Uskoro počinje primjena Opće uredbe o zaštiti osobnih podataka. Europska Unija odlučila stati na kraj dosadašnjoj praksi koja se nije pokazala učinkovitom u boribi protiv zloporabe osobnih podataka. Početkom primjene ove uredbe, korisnici će imati veću kontrolu nad korištenjem svojih osobnih podataka.
Naime, stara europska direktiva stara je više od dva desetljeća, a za to je vrijeme tehnologija promijenila svijet do temelja. Došlo je do popularizacije Interneta, različitih mobilnih tehnologija, web tražilica, pojavile su se društvene mreže, te pohrana podataka u informatički oblak.
Što konkretno korisnicima, ali i pružateljima usluga donosi početak primjene ove uredbe, u velikim intervjuu pojasnila nam je doc. dr. sc. Marija Boban, stručnjakinja za zaštitu osobnih pdoataka, GDPR, informacijsku sigurnost i pametne tehnologije. Doc. dr. sc.Boban je, inače, pročelnica Katedre za ekonosmke i financijske znaosti Sveučilišta u Splitu Pravni fakultet i direktorica i vlasnica TechFuturo innovation, konzultantske kuće specijalizirane za poslovno savjetovanje u digitalnom dobu.
Kakav je Vaš stav po pitanju skore primjene GDPR-a - Opće regulative o zaštiti podataka Europske unije? Koliko će njeno stupanje na snagu utjecati na metode pomoću kojih organizacije upravljaju privatnim podacima?
- Pozdravljam donošenje nove Opće uredbe o zaštiti pojedinaca u vezi s obradom osobnih podataka i o slobodnom kretanju takvih podataka 2016/679 (Opća uredba o zaštiti podataka – GDPR) predstavlja velik iskorak u području zaštite osobnih podatka i informacijske sigurnosti. Dosadašnji pravni okvir koji je bio definiran nacionalnim zakonodavstvima i Direktivom 95/46/EC (koja se stavlja van snage) uistinu se pokazao nedovoljnim kako bi se uredilo virtualno okruženje i zaštita prava građana EU u pogledu obrade njihovih osobnih podataka. Ključna pretpostavka razvoja suvremene digitalne ekonomije temelji se na ubrzanom razvoju informacijskih i komunikacijskih tehnologija, istodobno stvarajući nove izazove i ugroze privatnosti i zaštite osobnih podataka. Obrada podataka, osobito obrada osobnih podataka, novi IT alati i digitalno tržište, razvilo je potrebu za povećanjem zaštite privatnosti novih digitalnih proizvoda i usluga stoga je moj stav da je GDPR korak u pravom smjeru.
Sam GDPR predstavlja bitan napredak u području zaštite osobnih podataka budući da se njom osigurava ujednačeno i jednoobrazno postupanje nadzornih tijela za zaštitu osobnih podataka, što će imati za posljedicu jednostavniju i jednaku zaštitu prava svih pojedinaca u Europskoj uniji i to na način da sam pojam “Uredbe” znači da se izravno primjenjuje u zakonodavni okvir zemalja članica (izuzev u nekolicini pojmova koji se ostavljeni za razradu u nacionalnim zakonodavstvima) za razliku od do sada važeće “Direktive” koja je predstavljala “samo” smjernicu djelovanja. Također, uvode se nove i pojednostavljuju se neke već postojeće definicije, određuju i definiraju novi pojmovi koji do sada nisu bili zakonski definirani, kao biometrijski i genetski podaci, preciznije opisuju postojeći pojmovi, jačaju prava ispitanika te se smanjuju i pojednostavljuju pojedine administrativne obveze voditelja zbirke osobnih podataka, jačaju nadzorne ovlasti te mogućnost izricanja kazni od strane tijela za zaštitu osobnih podataka.
Što mislite, koliko su generalno poduzeća iz EU zemalja u našoj regiji spremna za nadolazeće propise i nove obveze koje im donosi GDPR? Hoće li provođenje ove regulative, prema Vašem mišljenju, proteći lako ili možemo očekivati određene "zastoje" u provedbi?
- Uistnu bez okolišanja mogu reći da većina nije spremna ili su tek u postupku usklađivanja. A datum primjene jest već 25. svibnja 2018. Promjene su uisitnu velike: od novih pravnih uvjeta pa do uvođenja “procjene rizika” kroz “procjenu učinka” pa do ostalih zahtjeve koje Uredba donosi i direktno se primjenjuju za sve koji posluju na području Europske unije odnosno za sve koji obrađuju podatke građana EU. Naime, ključna izmjena u odnosu na raniju Direktivu i nacionalne zakone jest njen teritorijalno područje primjene. Novost je da se GDPR primjenjuje na obradu osobnih podataka koju obavlja voditelj obrade koji nema poslovni nastan u Uniji, već u mjestu gdje se pravo države članice primjenjuje na temelju međunarodnog javnog prava. Nadalje, Uredba se odnosi na obradu osobnih podataka u okviru aktivnosti poslovnog nastana voditelja obrade ili izvršitelja obrade u Uniji, neovisno o tome obavlja li se obrada u Uniji ili ne.
Sam zastoj može izazvati ukoliko organizacije nisu uskladile “uvjete obrade osobnih podataka” prema zahtjevima GDPR-a što može prouzrokovati visoke kazne – čak do 4% godišnjem prometa što nije mali iznos. Moja je preporuka: uskladiti svoje poslovanje što prije kako bi se izbjegle neželjene posljedice.
Rraspolažete li informacijom koliko će prilagođavanje GDPR-u koštati Hrvatsku na državnom nivou?
- Jako je teško napraviti procjenu za javni sektor budući da to uključuje širok spektar od javnih tijela do javnih tvrtki – koje uistinu obrađuju osobne podatke građana. Prva obveza im je imenovati službenike za zaštitu podataka i pokrenuti procese sukladno GDPR-u al i važećem Zakonu o informacijskoj sigurnosti. Sve ostalo ovisi o primjeni u našem nacionalnom zakonodavstvu koje će biti definirano temeljem Zakona o primjeni GDPR-a koji je upravo izašao iz faze e-savjetovanja i biti će donesen do datuma primjene GDPR-a.
U ovom trenutku, nakon e-savjetovanja Ministarstvo uprave odlučilo je ostaviti odredbu o isključivanju primjene upravnih novčanih kazni na tijela javne vlasti. Naime, originalnim prijedlogom zakona u potpunosti su se izuzela tijela javne vlasti, dok je sva odgovornost svaljena na poduzeća. U postupku e-savjetovanja javili su se predstvnici brojnih insitucija i privatnog sektora na tragu rasprave o čl. 45. i 47., iz nacrta prijedloga Zakona o provedbi GDPR-a prema kojem su od kazni su bili izuzeti praktički svi osim „poduzeća“. To u prijevodu znači da je popis tijela izvan zakona bio poduži: Od HZZO-a, HZZ-a, vodovoda, autocesta, sve do Hrvatske pošte, centara za tehnički pregled ili čak HEP-a, prenosi Poslovni. Ne samo da se sama tijela prema tom članku koji je promijenjen ne bi mogla kazniti, već bi propis izuzimao i odgovorne osobe koje u tim poduzećima rade. Nakon e-savjetovanja Ministarstvo uprave je zazuzelo slijedeći stav: „Sukladno Općoj uredbi o zaštiti podataka, od izricanja upravnih novčanih kazni izuzeta su tijela javne vlasti. Međutim, od primjene ostalih odredbi ovoga Zakona kao i odredbi Opće uredbe o zaštiti osobnih podatka ta tijela nisu izuzeta. Naime, nadzorno tijelo ima ovlasti nadzirati i tijela javne vlasti u primjeni odredaba ovog Zakona i Uredbe te izreći mjere sukladno Uredbi izuzev upravne novčane kazne.“ čime je ipak uvelike izmijenjen isti članak. Sukladno Uredbi, prema čl. 83. st. 7. GDPR-a, zakonodavac zaista ima pravo od administrativnih kazni izuzeti tijela javne vlasti. Na redu je pak od 25. svibnja primjena u praksi koju je prerano komentirati kao i samu činjenicu u kojoj će mjeri upozorenja i ostale korektivne mjere djelovati ukoliko neće biti “kazni” za javne vlasti koje i obrađuju najveći broj osobnih podataka. Podsjetimo, tijelima javne vlasti u smislu GDPR-a smatraju se tijela državne uprave i druga državna tijela te jedinice lokalne i područne (regionalne) samouprave. Pravnoj osobi s javnim ovlastima i pravnoj osobi koja obavlja javnu službu može se izreći upravna novčana kazna, navodi u komentaru Ministarstvo uprave.
Novost nakon e-savjetovanja predstavlja i ukidanje čl. 47. Zakona o provedbi GDPR-a koji je za odgovorne osobe u poduzećima propisivao kazne od 5 000 do 500 000 kuna. Primjedbe zainteresiranih išle su ka promjeni teksta članka kako bi u to bile uključene i udruge i tijela javne vlasti, no zakonodavac je čitav članak odlučio izbrisati. Sada se kažnjavati mogu samo pravne osobe (i obrti), i to kaznama koje stoje u izvornome tekstu Opće uredbe, dakle najviše 20 milijuna eura odnosno do 4 % ukupnog godišnjeg prometa na svjetskoj razini, uz obvezu da kazna bude proporcionalna i djeluje preventivno što su uistinu drakonske kazne prema činjenici da od donošenja Zakona o zaštiti osobnih podataka (koji je imao predviđene kazne – daleko manje istina) nitko do sada nije bio kažnjen.
Prema Vašem mišljenju, koje su mane, a koje prednosti uvođenja Opće regulative o zaštiti podataka Europske Uunije?
- GDPR prvenstveno donosi bolju zaštitu građana i veću kontrolu nad obradom osobnih podataka. Postrožena pravila sama po sebi donose i uređen sustav te veću kontrolu i sigurnost u obradi. Novost je “pravo na brisanje”, poznato i kao „Pravo na zaborav“. (engl. Right to be forgotten). Načelo ovog prava je omogućiti pojedincima da zatraže brisanje ili uklanjanje osobnih podataka ukoliko nema uvjerljivog razloga za njihovu obradu. Zanimljivo će biti vidjeti primjenu u praksi budući da će tada pretraživači, primjerice Google koji svoje domene ima u svim državama EU – primjerice Google.hr, brisati “linkove” sa svim instance što će predstavljati i trošak novca i vremena, ali rezultira ključnim što Europu najviše zanima: građani EU imaju veću kontrolu nad obradom svojih osobnih podataka! Posebnu kategoriju predstavljaju upravo osobni podaci djece gdje je ponajprije postavljena dobna granica 16 godina, ali i mogućnost predviđanja niže dobne granice za davanje privole za obradu osobnih podataka djece i do 13 godina čime se podiže zaštita prava djece. U Hrvatskoj zakonodavac se odlučio za granicu od 16 godina. Nadalje, imaju i efekt na nacionalnu sigurnost uz obvezu prosljeđivanja podataka i za pretraživače i društvene mreže koje se često koriste kao način komunikacije u smislu povećanja razine zaštite za sve koji do sada nisu podlijegali zakonu EU budući da su činjenicom da nisu bili registirani u EU do donošenja GDPR-a bili izuzeti. Mjere sigurnosti koje Uredba propisuje za posebne kategorije osobnih podataka, posebno u rastućem sustavu e-zdravstva kao i novu definciju reguacije mrežnog identifikatora i genentskih i biometrijskih podataka kao osobnih podataka, uistinu su velika novost i više nego dobrodošle jer nisu bili pokriveni dosadašnjim zakonodavstvom. Također, otvara se i novo tržište posovlnog savjetovanja za stručnjake u području zaštite osobnih podataka koji uistinu zahtijeva diferzifikaciju i potrebu razvoja vještina u području informacijske znanosti, menadžementa ali pravne struke budući da samo usklađivanje organizacije s GDPR-om traži interdisciplinaran pristup.
Mana jest ponaprije “nepripremljenost” i niska razina osviještenosti o značaju zaštite osobnih podataka i potrebi zaštite obrade podataka u velikoj većini članica EU. Gledajući unatrag, GDPR je donesen prije dvije godine kada je taj protek ostavljen za prilagodbu a realno – tvrtke i seminari s edukacijama započeli su u rujnu u prošle godine kada je privatni sektor zapravo shvatio značaj i potrebu – i to ponajviše s komunikacijom o visokim kaznama. Svakako novi zahtjevi GDPR-a znače i nove mjere sigurnosti što donosi nova ulaganja u poslovne procese a samim time i nove troškove. Od pravne podloge do obveze eksplicitne privole, brisanja pa i pseudonimizacije podataka u trenutku kada prestaje potreba za njihovom daljnjom obradom.
Ukoliko se pokaže uspješnim na primjeru Europske Unije, postoji li mogućnost da jedan ovakav zakonski okvir, u području kojeg važe ista pravila za sve sudionike- postane dio svjetske scene i uđe u uporabu u cijelom svijetu (ili barem većem dijelu svijeta)?
- U pravilu, ovo i jest ulazak na svjetsku scenu – na mala vrata. Jasno je da većina svjetskih tvrtki posluje na području Europske Unije, a prema GDPR-u moraju uskladiti svoje poslovanje. Samim time postaje jasno da uvjet za europsko tržište i poslovanje i jest usklađivanje s europskim zakonodavstvom. Naravno, ovo je i dio stategije “Digital Agenda for Europe 2020” koja izgrađuje “Digital Single Market” koja predstavlja viziju budućeg europskog tržišta i sustavnog procesa digitalne transformacije.
I za kraj, recite nam koliko zapravo vjerujete u efikasnost nove Opće uredbe o zaštiti osobnih podataka koja se primjenjuje od 25. svibnja? Hoće li nam GDPR zaista donijeti pojačanu sigurnost u online sferi ili možemo očekivati nove probleme i izazove budući da kibernetički kriminal svakim danom pronalazi sve više načina da doskoči sigurnosnim mjerama u virtualnom svijetu, nanaseći štetu tvrtkama?
- Donošenje samog GDPR-a prvenstevno predstavlja ključni pravni okvir kojim je Europska unija odlučila je zaštiti privatnost svojih građana i povećati kontrolu nad obradom osobnih podataka građana uz uvođenje zakonske obveze procjene učinka na zaštitu podataka. Također, ova Uredba postrožuje dodatno i obradu posebnih kategorija podataka u području “e-zdravstva” te se samim time uistinu očekuje potreba edukacije i usklađivanja s novom Uredbom. Kibernetički kriminal također ovim dobija dodatnu zaštitu jer se postrožuju i mjere zaštite sukladno osjetljivosti osobnih podataka – s naglaskom na posebno osjetljive podatake (maloljetne osobe, medicinski podaci, is l.) Vjerujem da će prekršitelje stizati zaslužene kazne koje će uistinu značajno popuniti proračune samih članica EU. Propisana je gornja granica sankcija i upravnih novčanih kazni te je prepušteno nacionalnim zakonodavstvima da reguliraju same sankcije, međutim ukoliko neka članica slučajno i odaberu mekšu politiku, Europska komisija zasigurno neće! Stoga je izbor za tvrtke i institucija koje žele nastaviti poslovati u skladu sa zakonom vrlo jednostavan. Ili će svoje poslovanje uskladiti sa zahtjevima GDPR-a, ili će platiti visoku kaznu i nakon naučene lekcije pokrenuti usklađivanje sa zahtjevima GDPR-a koji se od 25. svibnja 2018. počinje primjenjivati na području Europske unije.