GDPR, odnosno Opća uredba o zaštiti podataka između ostalih pravni i fizičkih osoba, odnosi se i na tijela javne vlasti. Ona velikom većinom, ovisno o spektru svojeg djelovanja raspolažu sa popriličnom količinom osobnih podataka građana, često i podataka koji su osjetljive prirode. Iz toga proizlazi da se od njih također očekuje da svoje djelovanje usklade sa Uredbom, štoviše upravo stoga što su tijela javne vlasti i predstavnik državnog autoriteta.
Primjena
Uspoređujući odnos uredbe prema tijelima javne vlasti, lako je uočiti nekoliko razlika od uobičajene prakse. Kao prvo uredba je ostavila državnim zakonodavcima svake članice da definiraju što su to uopće tijela javne vlasti. To je rezultiralo time da postoje određene razlike između pojedinih država članica i potencijalno moglo izazvati probleme. U Hrvatskoj popis tijela javne vlasti je jako širok pojam, a odnosi se očito na sve i svašta.
Dodatni problem je i postojanje sličnih termina kod kojih dolazi do preklapanja. Prema Zakonu o provedbi Opće uredbe o zaštiti podataka relevantni su pojmovi: tijela javne vlasti i pravne osobe koje obavljaju javnu službu ili pravne osobe s javnim ovlastima. U smislu tog zakona tijela javne vlasti su tijela državne uprave i druga državna tijela, jedinice lokalne i područne (regionalne) samouprave. Pravne osobe s javnim ovlastima i pravne osobe koje obavljaju javnu službu su uža kategorija.
Osnove za obradu podataka
Pitanje privole za prikupljanje i upotrebu podataka koja kod građana, odnosno fizičkih i pravnih osoba koje nisu povezane s vlašću, ima veliku važnost, kod tijela javne vlasti je ograničeno. GDPR im naime dopušta da se koriste privolom, ali će ga rijetko moći koristiti. Korijen problema je u tome što neravnoteža u odnosu između vlasti i građana koči slobodno davanje privole. Građani zbog podčinjenosti u odnosu na vlasti ne mogu slobodno odlučivati.
Jedna od stvari koja je restriktivnija kad je riječ o tijelima javne vlasti jest i primjena legitimnog interesa kao temelja za obradu podataka. To znači da bi tijelo trebalo razmotriti i druge razloge za obradu podataka, odnosno traži se bolje opravdanje za obradu, od generičkog pravnog interesa.
Posebnosti
Možda najbitnija stvar na koju bi tijela javne vlasti svakako trebala obratiti pažnju jest njihova obveza da imenuju službenika za zaštitu podataka (DPO). Dok je kod privatnih tvrtki i građana imenovanje službenika opcionalno, kod tijela javne vlasti koja obrađuju osobne podatke ono je obavezno. Treba obratiti pozornost na to da GDPR na DPO-e svaljuje dosta obaveza. Odgovorni su za informiranje i savjetovanje voditelja odnosno izvršitelja obrade i njihovih zaposlenika o dobroj praksi i implementaciji propisa iz GDPR-a. DPO-i će također nadzirati procjene rizika i obradu podataka ovisno o njihovoj povjerljivosti.
Naravno, DPO-i moraju vršiti konstantan nadzor kako bi na vrijeme uočili eventualne propuste ili slabosti u postupcima obrade. Pri tome smiju vršiti revizije, edukacije osoblja i razne druge aktivnosti podizanja svijesti o zaštiti podataka. Nije zanemariva ni njihova savjetodavna funkcija. Tijelo ima izbor hoće li opteretiti nekog svojeg djelatnika dodatnim dužnostima ili će zatražiti od nekog vanjskog pružatelja usluga da preuzme tu ulogu. Uz to je bitno uzeti u obzir sve elemente od cijene, do utroška, odnosno uštede vremena koji se ostvaruju ovom ili onom metodom.
Uloga tijela javne vlasti
U očima uredbe, ali i cjelokupnog pravnog nasljeđa Europske Unije (acquis communautaire), tijela imaju posebnu ulogu kad je riječ o provedbi pravnih odredbi. Naime, budući da se takva tijela često nalaze u povlaštenom i nadređenom položaju prema građanima i općenito pravnim i privatnim osobama, od njih se očekuje da posebnu pozornost obrate na primjenu pravnih propisa. Kao tijela koja imaju javnu svrhu i misiju koja je u skladu s javnim interesom obvezan su na strogo poštivanje i provođenje propisa. Svojom besprijekornom praksom i dobrim primjerom, trebala bi imati pozitivan utjecaj na građane, povećati povjerenje građana u vladavinu zakona, te u konačnici navesti ih da slijede uzor tijela javne vlasti.
Zaključak
Nije zanemarivo da bi se tijela koja se nisu uskladila s GDPR-om, mogla naći na udaru privatnih tužbi građana koji zahtijevaju zaštitu svojih prava. Svakog dana, sa sve većom dostupnošću izvora znanja informacija, građani su sve više svjesni svojih prava i pronalaze načine da se za njih izbore, čak i na rubovima Europske Unije. Osim toga, iako tijela javne vlasti ne mogu biti novčano kažnjena prema Zakonu o provedbi Opće uredbe o zaštiti podataka, još uvijek postoji osobna odgovornost čelnika takvih tijela, te oni itekako mogu na svojoj koži osjetiti posljedice neprovođenja odredbe. Tijela javne vlasti će se morati prilagoditi i provoditi pravne propise ili će snositi odgovornost za svoje poslovanje.