Opća uredba o zaštiti podataka (GDPR), koja je danas stupila na snagu, novi je europski zakon koji bi trebao bitno otežati zlouporabu osobnih podataka koje tvrtke prikupljaju o svojim korisnicima i na osnovu njih im nude svoje proizvode i usluge.
GDPR je donesen u travnju 2016. i stupa na snagu nakon
dvogodišnjeg prijelaznog razdoblja.
Uredba se odnosi na sve tvrtke koje posluju na teritoriju EU, ali
i na tvrtke koje raspolažu podacima europskih građana, neovisno o
njihovoj lokaciji. Tvrtke izvan EU koje svoju robu ili usluge
nude unutar EU dužne su poštovati odredbe GDPR-a.
Riječ je o najvećoj promjeni zakonodavstva u području
zaštite osobnih podataka od postanka weba.
U posljednjih 25 godina internet je omogućio nove poslovne modele
i radikalno promijenio svakodnevni život, a sada je nastupilo
vrijeme za regularizaciju toga nepreglednog područja nakon što je
postalo jasno da, uz to što donosi mnogo dobrog i korisnog,
postoje i realne mogućnosti zlouporabe osobnih podataka.
Zaštita podataka ovih dana izaziva puno pozornosti nakon otkrića
da su osobni podaci preko 87 milijuna korisnika Facebooka
završili u rukama Cambridge Analytice, konzultantske tvrtke koja
je bila angažirana u predsjedničkoj kampanji Donalda Trumpa.
Pravo na zaborav
Mnogima se još samo prije nekoliko mjeseci akronim GDPR (General
data protection regulation) činio još jednom nerazumljivom
kraticom koja ih se ni na koji način neće ticati, ali posljednjih
tjedana ne mogu od toga pobjeći jer su im pretinci elektronske
pošte zatrpani zahtjevima da daju izričiti pristanak na daljnje
korištenje svojih podataka.
Društvene mreže poput Facebooka, Twittera, zatim AirBnba,
internetske trgovine, razne institucije koje svoje publikacije
šalju elektronskom poštom traže ovih dana od svojih korisnika
pristanak za korištenje podataka kako bi ispoštovali novi
europski zakon.
Mnoge odredbe koje sadrži GDPR i ranije su postojale na
nacionalnoj razini, ali su sada objedinjene i pojačane i
predstavljaju jedinstven okvir koji se primjenjuje u svim
zemljama članicama.
GDPR zamjenjuje direktivu o zaštiti podataka, koja je donesena
1995. godine.
Uredba znatno pojačava prava građana, među inim, jamči pravo na
informiranost, što znači da svaki korisnik interneta koji je
stavio na raspolaganje dio svojih osobnih podataka, od sada ima
pravo znati čemu oni služe, koliko će vremena biti pohranjeni i
hoće li ti podaci napustiti Europsku uniju.
Uredba predviđa i pravo na pristup svojim podacima, pravo da ih
se korigira i izbriše. Svaki korisnik neke usluge ima pravo
zatražiti kopiju svojih podataka. Moguće je tražiti i brisanje
podataka povlačenjem pristanka na njihovu uporabu.
GDPR predviđa i “pravo na zaborav”, odnosno mogućnost brisanja
podataka. Primjerice, moći će se tražiti brisanje s mreže nekog
grijeha ili gluposti počinjene u mladosti za koju nema pravnih
razloga ili javnog interesa da ih se čuva.
Omogućava se i pravo na transfer svojih podataka, što znači da će
se moći promijeniti pružatelj usluga elektronske pošte, a da se
pri tom ne izgubi ranije prepiska na prethodnoj elektronskoj
adresi.
Goleme kazne za nepoštivanje
Novi zakon ne odnosi se na sve tvrtke u istoj mjeri, što ovisi o
njihovoj veličini i tipu podataka koje prikupljaju i načina kako
ih koriste. Manje tvrtke morat će samo štititi svoje podatke o
klijentima u skladu “sa zdravim razumom”, dok će se GDPR u
potpunosti odnositi na one tvrtke koje posluju u jednoj ili više
europskih zemalja.
Uredba se najviše odnosi na tvrtke koje prikupljaju velike
količine podataka poput tehnoloških kompanija, maloprodajnih
tvrtki, pružatelje zdravstvenih usluga, banke, osiguravajuća
društva itd.
Jedan od ciljeva GDRP-a jest i smanjenje količine podataka koji
se koriste, pa će tako tvrtke trebati točno odrediti koji im
podaci doista trebaju i kako će ih zaštititi.
Za kršenje odredbi GDPR-a poduzeća mogu platiti goleme kazne,
koje mogu dosegnuti do 20 milijuna eura ili do četiri posto
njihova prometa (bira se onaj iznos koji je veći).
Osobnim podatkom smatra se svaka informacija koja se odnosi na
fizičku osobu čiji je identitet utvrđen ili se može utvrditi.
Fizička osoba čiji se identitet može utvrditi jest osoba koja se
može identificirati, izravno ili neizravno uz pomoć
identifikatora kao što su ime, slike, email adrese, bankovni
podaci, objava na društvenim mrežama, zdravstveni podaci,
računalne IP adrese, zvučni zapis, broj socijalnog osiguranja,
kućna adresa itd.
Neki se podaci poput političkog uvjerenja, vjerske pripadnosti,
seksualne orijentacije, zdravstvenog stanja.. smatraju
osjetljivima. Zabranjeno je prikupljati takve podatke bez
prethodnog pisanog, jasnog i eksplicitnog pristanka korisnika i
bez jasno navedene svrhe.
Provedbu nove uredbe neće nadgledati jedno sveeuropsko tijelo
nego mreža nacionalnih i regionalnih tijela u zemljama članicama.
Hrvati nisu naročito zabrinuti krađom podataka
Iako je ostavljeno dvogodišnje razdoblje za prilagodbu i
pripremu, očekuje se dosta problema u provedbi zakona.
Između ostaloga, mnogo nadzornih tijela u zemljama članicama nisu
spremne preuzeti svoju ulogu bilo zbog nedostatka sredstava ili
osoblja ili pak zato što još nisu donijeti potrebni propisi.
Tako se posljednjih dana u Hrvatskoj spominje kako bi zbog nove
uredbe s radom privremeno mogao prestati Hrvatski registar obveza
po kreditu (HROK) zbog nekih nerazjašenjenih nedoumica, što bi
moglo u prvo vrijeme otežati odobravanje kredita.
Više od 250 milijuna Europljana i oko 2,5 milijuna Hrvata
svakodnevno koristi internet kako bi se povezalo s obitelji ili
kupovalo online.
Na taj način istovremeno dijele puno osobnih podataka,
uključujući svoje ime, adresu, broj osobne iskaznice i
informacije o svom zdravlju. To otvara vrata brojnim
potencijalnim rizicima, npr. neovlaštenom otkrivanju podataka,
krađi identiteta ili zlostavljanju na internetu.
Sedam od 10 Hrvata smatra da nema potpunu kontrolu nad svojim
osobnim podacima, dok njih gotovo šest od 10 izjavljuje da ne
vjeruje poslovanju putem interneta. Štoviše, osam od 10 zabrinuto
je zbog mobilnih aplikacija koje prikupljaju podatke bez njihova
pristanka, a sedam od 10 brine što bi poduzeća mogla učiniti s
informacijama koje su od njih prikupila.
U Hrvatskoj 24 posto ispitanika koji daju osobne podatke putem
interneta vjeruje da ima potpunu kontrolu nad tim podacima, u
usporedbi s prosjekom EU-a od 15 posto ili čak samo četiri posto
u Njemačkoj.
I dok 31 posto Europljana zabrinjava činjenica da nemaju nikakvu
kontrolu nad svojim osobnim podacima na internetu, isto vrijedi
za samo 19 posto Hrvata, po čemu je Hrvatska jedna od
najoptimističnijih zemalja EU-a kada se radi o sigurnosti na
internetu.
Zaštita osobnih podataka nije samo glavna briga mnogih
Europljana, ona je također temeljno pravo i stoga je nešto što
treba zaštititi. Opća uredba o zaštiti podataka odgovor je na tu
potrebu, kažu u Bruxellesu.
