Povelja EU o temeljnim pravima jasno navodi da svatko ima pravo na zaštitu osobnih podataka koji se na njega ili nju odnose. Plemenit, no nimalo lako ostvariv cilj s kojim se Direktiva EU 95/46/EZ o zaštiti osobnih podataka ne može nositi.
Napisana 1995. godine, ona nije mogla predvidjeti golemi porast količine osobnih podataka koji će se pohranjivati u IT sustavima, a još je manje mogla predvidjeti bum BI rješenja i niz usluga koje se temelje na prikupljanju i obradi osobnih podataka.
Recimo samo da je Facebook nastao 9 godina nakon ove uredbe. Uber je krenuo tek 2009. Vjerovali ili ne, da ste nekome spomenuli riječ Google, te 1995. godine kada je nastala prva direktiva EU o zaštiti privatnosti, taj bi pomislio da oponašate govor nečije bebe. Najpoznatija je svjetska tražilica nastala tek 3 godine kasnije.
Hrvatska je u postupku usklađivanja zakonodavstva prilikom ulaska u EU, svoj Zakon o zaštiti osobnih podataka 2003. godine uskladila sa već zastarjelom Direktivom i ustrojila Agenciju za zaštitu osobnih podataka - AZOP.
U to se doba nije moglo predvidjeti da će sustavno kršenje prava na privatnost postati poslovni model i faktor tržišne premoći brojnih tvrtki, te da AZOP sa vrlo ograničenim sredstvima, kadrovima i bez odgovarajućih stručnih kompetencija neće biti u stanju prepoznati ovakve poslovne modele. Na maksimalnu kaznu od 40.000 kn za tvrtke koje sustavno krše pravo na zaštitu privatnosti, svaka se solventna tvrtka mogla samo posprdno nasmijati. I ptice na grani već cvrkuću GDPR-u. Ova Uredba koja se počinje primjenjivati od iduće godine trebala bi donijeti velike promjene.
Koja su naša prava i očekivanja?
Osobne podatke moramo ustupiti samo temeljem zakona. Moramo ih ustupiti i za potrebe izvršenja ugovornog odnosa ukoliko su neophodni za izvršavanje ugovora, no samo one podatke koji su za to stvarno i potrebni. Npr. spol nije neophodan podatak za pružanje telekom usluge. Sve ostale podatke dajemo isključivo dobrovoljno, s tim da nam se mora vrlo jasno objasniti kako će se ti podaci koristiti. Svoju privolu uvijek možemo povući, uvijek možemo tražiti uvid u svoje podatke, pa čak i njihovo kopiranje na elektronički medij. Možemo zatražiti i brisanje svih naših osobnih podatakadanih temeljem privole. U slučaju da nam je neprimjerenim rukovanjem našim osobnim podacima nanesena šteta, imamo pravo na nadoknadu.
Naši osobni podaci, bez obzira na temelj prikupljanja uvijek moraju biti sigurni i koristiti se isključivo u skladu s temeljem prikupljanja, a regulator se mora pobrinuti da to stvarno tako i bude. Može li?
Može li nas država zaštititi?
Za sada, ne. U ovom trenutku u Hrvatskoj ne postoji odgovarajuće tijelo koje je osposobljeno i ovlašteno ocijeniti da li su tehničke mjere za zaštitu vaših podataka adekvatne, niti da li organizacija koja prikuplja vaše podatke dostavlja istinite podatke o obradama koje provodi, ili mjerama sigurnosti kojima se vaši podaci štite. Situacija je još gora. Ne samo da država u ovom trenutku ne može zaštititi naše osobne podatke kojima upravljaju privatne tvrtke nego ni sama nije implementirala adekvatne sigurnosne mjere pa osobnim podacima u informacijskim sustavima tijela državne uprave često mogu pristupiti i oni koji to trebaju, i oni koji za to nemaju nikakvog opravdanja. Da je tome tako, vidljivo je i bez ozbiljnih analiza. Već i letimičnim pregledom web stranica tijela državne uprave naletjet ćete na brojne ranjivosti.
Pitam se dakle, hoće li novi Zakon o zaštiti osobnih podataka predvidjeti potrebu stvaranja vrhunskog tima IT stručnjaka sposobnih za provođenje tehnoloških IT audita. I maloj je djeci danas jasno da podatke u IT sustavima ne možemo štititi samo politikama i procedurama. One se odnose na ljude, a ne na IT sustave. IT sustavi rade kako im se kaže - ljudi, kako žele. Politikama i procedurama mogu se definirati odgovornosti za uspostavu tehničkih sigurnosnih mjera, no nikako, nikada i ni pod kojim uvjetima nikome ne smije pasti na pamet da je postojanje politike dokaz učinkovitosti tehničkih kontrola.
Zaštita osobnih podataka znači da podaci moraju biti zaštićeni. Komad papira to neće osigurati, ali neće ni IT rješenje. Jedino učinkovita sprega svijesti, organizacijskih i tehničkih kontrola mogu rezultirati adekvatnom razinom sigurnosti.
Hoće li organizacije zauzeti etički ispravan put i posvetiti se zaštiti osobnih podataka?
Hoće li se prema našim podacima odnositi neodgovorno, i zloupotrebljavati ograničene tehničke sposobnosti regulatora? To ćemo tek vidjeti.
U svakom slučaju, nadajmo se da će regulator oformiti snažan tim IT stručnjaka sposobnih analizirati sigurnost najkompleksnijih informacijskih sustava, te da će im za taj posao dati primjerene ovlasti - i plaću. Bit će zanimljivo svjedočiti donošenju novog Zakona o zaštiti osobnih podataka.
