Socijaldemokratska partija (SDP) posjeduje vlastitu bazu podataka i aplikaciju u kojoj se nalaze osobni podaci više desetaka tisuća hrvatskih građana, u mnogim slučajevima bez njihova znanja, pa time teško krši Opću uredbu o zaštiti podataka (GDPR) koja je u svibnju 2018. godine stupila na snagu u cijeloj Europskoj uniji te je ugrađena i u hrvatsko zakonodavstvo. Nacional je ekskluzivno dobio uvid u aplikaciju SDP ERP, u kojoj se evidentno drže brojni osobni podaci i onih hrvatskih građana koji nisu članovi stranke, što se lako može provjeriti nasumičnim kontaktiranjem osoba čija su imena ondje navedena, među kojima su čak i neki poznati hrvatski novinari. Također, po pregledu kategorija i rubrika SDP-ove aplikacije, lako je zaključiti da se radi o teškom kršenju privatnosti, za što su uredbom propisane globe do 20 milijuna eura ili 4 posto godišnjih prihoda. Ovdje se, naime, uz imena i prezimena, adresu, kontakt podatke i druge osnovne podatke građana nalaze i informacije jesu li eventualno članovi SDP-ovih organizacija poput Foruma mladih i Foruma žena, podržavaju li stranku na društvenim mrežama, traže li pomoć, sastanak ili prijevoz na biralište, žele li biti u biračkom odboru, žele li donirati ili volontirati i slično. U svjetlu kršenja propisa o zaštiti osobnih podataka za ovu stranku je posebno pogubna činjenica da u svojoj aplikaciji vodi evidenciju oko toga jesu li građani s popisa dali svoj potpis za predsjedničke kandidature Ive Josipovića 2014. godine i Zorana Milanovića 2019., kao i za kandidate na lokalnim izborima, a još skandaloznije zvuči podatak da je u bazi navedeno čak i tko je od građana sudjelovao u akciji ‘’Prevencijom do zdravlja’’. Vodi se i evidencija je li boravište građanina različito od prebivališta, ili se eventualno nalazi izvan Hrvatske, a ostavljena je i opcija da se zabilježi da je osoba preminula. Više pravnih stručnjaka za Nacional je protumačilo da se radi o eklatantnom kršenju GDPR-a.

‘’Osobni podaci građana smiju se prikupljati i koristiti isključivo za jasno navedene svrhe, poput podrške za kandidaturu nekih političara ili sudjelovanja u javnozdravstvenim akcijama, a smiju se čuvati točno onoliko koliko je potrebno da bi se ta svrha ispunila. Bilo kakvo naknadno korištenje, obrada ili čuvanje tih podataka mogući su samo ako građanin izričito pristane, i to u pisanom obliku, što nije slučaj kod, recimo, davanja potpisa za kandidata na izborima. Ovdje se radi o vrlo neobičnom i u najmanju ruku rubno zakonitom potezu jedne velike stranke i o tome bi trebalo provesti istragu’’, kazao je za Nacional jedan pravni stručnjak vrlo upućen u problematiku GDPR-a, ne želeći javno nastupati s obzirom na to da su ga u temu uputili upravo novinari. On naglašava da bi se po broju i razini kršenja prava na zaštitu osobnih podataka – odnosno po činjenici da se u spornoj stranačkoj aplikaciji nalaze deseci tisuća građana – vrlo lako moglo zaključiti da se radi o teškom kršenju odredbi GDPR-a.

U stranci su se aplikacijom SDP ERP po svemu sudeći služili kao alatom za kontaktiranje i motiviranje svojih potencijalnih birača. To se može zaključiti po činjenici da su prikupljeni podaci ondje ‘’upareni’’ s podacima iz Registra birača, kao i tome da se uz svako ime nalazi izbornik u kojemu se mogu označiti opcije ‘’glasao’’, ‘’nije glasao’’, ‘’kontaktiran’’ ili ‘’ne kontaktirati’’. Drugim riječima, SDP potpuno nezakonito vodi evidenciju o političkim preferencijama hrvatskih građana, bez njihova znanja i privole.

Po informacijama Nacionala, ova baza podataka formirana je u SDP-u prije najmanje pet godina, no neki podaci bili su dostupni još ranije i tada su tek digitalizirani i modificirani, kako bi im se jednostavnije pristupalo i lakše ih se koristilo. Dio sugovornika tvrdi da je u tom procesu sudjelovalo dvadesetak osoba. Znakovito je da aplikaciji može pristupiti vrlo ograničen broj osoba iz SDP-a uz korištenje vlastite lozinke, što znači da se ulazak u sustav po svemu sudeći bilježi i pamti, dok recimo izborni koordinatori stranke u deset izbornih jedinica imaju pravo pristupa isključivo podacima koji se odnose na njihovu jedinicu. Nacional je razgovarao se nekima od njih koji potvrđuju postojanje SDP ERP-a, ali pokušavaju objasniti da aplikacija ‘’nije bila user friendly’’, odnosno prilagođena korisniku. Stoga, tvrde oni, nisu koristili njene značajke kako bi na terenu doprli do potencijalnih birača. ‘’Baza podataka nije bila jednostavna za korištenje ni informatički pismenim osobama, a kamoli manje vičnima kada se radi o novih tehnologijama. Vjerujem da su informacije o njenom postojanju već bile objavljene u javnosti’’, kazao je za Nacional izvor iz vrha SDP-a, no unatoč obećanju nije mogao argumentirati i dokazati svoju posljednju tvrdnju. Za detaljnije informacije na ovu temu on je uputio na Sebastijana Svata, predsjednika SDP-a Grubišnog Polja koji je i izvršni tajnik stranke; njemu se, tvrdi ovaj sugovornik, obraćalo kada bi trebalo razriješiti dileme ili poteškoće oko funkcioniranja baze podataka.

On je potvrdio da je upoznat s detaljima sporne aplikacije. ‘’Ja sam izvršni tajnik, odnosno tehničko i operativno tijelo stranke. Radi se o bazi naših simpatizera i nemam informaciju da se u njoj nalaze osobe koje nisu dale pristanak’’, kazao je Svat za Nacional. Kada je upozoren da se ondje nalaze i podaci osoba kojima je jedini dodir s SDP-om potpis za neku kandidaturu ili sudjelovanje u javnozdravstvenoj akciji, pokušao je usporediti taj slučaj sa ‘’surfanjem na internetu u potrazi za namještajem – da bi mu kasnije na Indexu ili Tportalu izlazile reklame upravo tih trgovaca’’. Svat nije želio ulaziti u raspravu o internetskim kolačićima na koje osobe na internetu pristaju, za razliku od SDP ERP-a te uputio da se informacije potraže na višim instancama u stranci.

Novinari Nacionala o tome su razgovarali i s glavnim tajnikom SDP-a Nikšom Vukasom koji je bio neuobičajeno nervozan. Najprije je tvrdio da ‘’prvi put čuje’’ za postojanje aplikacije SDP ERP i da ne zna ništa o tome – ‘’a ako ja ne znam, ne može znati nitko drugi’’ – da bi potom ipak pokušao objasniti da se radi o ‘’bazi simpatizera SDP-a’’. Zatim je Vukas pokušao objasniti kako se radi o ‘’aplikaciji u razvoju’’ u kojoj se doista prikupljaju tek imena simpatizera stranke, a kada je upozoren da postoje ljudi koji nemaju pojma da se ondje nalaze i njihovi podaci, odbrusio je rečenicom da ‘’novinari očito znaju više od njega’’ i naprasno prekinuo daljnji razgovor.

Nacional je razgovarao s nekim građanima koji su primijetili da im već godinama na kućnu adresu uoči izbora pristižu personalizirana pisma, i to isključivo na onog člana obitelji koji je nekada davno sudjelovao u nekoj anketi ili javnoj akciji na kojoj su ostavili svoje osobne podatke. ‘’Počelo je kada sam se uoči izbora 2007. u telefonskoj anketi izjasnila da ću možda glasovati za SDP. Do danas me nazivaju ili mi se obraćaju pisanim putem’’, kazala je jedna građanka koja nije članica nijedne političke stranke.

Na popisu smo pronašli i ime novinara Indexa Vojislava Mazzocca koji je rekao da se SDP ‘’na sumnjiv način skupljenim popisima građana koristi skoro dva desetljeća’’.

‘’U vrijeme kada je Milan Bandić bio jedan od asova te stranke, imali su pristup svim bazama podataka Grada Zagreba i bez imalo skrupula su ih koristili. Ne čudi me da je i moje ime na njihovu popisu. Imaju moj broj telefona, fizičku i e-mail adresu. Nisu ih stekli nelegalno, u nekom kontaktu sam im ih ostavio. To je svakako bilo prije donošenja uredbe o zaštiti podataka, nakon toga me nisu pitali smiju li te podatke zadržati i koristiti. Trebali su i vjerojatno bih im dozvolio. Posljednjih godina mi srce zaigra svaki put kada dobijem nekakav promotivni materijal s Iblerova trga. Nikad mi nije bilo teško prebaciti ga iz poštanskog sandučića u kantu za otpadni papir. Zabavlja me i slutnja da na tom popisu ima više osoba nego što SDP može dobiti glasova. Popisi se mogu ilegalno držati, da bi se držala vlast potrebno je puno više’’, kazao je Mazzocco za Nacional.

SDP je kao politička stranka dužan voditi registar svojih članova – kao i svaka udruga u Hrvatskoj – no u njemu se smiju nalaziti tek osnovni podaci poput adrese i OIB-a, kako bi bilo jasno o komu se radi. Po pravilima GDPR-a čak i za ovakve baze podataka potrebna je pisana suglasnost člana stranke, a osobne podatke zabranjeno je distribuirati ili ih koristiti u bilo koje druge svrhe. Također, u zbirci osobnih podataka – o kojoj mora voditi računa točno određena i ovlaštena osoba – zabranjeno je naknadno upisivati druge podatke i koristiti ih za ovu vrstu poslovne inteligencije ako osoba o tome nije obaviještena. Ovo se odnosi čak i na članove SDP-a, dok za građane vrijede još viši standardi: pojednostavljeno rečeno, osobe koje su dale svoj potpis i broj OIB-a za primjerice Josipovićevu ili Milanovićevu predsjedničku kandidaturu po zakonu očekuju da se ti podaci koriste isključivo za kandidaturu i da se nakon toga ne čuvaju ni u jednoj bazi, niti koriste u druge struke. Po tvrdnjama pravnih stručnjaka s kojima je Nacional razgovarao, problematična je i oznaka ‘’ne kontaktirati’’ koja se u SDP-ovoj bazi stavlja uz imena građana koji s njima odbiju suradnju; u takvim slučajevima evidentno je da treba uslijediti brisanje svih osobnih podataka spomenute osobe, a ne njihovo daljnje čuvanje uz oznaku da ih se ne smije javno koristiti.

Nadzorno tijelo koje u Hrvatskoj vodi računa o provedbi Opće uredbe o zaštiti osobnih podataka je Agencija za zaštitu osobnih podataka (AZOP) koja je ovlaštena i izricati kazne. U prethodne dvije godine ona se, premda ozbiljno kadrovski potkapacitirana, mahom koncentrirala na preventivne mjere ili izricanje upozorenja, no jednoj zasad neimenovanoj banci izrekla je i novčanu kaznu jer se najmanje 34 puta oglušila na zahtjeve za usklađivanjem s odredbama GDPR-a. Kako je banka pokrenula sudski spor i još uvijek nije došlo do pravomoćne presude, konkretni detalji ovog slučaja nisu poznati. Ravnatelj AZOP-a Anto Rajkovača nedavno je objasnio da ova agencija ne može kazniti državne institucije koje se ne pridržavaju odredbi GDPR-a, jer je Vlada odlučila izuzeti tijela javne vlasti od mogućnosti plaćanja kazni, ali može im zabraniti prikupljanje i obradu osobnih podataka. Tek treba vidjeti kako će postupiti oko SDP-a, no u ovom slučaju puno više od eventualne novčane globe zabrinjava spoznaja da jedna važna politička stranka, koja pretendira preuzeti upravljanje državom, na vlastitoj razini ozbiljno krši prava građana i ne uspijeva se uskladiti sa zakonom koji je na snazi dulje od dvije godine.