Opća uredba o zaštiti osobnih podataka (GDPR) u cijelosti je obvezujuća i primjenjuje se izravno u svim državama članicama EU od 25. svibnja 2018., a moraju je poštivati svi subjekti koji obrađuju osobne podatke fizičkih osoba u Uniji te u određenim slučajevima i subjekti izvan nje. “Dakle, iznimaka u smislu dodatnog perioda prilagodbe nema, izričit je ravnatelj Agencije za zaštitu osobnih podataka (AZOP) Anto Rajkovača.

“Uredba nije samo izazov za voditelje i izvršitelje obrade, niti predstavlja samo jasna i veća prava za pojedince, već značajno proširuje ovlasti AZOP-a kao nadzornog tijela u okviru čega su istražne, korektivne i savjetodavne ovlasti”, kaže Rajkovača.

Kako bi hrvatske tvrtke i državne institucije započele implementaciju Uredbe i uskladili s njome svoje poslovanje, Agencija svim raspoloživim resursima, tvrdi, omogućava prijenos znanja o tome što donosi modernizacija zakonodavstva o zaštiti osobnih podataka. U prvih 9 mjeseci održano je više od 30 savjetodavnih aktivnosti na kojima je sudjelovalo gotovo 2000 predstavnika voditelja obrade i službenika za zaštitu osobnih podataka. I HUP intenzivno sudjeluje u pripremi svojih članova. U suradnji s AZOP-om organizator je niza radionica, a nakon današnje u Zagrebu slijede i one u regionalnim uredima HUP-a u Rijeci, Osijeku, Splitu i Varaždinu. No, prema saznanjima s kojima HUP raspolaže, o procjenama troškova prilagodbe još se ne može govoriti. Tema je to rasprave i na razini EU zato što su troškovi provedbe, kao i zaprijećene kazne za nepoštivanje iznimno visoki, navodi direktorica Odjela za zakonodavstvo i pravne poslove HUP-a Admira Ribičić.

Ozbiljnija poduzeća u vlasništvu stranih grupacija koja imaju visoku izloženost, primjerice ICT sektor i financijska industrija, u pripreme su krenuli od usvajanja Uredbe u svibnju 2016., no problem je čini se velik broj ostalih poduzeća jer se u pravilu ne bave, ili se tek počinju baviti ozbiljnije ovim pitanjem. Nije jasno jesu li njihova vodstva svjesna rizika povreda, odnosno visokih kazni za povredu Uredbe. Novost u odnosu na naš Zakon o zaštiti osobnih podataka, prema Mazarsovom stručnjaku Ivanu Karloviću, predstavljaju mjerila za utvrđivanje kazni i sama svrha, pa ovisno o povredi kojeg članka Uredbe se radi, prijete one blaže do 10 milijuna EUR-a ili 2% godišnjeg globalnog prihoda, a za teže povrede do 20 milijuna EUR-a ili 4% godišnjeg prihoda, ovisno što je više.

“Naglašavam da sankcije ne određuje samo nadzorno tijelo u RH, već to može biti i nadzorno tijelo bilo koje članice EU u kojoj društvo posluje ili za ozbiljnije prekršitelje čak EK direktno kao u nedavnom slučaju Facebooka”, kaže Karlović.