U posljednjem desetljeću sve više se naglasak stavlja na rasprave o zaštiti privatnosti građana i povećanoj kontroli obrade osobnih podataka građana. Na tom tragu, nakon više od 7 godina od početne inicijative i četiri godine pregovora, novi europski okvir za zaštitu osobnih podataka konačno je usvojen u travnju 2016. godine. Donesena je Opća EU uredba o zaštiti osobnih podataka 2016/679, poznatija pod nazivom GDPR – General Data Protection Regulation koja unosi velike promjene u načinu upravljanja osobnim podacima i izravno se primjenjuje na sve organizacije koje raspolažu osobnim podacima EU građana. S nagalaskom na direktnu primjenu za razliku od trenutno važeće EU direktive iz 1995., GDPR stupa na snagu danom donošenja i direktno se primjenjuje u svim državama članicama EU. Za nadzor će biti zaduženo nacionalno “Nadzorno tijelo”, funkcija za koju je sukladno važećem Zakonu od zaštiti osobnih podataka (dalje ZZOP) bila zadužena Agencija za zaštitu osobnih podataka (AZOP) i čije će se ovlasti bitno izmjeniti budući da je njihova uloga dosada bila samo savjetodavna, a sada se bitno mijenja – i u nastupu prema javnom i privatnom sektoru. Za konkretne komentare vrijedi pričekati prijedlog izmjena ZZOP u svezi s definicijama koje su ostavljene kao mogućnost prilagodbe u nacionalnom zakonodavstvu. Navdeni rok za prilagodbu počeo je teći u travnju 2016. zaključno s 25. svibnja 2018. kada se GDPR počinje primjenjivati!

Drakonske kazne

GDPR sa sobom donosi značajne promjene u pravilima koja definiraju osobne podatke i način kako se oni „smiju“ obrađivati. Počevši s postroženim pravilima obrade, najvažniji je naglasak na kaznenim odredbama. Nepoštivanje odredbi Uredbe povlači kazne i to drakonske – do 4% ukupnog godišnjeg prometa na svjetskoj razini ili do 20 milijuna eura, koja god vrijednost bude viša. Za razliku od ranije, odnositi će se na sve tvrtke koje posluju na području Europske unije (a ne samo one koje su registrirane u EU!). Tako je već sada 92% tvrtki u SAD-u reklo kako je prilagodba GDPR-u jedan od njihovih najviših prioriteta, odnosno 54% ih smatra najvišim prioritetom. Iako je riječ o europskoj uredbi, GDPR utječe na preustroj zaštite podataka mnogih stranih tvrtki pa tako i Facebooka, Googlea, Microsofta te mnogih drugih.

Pravo na brisanje / zaborav

Najznačajniji iskorak jest “pravo na brisanje” , poznato i kao „Pravo na zaborav“. (engl. Right to be forgotten). Načelo ovog prava je omogućiti pojedincima da zatraže brisanje ili uklanjanje osobnih podataka ukoliko nema uvjerljivog razloga za njihovu obradu. Zanimljivo će biti vidjeti primjenu u praksi budući da će tada pretraživači, primjerice Google koji svoje domene ima u svim državama EU – primjerice Google.hr, brisati “linkove” sa svim instance što će predstavljati i trošak novca i vremena, ali rezultira ključnim što Europu najviše zanima: građani EU imaju veću kontrolu nad obradom svojih osobnih podataka!

Posebnu kategoriju predstavljaju upravo osobni podaci djece gdje je ponajprije postavljena dobna granica 16 godina, ali i mogućnost predviđanja niže dobne granice za davanje privole za obradu osobnih podataka djece i do 13 godina.

110 milijuna kazne zbog WhatsAppa!

Stupanjem GDPR-a na snagu, mnoge tvrtke imaju obavezu imenovanja kvalificiranog službenika za zaštitu osobnih podataka odnosno Data Protection Office-ra (DPO) koji će odgovarati izravno Upravi. Uz to, osnovno razumijevanje procesa i klasifikacije podataka se podrazumijeva. Radi se i o novom random mjestu kao i uvjetima koje ta osoba mora imati. Hoće li DPO biti pravnik, informatičar ili pak ekonomist? Vjerujem da u svakom slučaju treba poznavati informatičke tehnologije, pravnu regulative ali imati i organizacijske sposbonosti uz cjelovitu (adekvatnu) edukaciju (čitaj ceritikat(e)) u području GDPR-a.

Do prije nekoliko mjeseci vladalo je opće mišljenje da kazne neće biti rigorozne kako to Uredba propisuje, da će regulator biti blag te će prvo upozoriti prekršitelje što će se možda za one čiji će prekršaji biti mali, uistinu i dogoditi. Međutim, Europska komisija je nedavno jasno dala do znanja da za ozbiljno kršenje Uredbe neće biti milosti. Kazna od 110 milijuna eura koju je Facebook dobio početkom ove godine propisana je direktno od strane Europske komisije. Iako na temelju potpuno druge regulative, ova kazna je propisana upravo zbog kršenja privatnosti građana i pružanja lažnih informacija o spajanju sa WhatsAppom. Tom je prilikom Facebook izjavio kako se osobni podaci korisničkih računa ne mogu spojiti, a dvije godine kasnije učinio je upravo to. Spojio je račune WhatsAppa sa računima Facebooka. Europska komisija reagirala je gotovo promptno i propisala kaznu od 110 milijuna eura; 0,5% ukupnih prihoda Facebooka na globalnoj razini i 50% maksimalne moguće koju propisuje regulativa o spajanju kompanija. Dakle, ako neka EU zemlja neće sama kazniti prekršitelja, a činjenica je da Hrvatska još nije ustanovila tijelo koje bi bilo odgovorno za provjeru kršenja i naplatu kazni, očito je da će to učiniti EU direktno. Samo nekoliko dana kasnije nakon prve presude, Italija je za isti prekršaj kaznila WhatsApp i time direktno popunila državni proračun za 3 milijuna eura.

Donošenje samog GDPR-a prvenstevno predstavlja ključni pravni okvir kojim je Europska unija odlučila zaštiti privatnost svojih građana. Prekršitelje će stizati zaslužene kazne koje će uistinu značajno popuniti proračune samih članica EU. Bez obzira na veličinu poduzeća ili da li se radi o javnom sektoru, svi će svoje poslovanje morati uskladiti sa zahtjevima GDPR-a, ili će platiti visoku kaznu i nakon naučene lekcije pokrenuti usklađivanje sa zahtjevima GDPR-a koji se od 25. svibnja 2018. počinje primjenjivati na području Europske unije.