Od 25. svibnja ove godine obvezujuća je primjena Opće uredbe o zaštiti podataka (General Data Protection Regulation – GDPR) koja donosi velike promjene na području postupanja s osobnim podacima, pravima pojedinaca i načinima na koji će tvrtke, javne institucije, škole, bolnice, gradovi, komunalne tvrtke i sve pravne osobe, upravljati osobnim podacima građana, kupaca, zaposlenika ili poslovnih partnera.
Istovremeno, svaki će pojedinac napokon moći upravljati korištenjem vlastitih osobnih podataka i spriječiti neovlašteno korištenje. Ukazuje to Igor Barlek, stručnjak u području primjene i usklađivanja s GDPR uredbom, koji je svoje dugogodišnje iskustvo u primjeni EU regulative gradio u Vipnetu, Hrvatskom Telekomu i Optima Telekomu, a sada je Chief Compliance Officer u zagrebačkoj konzultantskoj tvrtki PRAGMATEKH d.o.o., timu iskusnih poslovnih konzultanata, profesionalaca i stručnjaka iz područja GDPR-a.
Osiguravanje privatnosti
- Hrvatska ima već 15 godina Zakon o zaštiti osobnih podataka. Međutim, EU uredba je na hijerarhijski najvišoj razini propisa u EU pa se bez odlaganja, bez odstupanja i bez iznimke izravno primjenjuje u svakoj državi članici EU, odnosno zamjenjuje i stavlja van snage svu prethodno donesenu regulaciju i propise o zaštiti osobnih podataka. Potpuno usklađeno, ujednačeno, s jedinstvenim danom početka primjene u EU, ali s primjenom na sve tvrtke u svijetu, koje prikupljaju i na bilo koji način koriste osobne podatke osoba u EU - upozorava Barlek.
Kako dodaje, nova pravila i nova EU regulacija zaštite osobnih podataka donijeta je jer EU regulativa donesena 1995. nije uspijevala pratiti razvoj novih tehnologija i interneta, uslijed čega je najveći dio naše privatnosti završio izvan granica EU, budući da su naši osobni podaci spremljeni u računalima globalnih giganata novog tehnološkog doba, kao što su Google, Facebook, Apple, Amazon, Alibaba, Uber, Airbnb, Netflix, Viber, eBay, Whatsapp i stotine sličnih.
- Mi sami smo dali svoje osobne podatke kompanijama da i nismo toga svjesni ili ih je netko uzeo od nas, bez da nas je o tome informirao ili tražio ikakvu dozvolu. A privatnost svakog od nas je definitivno naše istinsko pravo i naše individualno vlasništvo. Nažalost, tijekom zadnjih desetak godina, pojavom pametnih telefona, društvenih mreža, evolucijom interneta, izgubili smo i našu privatnost. Internet i razvoj tehnologija dostupnih svakome iz osnove je promijenio način na koji stvaramo, dijelimo i pohranjujemo informacije o nama samima. Nismo ni svjesni tko sve danas u svijetu zna o svakom od nas gotovo sve. Od imena, lokacija koje posjećujemo, do detalja o našem zdravlju, prehrambenim navikama, osobnim sklonostima, kako vozimo svoj automobil, koje lijekove uzimamo, u kojim trgovinama kupujemo, jesmo li kreditno sposobni, pa čak i do toga što ćemo sutra kupiti, kuda otputovati ili s kim se susresti - ukazuje Barlek, dodajući da GDPR tome staje na kraj jer mijenja ponašanje svake tvrtke i osigurava da svaki pojedinac upravlja svojim osobnim podacima i svojom privatnošću.
Obveza za sve
Od 25. svibnja, kako napominje, svaki građanin će imati potpuno pravo na uvid u osobne podatke koje smo dali bilo kojoj tvrtki, trgovini, globalnoj internetskoj kompaniji, javnoj instituciji, komunalnoj tvrtki ili lokalnoj upravi, školi ili vrtiću, i uvid u način na koji one koriste naše osobne podatke.
- Imamo pravo tražiti da nam se da pregled svih podataka koje tvrtka ima o nama, kao i da te podatke, kojima smo mi jedini vlasnici, možemo prenijeti npr. drugoj aplikaciji za slušanje glazbe na internetu, na način da sve zapise o omiljenim glazbenim žanrovima dobijemo u jednom pregledu u elektroničkom obliku. Od posebnog interesa će biti naše novo pravo tražiti da kompanije obrišu sve naše osobne podatke, pa i sve zapise o lokacijama na kojima smo se kretali zadnjih godina, ili sve fotografije koje smo dali nekom internet servisu. Imat ćemo i pravo zatražiti obustavu, odnosno, ograničenje obrade naših osobnih podataka od bilo koje kompanije, i podnijeti prigovor kompaniji ili nadležnom tijelu (Agenciji za zaštitu osobnih podataka) ukoliko smatramo da naša prava nisu ispunjena - ukazuje.
Posebno će biti zanimljivo, kako naglašava, naše pravo da, ukoliko nas neka od kompanija, u okviru svojih novih strogih obveza, izvijesti da radi profiliranje navika i aspekata života osobe temeljem naših osobnih podataka (npr. zdravstveno stanje, financijsko stanje, seksualni život, politička ili vjerska pripadnost), možemo imati izravan utjecaj na izradu takvih naših profila i da uvijek možemo zabraniti ikakvo daljnje profiliranje naših života i procjena naših budućih ponašanja.
- O svemu tome će nas sve tvrtke, pravne osobe, javne institucije, udruge, globalni tehnološki i internetski igrači morati unaprijed obavijestiti, putem jasnih i sažetih obavijesti o svrhama i načinima korištenja naših osobnih podataka, uključujući i sva naša prava na pristanak, brisanje, povlačenje privole ili bilo kojeg drugog prava. Ova obveza će bitno promijeniti poslovne modele mnogih, danas najjačih industrija u svijetu, kao što su bankarski i telekom sektor, farmaceutska industrija, osiguravajuća društva, hotelski i maloprodajni trgovački lanci, marketinške i promotivne kampanje, ali i društvene mreže i svi veliki svjetski tehnološki giganti koji temelje svoje poslovanje na osobnim podacima stotina milijuna ljudi kojima dostavljaju oglase proizvoda temeljem prethodno izrađenih osobnih profila svakog od nas - ukazuje Barlek, dodajući da GDPR napokon daje mogućnost da upravljamo korištenjem naših osobnih podataka.
Kazne i do 20 milijuna eura
Novo načelo odgovornosti zahtijeva da dokažete usklađenost sa svim dijelovima GDPR uredbe i eksplicitno kaže da je to obveza svakog pravnog subjekta, čak i fizičke osobe, koja obrađuje osobne podatke za pružanje roba i usluga drugima. GDPR je odredio maksimalne iznose novčanih kazni za pravne subjekte, u iznosu od 4 posto godišnjeg prihoda ili 20 milijuna eura, u iznosu koji je veći između ta dva navedena. Nimalo dobro ne zvuči. Međutim, to nije najgora kazna koja može sustići tvrtku.
Zamislite s kakvim će se gubitkom reputacije i povjerenja suočavati tvrtke koje se neće uskladiti, posebice one koje posluju s drugim EU tvrtkama ili žive od klijenata iz EU. Nemjerljiva šteta s kobnim posljedicama za ikakav nastavak poslovanja, posebice ukoliko će interes domaćih i inozemnih medija biti prisutan. Stoga će usklađenje s GDPR od svibnja postati jedan od temeljnih preduvjeta poslovanja svake tvrtke u svijetu, bez kojeg ispunjenja tvrtka neće više moći sklapati poslove s poslovnim partnerima, niti zadržati svoje dosadašnje klijente, ukazuje Barlek.
Vanjski službenici - jeftinije i kvalitetnije
Prema postojećem domaćem zakonu koji će prestati važiti, svaka tvrtka koja ima više od 20 zaposlenih morala je odrediti svog Službenika za zaštitu osobnih podataka i o tome obavijestiti Agenciju za zaštitu osobnih podataka. Međutim, EU je prepoznala da svrha takvih obveza iz nacionalnih propisa nije učinkovita te je ukinula kriterij broja zaposlenih i uvela druge kriterije. Striktna obveza nametnuta je i svim javnim institucijama, bez iznimke.
GDPR definira uvjete i kriterije koje pravne osobe moraju odrediti svog Službenika za zaštitu podataka (Data Protection Officer, DPO), i ta osoba mora biti vrsni poznavatelj GDPR uredbe, stručan u području informacijske sigurnosti, poznavanja EU regulative i poslovnih procesa same tvrtke te neovisna u svom radu, bez mogućnosti utjecaja uprave tvrtke, i najvažnije, da nije u sukobu interesa. Jasno je da pojedinca s ovakvom multidisciplinarnom stručnošću rijetko koja tvrtka ili javna ustanova ima među svojim zaposlenicima.
Stoga je EU izrijekom navela mogućnost da takvu zahtjevnu ulogu mogu izvršavati i vanjski službenici za zaštitu podataka te da više pravnih osoba može angažirati istog stručnjaka, tako da danas postoje na tržištu konzultantske tvrtke koje nude usluge tzv. vanjskog DPO ili DPO-for-Rent, što može biti i puno jeftinije i kvalitetnije rješenje za poslovne subjekte.
Multidisciplinarni pristup
Moj dobronamjeran savjet je da tvrtke ne smiju raditi pogrešku povjeravanjem usklađenja poslovanja samo jednoj osobi u tvrtki jer je za potpuno usklađenje potrebno izvršiti prilagodbe i promjene u pravnom, tehnološkom i IT segmentu poslovanja, i najvažnije – u prilagodbi poslovnih procesa tvrtke, bez narušavanja postojećeg poslovnog modela. Stoga je nužno osigurati tim najboljih stručnjaka iz pojedinog područja, kaže Barlek.
Nužnost multidisciplinarnog pristupa vidljiva je na primjeru jedne od najstrožih obveza koje nam donosi GDPR – obveza obavještavanja nadležnog tijela i samih pojedinaca, čiji su osobni podaci „iscurili“ ili na bilo koji način kompromitirani unutar tvrtke. Rok za obavještavanje je najkasnije 72 sata po saznanju. U slučaju nepoštivanja te obveze, slijede zaista rigorozne kazne, određene na način da budu odvraćajuće.
Da bi tvrtka mogla osigurati puno poštivanje ove obveze, mora pronaći najučinkovitiji način da rano otkrije povredu osobnih podataka, spriječi daljnje štete, detektira nastale štete i rizike za pojedince i definira maksimalno učinkovite procese obavještavanja nadležnog tijela i samih pojedinaca te istovremeno spriječi nastanak reputacijske štete. Vidimo i sami da nam je za to potrebno uključiti osobe koje upravljaju procesima unutar tvrtke, tehničko i sigurnosno osoblje, IT stručnjake, pa i osobe za odnose s javnošću.