Dva puta razmislite hoćete li prihvatiti kolačiće treće strane - a onda kliknite na tipku „Odbijam“.

U Zagrebu je 13. ožujka Agencija za zaštitu osobnih podataka (AZOP) objavila informaciju o izricanju prve GDPR kazne u Hrvatskoj. Radi zbunjujuće lokalne regulative, nije potpuno jasno do koje mjere kod izricanja kazni AZOP prema javnosti mora biti transparentan, no kako se čini, informacije o kaznama većim od 100.000 kuna moraju se objaviti na stranicama AZOP-a ne anonimizirane.

Borba protiv virusa zahtijeva masovne obrade posebnih kategorija osobnih podataka. Sprječavanje globalnog širenja Korona virusa nemoguće je bez obimnih obrada posebnih kategorija osobnih podataka. Prati se kretanje oboljelih i svih onih s kojima su bili u kontaktu, kao i vrsta kontakata koje su ostvarili. Prikupljaju se i detaljno obrađuju podaci o zdravstvenom stanju, kroničnim bolestima, higijenskim navikama i svega ostaloga što bi eventualno moglo pomoći u suzbijanju virusa.  Iz sve većih količina podataka se pokušavaju izlučiti podudarnosti koje bi mogle pomoći u određivanju rizičnih skupina, traženju načina suzbijanja ili barem usporavanja virusa.

U skladu sa svojom politikom društveno odgovornog poslovanja, i u suradnji s ICT business portalom, Ostendo Consulting nastavlja sa besplatnim aktivnostima edukacije i podizanja svijesti o zaštiti osobnih podataka. Na temelju iskustva stečenog u brojnim GDPR projektima, stručnjaci Ostendo Consultinga su pripremili još jedan vrijedan  edukacijski materijal. Knjižicu Procjena legitimnog interesa - detaljno objašnjenje postupka s primjerima.

Uvjerene da su se uskladile sa GDPR, uprave hrvatskih tvrtki ubrzo će iznenaditi milijunske kazne. EU regulativa o zaštiti osobnih podataka savršeno je logična i od tvrtki ne traži ništa više od dužne pažnje prema osobnim podacima koji su im povjereni na obradu.

Svijest o potrebi za zaštitom osobnih podataka ubrzano raste, i to ne samo zahvaljujući GDPR-u. Brojni incidenti uporno nas uče da je bojazan od narušavanja njihove sigurnosti potpuno opravdana. Intenzivna digitalizacija društva eksponencijalno povećava rizik kojem smo izloženi. Više ga jednostavno ne možemo zanemarivati, a posebno to ne smiju činiti oni koji prikupljaju i obrađuju velike količine osjetljivih osobnih podataka.

Prva ozbiljna GDPR kazna zadesila je Google i to u Francuskoj gdje ga je CNIL sa 50 milijuna eura kaznio radi netransparentnog korištenja osobnih podataka za svoje usluge ciljanog oglašavanja. Ova se vrsta oglašavanja danas smatra jednom od najuspješnijih na internetu.

Od dvije velike povrede osobnih podataka u Njemačkoj, ona koja je pogodila političare privukla je gotovo 65 puta veću pažnju. Hoće li EDPB reagirati? Mjesec dana nakon što je njemačko nadzorno tijelo za zaštitu osobnih podataka LfDI upravo simboličnom kaznom od 20.000 eura kaznilo Knuddels.de za curenje osobnih podataka njihovih 330.000 korisnika, bumerang se vratio u obliku objave ukradenih osjetljivih osobnih podataka stotina članova njemačkog parlamenta i drugih javnih osoba.

Incident tijekom kojega je ukradeno 600 tisuća osobnih podatka vozača i 57 milijuna podatka korisnika Ubera dobio je jednu potpuno novu dimenziju. Nedugo nakon postizanja dogovora o isplati odštete od 148 milijuna dolara u Americi, Uberu je 26.11.2018. kaznu od 385 tisuća funti propisao i britanski ICO (Information Commissioner’s Office - ono što je u Hrvatskoj AZOP - Agencija za Zaštitu Osobnih Podataka). U objašnjenju ove odluke piše nešto što će nadajmo se, promijeniti način na koji većina organizacija danas doživljava zaštitu osobnih podataka. Pojasnimo što se zapravo dogodilo u Uberu.

Upravo je nevjerojatno koliko pomutnje je GDPR izazvao u javnosti.  Svi smo svjedočili nebrojenim mailovima u kojima su nas tvrtke za koje jesmo i nismo čuli obavještavali da imaju naše kontakt podatke, te će ih morati obrisati u slučaju da ne dozvolimo njihovo daljnje korištenje za slanje maila. Kako to mislite? Ako nemate našu privolu da nas kontaktirate mailom, temeljem čega ste nam uopće poslali mail u kojem nas upravo takvu privolu tražite?!

Je li ili nije IP adresa osobni podatak, koliko je to uopće važno i kako to utječe na društvo? Raspravljali su stručnjaci za informacijske tehnologije, sigurnost, online marketing, pravnici, ... Rezultati rasprave su blago rečeno uznemirujući.

Osobnim podacima se smatraju setovi podataka koji se odnose na točno određenu osobu čiji identitet je utvrđen ili se može utvrditi izravnim ili neizravnim putem. Kada je voditelj obrade uz razumni napor legalnim putem može nedvojbeno povezati sa konkretnom osobom, IP adresu bi trebalo smatrati osobnim podatkom. U suprotnom, IP adresa nije osobni podatak. O tome svjedoči i odluka Europskog suda pravde od 19.10.2016.

Visoke kazne i Uredba koja ovoga puta vrlo jasno ukazuje na kompetencije koje DPO mora posjedovali rezultirali su sve većim brojem edukacija iz ovog područja. Gotovo svakodnevno nam pristižu upiti u kojima nas tvrtke traže da im pomognemo oko odabira edukacije. Ponuda edukacija u ovom području seže od poludnevnih do petodnevnih, a cijene od besplatnih do desetak tisuća kuna. Ni cijena ni vrijeme nisu relevantni pokazatelji kvalitete, a pogotovo to nije certifikat izdan od tvrtke koja izdaje certifikate za sve i svašta, a nikad se nije bavila zaštitom osobnih podataka, ni edukacijom u tom području.

Za naše prilike sumanuto visoke kazne koje čekaju prekršitelje GDPR su učinile vrućom temom. Telekomi, banke, hotelski lanci, putničke agencije, zdravstvene ustanove i osiguravajuća društva, javna uprava, trgovački lanci... svi oni koji raspolažu većom količinom osobnih podataka, a pogotovo oni koji raspolažu osjetljivim osobnim podacima morat će provesti ozbiljne promjene.

Gotovo da ne postoji proizvođač bilo kakvog informatičkog, a pogotovo infrastrukturnog proizvoda koji u GDPR-u nije uočio sjajnu priliku za povećanje prihoda. Gotovo svaki vendor razvio je posebne prodajne materijale za uvjeravanje korisnika kako je baš njihov proizvod gotovo svemoguće rješenje za GDPR probleme.

Kršenje prava na privatnost, neodgovorno ponašanje prema osobnim podacima i njihova zloupotreba u cilju stvaranja dobiti, a po cijenu nanošenja štete pojedincu postala je poslovna praksa mnogih. Tehnološki napredne kompanije poput onih u telekom i bankarskom sektoru, te inovativni startupi koji danas nude javne servise sa milijunima pa čak i milijardama korisnika obradu su osobnih podataka doveli do savršenstva.

Učinkovito integriranje privatnosti u sve poslovne procese moguće je jedino podizanjem svijesti o značenju osobnih podataka, dobrobiti koje njihova obrada donosi pojedincu i društvu, ali i negativnom utjecaju koji neetička uporaba osobnih podataka može imati. Posve je jasno da će postupak integracije privatnosti u društvo trajati godinama. Organizacije koje upravljaju osobnim podacima u tom postupku moraju biti predvodnici. Ne samo zato što je to dobro za društvo, nego i zato što takav pristup očekuje i GDPR. Kako to izgleda?

Često se čuje da male tvrtke ne mogu implementirati zaštitu osobnih podataka, da je GDPR teško breme koje one ne mogu podnijeti, da je to jedna obična farsa i još jedan u nizu parafiskalnih nameta. Sebe, svoje obitelji, svoje djece i svojih prijatelja radi, GDPR ne smijemo gledati na takav način. GDPR donosi velike pozitivne promjene u društvu.

DPIA je srce GDPR-a. U svojoj srži, GDPR kontrolu nad osobnim podacima želi vratiti vlasnicima kroz promjenu načina razmišljanja o njima, a odgovorno ponašanje prema osobnim podacima na društvenoj razini moguće je postići jedino odgojem generacija svjesnih rizika neodgovorne ili zlonamjerne uporabe osobnih podataka.