Jeste li čuli za GDPR?

CURI ROK ZA VAŽNU UREDBU Hrvatska nespremna za postroženu zaštitu osobnih podataka

Danko Radaljac

Ako ste sudjelovali u nekoj nagradnoj igri vaši podaci se mogu koristiti samo i isključivo u tu svrhu, te nakon što ta svrha bude ispunjena ti podaci moraju se potom uništiti. Ako se pak koriste u neke druge svrhe tada to morate znati i dati privolu, kaže Marko Jertec



U dosta segmenata javne uprave u Hrvatskoj sada već postoji uhodan modus operandi prema usuglašavanjima pravila s Europskom unijom. Potrebni zakoni se donesu, ali nikad se ne obavi potpuna implementacija, i zapravo se puno nade ulaže u to da možda nitko neće primjetiti nesrazmjer onoga na papiru i u stvarnosti. Opća uredba o zaštiti podatka (GDPR), donesena na razini Europske unije još 2016. godine, a čije vrijeme za implementaciju istječe krajem svibnja ove godine, mogla bi biti još problematičnija. Naime, teško se oteti dojmu da i realni sektor ove promjene ne dočekuje pripravan, primjerice, jako je malo tvrtki, ali i udruga i organizacija koje imaju osobne podatke pohranjene, uopće odredilo službenika za zaštitu osobnih podatka.


Marko Jertec je osoba koja je adekvatna za popričati o tome što donosi GDPR u svačije živote, jer je u sklopu IT branda Setcor kao stručnjak za informacijsku sigurnost zadužen baš za usklađivanja s ovom odredbom, što zapravo i nije mali posao u projektu koji se dosta bavi baš pohranom podatka


Nova pravila 


– Opća uredba o zaštiti podataka nameće nova pravila organizacijama u Europskoj uniji i onima koji nude robu i usluge ljudima u EU ili prikupljaju i analiziraju podatke vezane za stanovnike EU, bez obzira na to gdje se nalaze. Uredba donosi poboljšana prava privatnosti pojedinaca, povećane obveze zaštite podataka, transparentnost obrade podataka, čuvanja zapisa, obavezno izvještavanje o sigurnosnom proboju nadzornom tijelu u roku 72 sata te značajno veće kazne u slučaju povrede zaštite osobnih podataka, pojašnjava Jertec ukratko što GDPR zapravo znači.




Baš je ovaj dio sa 72 sata koliko pravne osobe imaju vremena da obavijeste korisnike čiji su podaci bili »probijeni« je nešto specifično. Naime, mnoge velike tvrtke u posljednja dva desetljeća baš su bile sklone nečem potpuno drugom – prikrivanju da je uopće došlo do proboja.


Sigurnosni stručnjak drži da će ovakve promjene dovesti do napretka na tržištu.



– Prema istraživanjima Uredbom će biti zahvaćeno oko 90% organizacija u EU, njih 28 milijuna. Svakako će doći do promjena na tržištu rada, jer će tvrtke zapošljavati profesionalce ili koristiti usluge specijaliziranih tvrtki za zaštitu i obradu podataka. Tvrtka koja će pružati bolju zaštitu i jamčiti prava građana bit će tržišno konkurentnija i zasigurno će imati bolju reputaciju i vjerodostojnost što će vrlo konkretno utjecati na povećanje prihoda tvrtke, jer građani će svakako radije trošiti svoj novac na onim mjestima gdje su im njihova prava omogućena, objašnjava Jertec. Otići će i dalje u pojašnjavanju što to znači baš za pojedinca. Što doduše ovisi i od slučaja do slučaja, ovisno o podacima koji se prikupljaju.


– Na primjer, ako ste sudjelovali u nekoj nagradnoj igri vaši podaci se mogu koristiti samo i isključivo u tu svrhu, te nakon što ta svrha bude ispunjena ti podaci moraju se potom uništiti. Ako se pak koriste u neke druge svrhe tada to nedvojbeno morate znati odnosno biti obaviješteni o tome i dati jasnu privolu koju također možete opozvati kad god želite, a tvrtka koja je uzela vaše podatke mora iste ukloniti inače riskira velike kazne, kaže.


A baš te velike kazne su zapravo najveća novina. Jer, kao što pojašnjava ovaj IT stručnjak, i do sada je postojala određena potreba zaštite osobnih podataka kod prikupljanja, ali su kazne bile male ili nepostojeće, a pravni lijekovi za građane ograničeni. Sada se sve to mijenja.


– GDPR to mijenja radikalno. Propisane kazne do 20 milijuna eura ili 4% godišnjeg prihoda ni jednu tvrtku neće ostaviti ravnodušnom. Osim toga, Uredbom se predviđa mogućnost osnivanja društava koje će u tuđe ime prikupljati moguće tužbe pa će tako građani imati mogućnost udruživanja i zajedničkog poduzimanja akcija u slučaju kršenja njihovih prava iz područja zaštite osobnih podataka. Tvrtke će morati kontinuirano biti u mogućnosti dokazati da su sukladne s Uredbom, veli Jertec.


No, svaki hrvatski skeptik u ovakvim situacijama zapitat će se jednu stvar: tko garantira da će domaća nadzorna tijela raditi svoj posao? No, u EU kao da su znali što bi se moglo dešavati, pa će Europski odbor za zaštitu osobnih podataka nadzirati sve nacionalne agencije, a ujedno će moći i samostalno odlučivati o pravnim lijekovima u pojedinim slučajevima. Građani će također imati pravo izravnog obraćanja i dostavljanja pritužbi nacionalnim agencijama, nacionalnim sudovima ili europskim sudovima. Neće biti potrebno prolaziti kroz postupke prolaženja svih instanci.


Uvođenje reda 


Sve ovo može djelovati i malo opasno po pravne subjekte u Hrvatskoj, pogotovo ukoliko neki opći dojam da se mnogo ne brinu oko ovog nije kriv. Ali Jertec upozorava da će to biti krivica samih tvrtki i organizacija.


– Uredba zapravo nije ništa novo. Principi informacijske sigurnosti koji su sada ozakonjeni postoje više od desetljeća, zakoni na razini Europske unije postoje od 1995., u Hrvatskoj od 2003., dok je sam GDPR izglasan 2012. te je od 2016. započeo rok prilagodbe u trajanju od 2 godine. Sada nas nekoliko mjeseci dijeli od pune primjene Uredbe i ne možemo reći da nismo znali. Pitanje je jesmo li htjeli učiniti nešto po pitanju informacijske sigurnosti i zaštite osobnih podataka, poentira informacijski stručnjak.


S ove nestručne strane za obične ljude čini se kao da je ovo nešto dobro. U svijetu gdje je osobni podatak postao tržišna vrijednost (pitajte Google i Facebook o tome) svakako veseli da regulator želi uvesti red na to ovo tržište te zaštiti običnog čovjeka pred IT gigantima, ali i svim drugima koji bi mogli (zlo)upotrebljavati osobne podatke.