kampanje, objašnjavaju u DIP-u, ne postoji obaveza deklariranja pozivnih centara niti njihovih troškova - pa se oni uglavnom financiranju iz sredstava namijenjenih, primjerice, 'najmu prostora' ili 'troškovima mobitela i komunikacijskih usluga'.
Zasad je, dakle, evidentno to da bi se na udaru mogao naći jedino SDP eventualno zbog loše zaštite podataka, kao i Damir Barbir jer ih je (navodno) zloupotrijebio. Kolike im kazne prijete, tportal je provjerio kod stručnjaka Duje Kozomare, osnivača i direktora tvrtke Consent, specijalizirane upravo za zaštitu osobnih podataka i GDPR.
'Uredba ne postavlja razliku između udruga, tvrtki, političkih stranaka i bilo kojih drugih organizacija - za sve vrijede jednaka pravila. Sama visina eventualne kazne ovisi o opsegu kršenja osobnih podataka i potencijalnim rizicima koji su nastali za prava i slobode građana', kaže Kozomara za tportal.
'Upravne novčane kazne kreću se u iznosu do 20 milijuna eura ili, u slučaju poduzetnika, do četiri posto ukupnog godišnjeg prometa na svjetskoj razini za prethodnu financijsku godinu, ovisno o tome što je veće. Prilikom izricanja kazne promatra se i proračun same organizacije jer njena svrha nije dovesti do bankrota, nego da posluži kao dovoljno upozorenje da se slični propusti u budućnosti ne ponavljaju', objašnjava Kozomara.
U Hrvatskoj je dosad najveća kazna za kršenje Opće uredbe o zaštiti podataka koncem prošle godine izrečena agenciji za naplatu potraživanja EOS Matrix te je iznosila 5,47 milijuna eura.
