GDPR: Najbitniji potez Evropske unije ka osiguranju prava građana i ideje demokratije

IZDVAJAMO

GDPR je nedvosmisleno donio veća prava za krajnje korisnike, te više posla i troškova za kompanije. U SAD-u, gdje su registrovani neki od najviše korištenih online servisa, već su stigla službena obavještenja da su politike ovih kompanija usklađene s GDPR-om, što govori u prilog njihovom interesu da zadrže svoje prisustvo na tlu EU.

GDPR: Najbitniji potez Evropske unije ka osiguranju prava građana i ideje demokratije

Opšta uredba o zaštiti podataka (GDPR) donijela je veća prava za krajnje korisnike, a više posla i troškova za kompanije. Da li će se njome proširiti koncept društvenog ugovora i na digitalni svijet?

Online dostupni podaci su „nafta nove ekonomije“, tvrdi The Economist. Činjenica je da su digitalne tehnologije toliko integrisane u naše živote da dosta korisnika svjesno ili nesvjesno daje lične podatke online servisima. Često dijelimo svoje fotografije, popunjavamo raznorazne online formulare radi registrovanja za online servise, jasno preciziramo svoju geografsku lokaciju, istražujemo određene oblasti, kupujemo i prodajemo online i slično. Sve ove naše aktivnosti podrazumijevaju fluktuaciju ogromne količine podataka koji se koriste u svrhe raznih istraživanja, primarno – ko, odakle i zašto pristupa određenim platformama, i vrše određene online aktivnosti. Naprimjer, komercijalnim kompanijama online interesovanja korisnika pomažu da mapiraju tržište gdje ima najviše interesa za njihove proizvode, te s tim u vezi da prilagode svoju proizvodnju, ponudu i reklame korisnicima u skladu s iskazanim interesom i naprave veći profit.

Čak i da ne zalazimo u način korištenja podataka koje dajemo raznoraznim online platformama, dovoljno je da pokušamo odgovoriti na pitanje koliko smo samo podataka unijeli na neke online platforme, kod koga se nalaze svi naši podaci i kome se možemo obratiti ako želimo da neke online informacije budu uklonjene? Još ako tome dodamo zabrinjavajuće brojke koje govore o online krađi identiteta, bankovnih računa, hakiranju računarskih sistema i slično, ova pitanja nikada nisu bila relevantnija za sve pojedince koji imaju pristup internetu.

Prenos podataka je transnacionalan i sve brži, što znači da je jako teško pratiti put diseminacije, ali i utvrditi nečiju pravnu odgovornost zbog zloupotrebe.
Ovo je kompleksna problematika koju je globalna priroda upotrebe digitalnih tehnologija donijela. Prisjetimo se samo slučaja Prava na deindeksiranje, u javnosti poznatijeg kao slučaja Google prava da budete zaboravljeni, gdje su po prvi put evropski sudovi zauzeli stajalište da je kompanija registrovana pod pravom strane države ipak pravno odgovorna za online sadržaj koji se tiče državljana članice Evropske unije. Izuzetnu složenost ovog slučaja za sudove je predstavljalo nepostojanje direktnog pravnog uporišta za ovu odluku. Drugi nedavni slučaj samo je dodatno podgrijao debatu kada je do javnosti došlo saznanje da je Facebook nezakonito pribavljao i davao trećem licu – kompaniji Cambridge Analytica – privatne podatke više od 87 miliona svojih korisnika, od kojih su 2,7 miliona građani zemalja EU. Vlade mnogih država su konačno reagovale, tražeći javno svjedočenje osnivača i prve odgovorne osobe Facebooka. Konačno, reakcija vladinog sektora na evropskom tlu zaokružena je reformisanjem postojećeg zakonodavnog okvira iz 1995. godine u vezi sa zaštitom ličnih podataka online korisnika, čija bi implementacija trebala donijeti punu transparentnost za sve aktere u online saobraćaju podataka.

Naime, 25. maja 2018. godine na snagu je stupila Opšta uredba o zaštiti podataka (General Data Protecton Regulation − GDPR), s ciljem da se zaštita online podataka ujednači i standardizuje za sve korisnike, bez obzira na to pod koju jurisdikciju potpadaju.

GDPR: šta, koga i od čega štiti?

Cilj Uredbe je da pruži neposrednu zaštitu individualnim korisnicima. Ovaj vid neposredne zaštite dosta konkretno govori o posljedicama koje subjekti koji prikupljaju i koriste privatne podatke građana mogu potencijalno iskusiti, i to specijalno u vidu novčanih kazni, pri čemu one dosežu i cifre od 20 miliona eura, odnosno 4% od godišnjeg prihoda nekog pravnog lica.

Nekoliko aspekata GDPR-a je posebno interesantno za analizu. Prvenstveno, treba napomenuti da GDPR ima globalni utjecaj. Ovo je pravno obavezujući akt koji primarno štiti građane EU, ali po prvi put jedini kriterij za određivanje njegove primjene je korisnik kao građanin EU. Drugim riječima, GDPR jasno kazuje da svi odgovaraju za kršenje prava građana EU, bez obzira na to ko su oni i gdje im je pravno sjedište ili prebivalište. Dakle, kriterij za određivanje sudske nadležnosti ovdje je državljanstvo subjekta čiji se podaci prikupljaju ili obrađuju, a ne ko ih obrađuje ili gdje se to radi. Dakle, ukoliko se podaci prikupljaju i obrađuju u SAD-u ili možda Kini, a prikupljeni podaci pripadaju građanima EU, tada su ta treća lica odgovorna prema GDPR-u. Stoga, prema GDPR-u, spomenuti problem jurisdikcije ne bi trebao predstavljati pitanje za raspravu, kako je to bio slučaj sa Google pravom da budete zaboravljeni.

Kontrolori i procesori podataka

GDPR uvodi dvije osnovne kategorije subjekata uključenih u proces prikupljanja i obrade podataka: kontrolori i procesori podataka.

Kontrolori podataka (eng. data controller) nisu oni koji nužno prikupljaju podatke već primarno fizička ili pravna lica koja definišu uslove pod kojima se podaci prikupljaju kao i svrhu u koju se prikupljaju. Kontrolori mogu biti ujedno i oni koji obrađuju podatke, ali ne nužno. Naime, u praksi je često slučaj da oni angažuju treća lica koja skladište i obrađuju podatke pod definisanim uslovima kontrolora. Prema GDPR-u, procesori podataka (eng. data processor) upravo su ta treća lica koja prikupljaju podatke i obrađuju ih u određenu svrhu.

GDPR je zasnovan na nekoliko krucijalnih principa i u vezi s tim jasno kazuje da proces prikupljanja i obrade podataka mora biti vršen na zakonit način, transparentno i s konkretnom, specifičnom svrhom.

Ovo se primarno odnosi na činjenicu da svi oni koji daju bilo koju vrstu svojih podataka moraju imati jasnu mogućnost da shvate u koje će svrhe njihovi podaci biti korišteni, te, konačno, mora im se ponuditi mogućnost da prihvate ili odbiju da se njihovi podaci koriste za obradu u vezi s konkretnom svrhom.

Šta su privatni podaci prema GDPR-u?

GDPR je donio i novine u oblasti definisanja pojma ličnih podatka. Naime, GDPR definiše pojam ličnih podataka kao svaku informaciju koja se može dovesti u vezu s identifikovanjem fizičke osobe, detaljnije obrazlažući da to znači bilo kakvo povezivanje s imenom, identifikacionim brojem, lokacijom ili bilo koji drugi online faktor koji može da posluži kao identifikator osobe na osnovu fizičkog, psihološkog, genetskog, mentalnog, ekonomskog, kulturnog ili socijalnog identiteta određene osobe.

Prednosti i mane regulacije

Ideja GDPR-a je da kontrola nad zaštitom podataka bude primarno na krajnjim korisnicima, jer su oni ti koji sada imaju nedvojbeno pravo izbora da li će njihovi podaci biti prikupljani i obrađivani. S tim u vezi, Uredba navodi da jezik koji se koristi prilikom pisanog objašnjenja za korisnike o prikupljanju podataka mora biti razumljiv. Krajnji korisnik je aktivno legitimisan da zatraži od kompanije informaciju o svim svojim ličnim podacima koji se nalaze u posjedu te kompanije, kao i da zahtijeva da određene podatke potpuno uklone.

Kao što je rečeno, problem jurisdikcije je sada pojednostavljen – kako za krajnje korisnike tako i za kontrolore i procesore, jer se nadležnost sudova određuje prema pripadajućoj jurisdikciji krajnjeg korisnika čiji se podaci prikupljaju i obrađuju.

Oni iz prakse smatraju da u teoriji GDPR zvuči kao odlično rješenje. Međutim, u praksi, dodaju, bit će jako teško na razumljiv način opisati krajnjim korisnicima šta su algoritmi i kako se na osnovu kompleksnih matematičkih i programskih procedura dolazi do potrebnih meta-podataka i željenih rezultata.

Dodatno, ICT kompanije smatraju da će GDPR donijeti visoke troškove njihovim poslovanjima. Nije samo potrebno imati jasno istaknutu politiku poslovanja usklađenu s GDPR-om i pribavljanje pristanka korisnika – kompleksna procedura će zahtijevati od njih i angažovanje tima stručnjaka koji će kontinuirano pratiti način provođenja Uredbe, odgovarati na zahtjeve korisnika i cijeniti njihovu opravdanost. Dodatni troškovi odnose se na unapređenje softvera koji će moći klasifikovati privatne podatke od ostalih, te subjekte koji prikupljaju i obrađuju podatke.

Kritikuju se i krajnje visoke i neproporcionalne svrsi novčane kazne za kontrolore u slučaju neusaglašavanja politike poslovanja sa GDPR-om. Naime, kazne mogu biti ili 20 miliona eura ili 4% od godišnjeg prihoda, u zavisnosti od toga koji iznos od ova dva je veći.

Konačno, postavlja se pitanje šta se dešava ako ne date pristanak za prikupljanje i obradu svojih podataka. Neki kažu da će to značiti da ne možete pristupiti određenom servisu, a drugi da je moguće pristupiti, s tim što vaši podaci ostaju samo vaši.

Primjena GDPR-a povlači i dosta diskrecije. Naime, kako je gore pojašnjeno, Uredba dosta šturo kazuje da podaci moraju biti prikupljani na zakonit način, transparentno i s konkretnom svrhom. Ipak, ujednačeni standardi za određivanje ovih termina još uvijek nisu jasno određeni, države imaju različite prakse u ovom smislu i moguće je da će sudski procesi biti inicirani baš iz ovih razloga.

Također, GDPR otvoreno dopušta državama određeni stepen diskrecije, što može stvoriti problem kontrolorima za ujednačavanje njihove politike poslovanja na globalnom nivou. Naprimjer, GDPR kaže da je dobna granica za osobu da dā svoj otvoreni pristanak 16 godina, ali dodaje da države članice EU mogu zakonom regulisati ovu dobnu granicu drugačije, s tim da minimalna dobna granica ne bude ispod 13 godina života.

Dodatni primjer diskrecije za države članice jeste u vezi s regulisanjem prikupljanja i obrade osjetljivih ličnih podataka koji se tiču genetike i zdravlja, te podataka u vezi s osuđujućim presudama u krivičnim postupcima, između ostalih. Postavlja se razumno pitanje kako će kompanije ujednačiti svoje politike u vezi s ovim pitanjima, ako su zakonska rješenja drugačija na nivou država, a ipak su pod pozitivnom obavezom GDPR-a?

Prve reakcije

GDPR je nedvosmisleno donio veća prava za krajnje korisnike, te više posla i troškova za kompanije. U SAD-u, gdje su registrovani neki od najviše korištenih online servisa, već su stigla službena obavještenja da su politike ovih kompanija usklađene s GDPR-om, što govori u prilog njihovom interesu da zadrže svoje prisustvo na tlu EU. Ipak, samo dan nakon stupanja na snagu Uredbe predate su i prve tužbe evropskim sudovima. Neke od njih optužuju kompanije kao što su Facebook, Alphabet (ciljajući na Google), WhatsApp i Instagram da usklađivanjem sa GDPR-om doprinose takozvanoj „balkanizaciji“ interneta, u smislu da njihove alternative „uzmi ili ostavi“ nisu u skladu sa GDPR-om jer onemogućavaju korisnicima pristup određenim servisima samo zbog činjenice što oni žele zadržati svoje privatne podatke. Ovo je označeno kao akcija koja stoji nasuprot slobodi izbora, ali i osnovnoj prirodi interneta kao online platforme za sve, a ne za pojedinačne skupine.

U svakom slučaju, praksa provođenja GDPR-a će svakako ukazati na sve potencijalne nedostatke. Zasad, mnogi su mišljenja da je činjenica da sada imamo zakonom garantovano pravo izbora itekako bitna. Mnogi smatraju da koncept društvenog ugovora mora biti proširen na digitalni svijet i da je reakcija vlada zemalja EU kroz donošenje GDPR-a jedan od najbitnijih koraka ka toj ideji – radi zaštite prava građana i ideje demokratije.

About The Author