Pridjev “nova“ uredba o zaštiti osobnih podataka iz današnjeg kuta gledanja svakako je promašen. Dokument koji je ugledao svijetlo dana 27. travnja 2016. godine pod punim nazivom UREDBA (EU) 2016/679 EUROPSKOG PARLAMENTA I VIJEĆA o zaštiti pojedinaca u vezi s obradom osobnih podataka i o slobodnom kretanju takvih podataka te o stavljanju izvan snage Direktive 95/46/EZ (Opća uredba o zaštiti podataka), predmet je rasprava više od osam mjeseci. Kada u omiljenu tražilicu Google upišete GDPR, skraćenicu kojom stručna javnost voli nazivati ovu uredbu dobijete preko 1 000 000 rezultata pretrage, ili pak ako istu skraćenicu upišete u tražilicu YouTube-a izbaci oko 4 500 video zapisa u kojima razni stručnjaci objašnjavaju detalje uredbe i što tvrtke trebaju poduzeti kako bi svoje poslovne procese i tehnološke standarde uskladile s uredbom. Sve to ukazuje da se radi o dokumentu kojem se pristupilo izuzetno ozbiljno i s velikom pažnjom, a kako i ne bi kada predviđene kazne za neprovođenje i kršenje odredbi GDPR-a sežu do vrtoglavih 20 000 000 EUR, ili u slučaju poduzetnika do 4 % ukupnog godišnjeg prometa na svjetskoj razini za prethodnu financijsku godinu, ovisno o tome što je veće.
Ipak prije svega trebalo bi razumjeti kontekst u kojem je GDPR donesen. Nalazimo se u digitalnom dobu. Termin digitalizacija u RH često korišten s nerazumijevanjem i u svrhu prepucavanja političkih takmaca. Međutim stručnjaci i profesionalci koji svoj kruh zarađuju na nemilosrdnom kapitalističkom tržištu znaju da se radi o nužnom i kompleksnom poslovnom procesu. Kao najbolje primjere digitalne ekonomije možemo istaknuti platforme kao što su Uber ili Airbnb.
Zamislite kako je mogao znati taxi-st iz Velike Gorice da će njegov konkurent u borbi za egzistenciju postati skupina informatičara iz SAD-a ili da će se u našu najjaču gospodarsku granu turizam uključiti i oni koji su mislili da se nikad neće baviti turizmom. Njihova nasmiješena lica pozdravljaju potencijalne klijente preko platforme koja u svome vlasništvu nema ni jednu nekretninu za iznajmljivanje, a ipak je ozbiljan konkurent najvećim svjetskim hotelskim lancima. Borili se nogama, šakama, palicama ili stoljetnim ugledom protiv digitalne ekonomije na kraju ćete morati položiti oružje i jednostavno joj se prikloniti.
Ono što je najbitnije za napomenuti a to je pogonsko gorivo novog doba “Informacija“. Mislim da danas u Svijetu nema niti jedne ozbiljne tvrtke koja ne koristi 'Big Data' tehnologije i alate za analizu i planiranje poslovanja.
Stvar je jako jednostavna, što je više podataka više je i informacija temeljem kojih se može predvidjeti tržište, donijeti strateške odluke i nadmašiti konkurenciju kako bi ste zadržali mjesto pod suncem. U ovoj igri riječi informacija je rafinirano gorivo, podatci su nafta, a naftna polja su svuda oko nas. Svaki podatak uparen s više podataka daje određene informacije, tako i naši osobni podatci, čak bi rekao da su osobni podatci najvrjednija ruda današnjice. Naše kretanje, navike, stavovi, razmišljanje, hobiji i sve ono što nas definira dob, spol, nacionalnost, vjerska ispovijest, politički stavovi, boja kože itd. su nepresušni izvori podataka temeljem kojih se dobivaju informacije koje daju odgovor kako nama kao krajnjim konzumentima servirati svoj proizvod, uslugu ili ideju. Kud god se okrenuli svugdje vas traže neke podatke, bilo na internetu, dućanu, na putu do tržnice (oni mali pultovi s kojih vam dovikuju “oprostite koju mrežu koristite, pretplatu ili bonove“) i sve je više onih koji žele dokopati vaših podataka, čak i na ilegalan način.
U toj brzorastućoj utrci iscrpljivanja izvora podataka na scenu stupa Europska unija koja kaže jasno i nedvosmisleno STOP!
Pune četiri godine stručna tijela EU kreirala su GDPR koji je stupio na snagu dvadesetog dana od dana objave u Službenom listu Europske unije a primjenjuje se od 25. svibnja 2018. godine. Pravni temelj GDPR-a je Ugovor o funkcioniranju Europske unije i Povelje Europske unije o temeljnim pravima, koji u svom sadržaju eksplicitno navode da svatko ima pravo na zaštitu svojih osobnih podataka i to pravo ovim dokumentom EU namjerava beskompromisno braniti.
Kao što je navedeno u punom nazivu uredbe, GDPR stavlja izvan snage Direktivu 95/46/EZ koja je do sada služila kao orijentir pri kreiranju zakonskih okvira za svaku pojedinu zemlju članicu EU, za razliku od GDPR-a koji 25. svibnja 2018. godine postaje krovni zakon EU koji se direktno implementira u zakonodavstvo svih zemalja članica EU, bez mogućnosti interpretacija. Isto tako zanimljivost ovog dokumenta je u tome što se ne odnosi samo na tvrtke koje imaju sjedište na području EU već i na sve one pravne subjekte koji prikupljaju osobne podatke državljana EU neovisno gdje im je sjedište.
O samoj snazi uredbe dovoljno govori činjenica da su svjetski giganti iz silicijske doline počeli mahom otvarati data centre na području EU, kao i podatak da se skoro u svakom članku s područja Velike Britanije analizira uzročno-posljedična veza Brexit-a i GDPR-a.
Ovom uredbom znatno su povećana prava ispitanika (fizička osoba čiji se osobni podatci obrađuju), pa tako ova uredba definira pravo na ispravak i brisanje („pravo na zaborav“) osobnih podataka, pravo na ograničenje obrade, pravo na prenosivost podataka i pravo na prigovor obrade podataka. Proporcionalno rastu prava ispitanika rastu i obveze za voditelja obrade (fizička ili pravna osoba, tijelo javne vlasti, agencija ili drugo tijelo koje samo ili zajedno s drugima određuje svrhe i sredstva obrade osobnih podataka) i izvršitelja obrade (fizička ili pravna osoba, tijelo javne vlasti, agencija ili drugo tijelo koje obrađuje osobne podatke u ime voditelja obrade). Kao što se može zaključiti iz definicija GDPR se odnosi na sve pravne subjekte neovisno o njihovoj veličini. Glavno pitanje koje se nameće je KAKO implementirati sve ono što GDPR zahtjeva od voditelja i izvršitelja obrade u zaštiti osobnih podataka ispitanika.
Odgovor leži u CJELOVITIM rješenjima. Mnogi se nadaju da će privola biti dovoljan alat za zadovoljavanje GDPR-a. Privola je samo pristanak ispitanika da se njegovi osobni podatci obrađuju za jasno utvrđenu svrhu. GDPR u poglavlju 4. eksplicitno definira obveze voditelja i izvršitelja obrade.
Iz čl. 24 st.1. je razvidno da će tvrtke morati težiti cjelovitim rješenjima, da neće biti dovoljno pokrivanje samo određenih fragmenata poslovanja, npr. kriptirati bazu a neće se osigurati definiran pristup bazi ili aplikacijama (koje mogu biti lokalizirane ili u 'Cloud' okruženju) u kojima svakodnevno radimo a vrve osobnim podatcima, osigurati se od internih prijetnji a s druge strane ne osigurati se od vanjskih prijetnji, itd., u tom kontekstu posebno treba skrenuti pozornost na čl. 25. i čl. 32. GDPR-a. koji govore što treba poduzeti za sigurnost u tehničkom smislu. Iako se radi o velikom i zamornom pravnom štivu daje nam sve odgovore što nam je za raditi.
I na kraju da odgovorim na pitanje iz naslova, EU nam je servirala vrući krumpir kojem treba pristupiti pedantno i na vrijeme po mogućnosti jučer. Uvijek postoji i ona druga opcija nadati se da grom neće pogoditi baš vas, ali...
Marko Cukrov, Alfatec Group
