pravo na zaštitu osobnih podataka

GDPR: Koja prava imamo i zašto je danas važnije nego ikad zaštititi svoje osobne podatke

2018. u Hrvatskoj i u cijeloj Europskoj uniji izravno se u cijelosti počela primjenjivati Opća uredba o zaštiti podataka

Piše:

Azop

Objavljeno: 28. siječanj 2021. 16:14

Lislud

Osobni podaci su svuda oko nas. Ime i prezime, datum rođenja, kućna adresa, adresa elektroničke pošte, IP adresa, broj osobne iskaznice, zdravstveni podatak kao primjerice podatak o Vašoj dioptriji, otisak prsta, registarska oznaka automobila, Vaša fotografija i mnogi drugi podaci – SVE SU TO VAŠI OSOBNI PODACI. Osobni podaci svakog građanina su njegova najvrjednija imovina. Zlouporabom osobnih podataka duboko se narušava povjerenje, sigurnost i privatnost kao neizostavni segmenti osobnosti svakog čovjeka.

Svi smo mi u određenom trenutku 'ispitanici' (GDPR rječnikom oni čiji se osobni podaci obrađuju), bilo da se naši osobni podaci obrađuju u okviru radnog mjesta, u školi, na internetu, u zdravstvenim ordinacijama, na društvenim mrežama, u kozmetičkim salonima, bankama...

Datum koji će ostati zabilježen u povijesti kao datum koji je označio prekretnicu u svijetu zaštite osobnih podataka je 25. svibnja 2018. godine. Tog datuma u Republici Hrvatskoj i u cijeloj Europskoj uniji, izravno se u cijelosti počela primijenjivati Opća uredba o zaštiti podataka (eng. General Data Protection Regulation, najpoznatija pod akronimom GDPR). Zakonom o provedbi Opće uredbe o zaštiti podataka koji je stupio na snagu 25. svibnja 2018. osigurava se provedba Opće uredbe o zaštiti podataka.

Cilj Opće uredbe o zaštiti podataka je zaštiti osobne podatke fizičkih osoba, pružiti kontrolu građanima nad njihovim osobnim podacima te stvoriti visoku i ujednačenu razinu zaštite podataka u Europskoj uniji. Ujedno, Opća uredba olakšava poduzećima poslovanje na jedinstvenom digitalnom tržištu te pojednostavljuje prekogranični protok osobnih podataka.

GDPR je zakonski propis koji nastoji ići u korak s brzim razvojem tehnologije i odgovoriti na izazove u eri velikih podataka. Krajnji cilj je stvoriti sustav u kojem je u središtu čovjek, koji je zaštićen od invazivnih tehnika „uhođenja“ i profiliranja temeljenih na kršenju načela zaštite osobnih podataka i prava na privatnost, a čime bi se ujedno vratilo poljuljano povjerenje pojedinca u elektroničke usluge i jedinstveno digitalno tržište. Nadzorna tijela za zaštitu podataka koja su nadležna za nadziranje provedbe ove Uredbe, imaju za zadatak osigurati da se GDPR ne pretvori u „tigra od papira“, nego da doista natjera organizacije pogotovo „velike igrače“ da poštuju temeljno ljudsko pravo- pravo na zaštitu osobnih podataka.

U strahu od drakonskih kazni koje propisuje GDPR, brojni poslovni subjekti (GDPR rječnikom voditelji/izvršitelji obrade) napravili su svojevrsnu inventuru osobnih podataka koje koriste u svom poslovanju. Kad govorimo o novčanim kaznama, bitno je napomenuti da postoje dva seta kršenja; za neka kršenja (obveze voditelja i izvršitelja obrade te certifikacijskog tijela i tijela za praćenje kodeksa ponašanja) propisana je maksimalna kazna u iznosu od 10 milijuna eura ili 2% godišnjeg prometa na svjetskoj razini, a za druga kršenja (načela obrade, prava ispitanika, prijenosi u treće države, obveze u skladu s nacionalnim pravom, nepoštovanja naredbe ili pravo pristupa nadzornog tijela) propisana je maksimalna kazna do 20 milijuna eura ili 4% godišnjeg prometa na svjetskoj razini, ovisno o tomu što je veće. Danas su u fokusu javnosti milijunske kazne kojima su europska nadzorna tijela za zaštitu podataka kaznila tehnološke gigante kao što su Google, Facebook i Amazon.

Primjerice, zbog ozbiljnosti prekršaja (kršenje načela zakonitosti i transparentnosti) izrečene su kazne od 60 milijuna eura Googlu LLC i 40 milijuna eura Googlu Ireland te 35 milijuna eura Amazonu Europe Core. U paničnom lovu na osobne podatke, organizacije su naišle uglavnom na hektično stanje u bazama podataka, računalima, dokumentima, e-pošti, na usb stick-ovima, mobitelima i slično. Stupanje GDPR-a na snagu rezultiralo je usklađivanjem s novom regulativom u velikom broju organizacija, dok su neke još u procesu usklađivanja. Često je organizacijama nedostajalo kvalitetnog upravljanja podacima te su se vodile načelom - podaci su nova nafta, „što više podataka to bolje“, iako nisu niti svjesne kojim sve osobnim podacima raspolažu.

AGENCIJA ZA ZAŠTITU OSOBNIH PODATAKA (AZOP): Nadzorno tijelo nadležno za provedbu gdpr-a u Hrvatskoj

Kako bi mogao zaštiti svoje osobne podatke, za svakog pojedinca je izuzetno bitno da je upoznat sa svojim pravima. S druge strane, kako se ne bi našao u ulozi prekršitelja Uredbe, za svakog voditelja/izvršitelja obrade je prvenstveno važno da je jako dobro upoznat sa svojim obavezama koje proizlaze iz Opće uredbe o zaštiti podataka i Zakona o provedbi Opće uredbe o zaštiti podataka, koji je stupio na snagu 25. svibnja 2018. kako bi osigurao provedbu Opće uredbe o zaštiti podataka.

U Republici Hrvatskoj Agencija za zaštitu osobnih podataka nadzire usklađenost svih dionika s GDPR-om. Agencija za zaštitu osobnih podataka kontinuirano ulaže napore da zaštita osobnih podataka, kao jedno od temeljnih ljudskih prava, postane opće prihvaćeno načelo rada svih koji prikupljaju, obrađuju i prenose osobne podatke. Ravnatelj Agencije za zaštitu osobnih podataka, Zdravko Vukić, naglašava da Agencija provodi niz aktivnosti s ciljem podizanja svijesti o važnosti zaštite osobnih podataka, sa snažnim naglaskom na prevenciju.

Na ovaj način organizacije mogu izbjeći situacije u kojima se zbog neinformiranosti mogu naći u ulozi prekršitelja Uredbe, a samim time snositi i odgovarajuće sankcije, kao što su upravne novčane kazne i druge korektivne mjere.

U tu svrhu Agencija za zaštitu osobnih podataka pojačano radi na podizanju razine svijesti pojedinca kao ispitanika, međutim radi i na osvješćivanju onih koji naše osobne podatke obrađuju, 'voditelja i izvršitelja obrade'; to su primjerice tijela javne vlasti, agencije za naplatu potraživanja, trgovačka društva, obrtnici, bolnice, banke, škole društvene mreže i mnogi drugi.

KOJA SU PRAVA GRAĐANA VEZANO ZA ZAŠTITU OSOBNIH PODATAKA?

GDPR-om su zajamčena određena prava za svakog pojedinca, pa tako obrada Vaših podataka mora biti transparentna i svaki pojedinac ima pravo na informacije o svakoj obradi koja se vrši nad podacima pojedinca čime se iste informira između ostalog o tome tko obrađuje podatke, zašto ih obrađuje, koliko dugo će ih pohraniti i slično, pritom koristeći jasan i jednostavan jezik lišen komplicirane stručne terminologije.

GDPR Vam daje pravo na pristup vlastitim podacima, čime u biti pojedinac može utvrditi jesu li podaci točni, što nas dovodi do sljedećeg važnog prava - prava na ispravak podataka. Zamislimo samo kako bi nelagodno bilo da zbog pohranjenog netočnog podatka o adresi Vaše elektroničke pošte, drugi pojedinac dobije Vaš ginekološki nalaz ili da Vas banka ne može kontaktirati u slučaju pronalaska Vaše kreditne kartice jer je pohranila Vaš netočni telefonski broj? Ili situaciju da dobijete račun na svoje ime, ali s OIB-om druge osobe te da Vas se tereti za dug koji nije Vaš?

GDPR Vam daje mogućnost da 'budete zaboravljeni'. Primjerice, kad upišete svoje ime i prezime u internetsku tražilicu, u rezultatima pretraživanja pojavljuje se poveznica na članak od prije 15 godina u kojem ste lažno optuženi za krađu, a što Vam naravno uzrokuje probleme u poslovnom i privatnom životu. Ako niste javna osoba i vaš interes da se članak ukloni nadilazi javni interes prava na informiranje, možete se obratiti voditelju obrade (npr. Google, Bing, Yahoo) sa zahtjevom za uklanjanje poveznice iz rezultata pretraživanja na internetsku stranicu na kojoj se nalazi novinski članak s Vašim osobnim podacima.

Pojedinci obradu mogu i privremeno ograničiti, a mogu zatražiti i pravo na prenosivost svojih podataka, primjerice prijenos podataka klijenta iz jedne banke u drugu, pod uvjetom tehničke izvedivosti.

U određenim slučajevima imate pravo prigovoriti obradi, primjerice ako ne želite više primati promotivne letke nekog trgovačkog lanca putem e-maila. U tom slučaju često je dovoljno u elektronskoj poruci označiti unsubscribe, a daljnja obrada nakon tog trenutka postaje nezakonita.

JE LI PRIVATNOST MRTVA?

Često možemo čuti pesimistične priče o tome kako u biti više privatnosti nema, živimo u „Big Brotheru“, Google prati svaki naš pokret, poznaje nas bolje od mame i supružnika, snimaju nas na radnom mjestu, u javnom prijevozu, prometu, mobitelom, kamerama na javnim površinama, na internetu putem kolačića prikupljaju naše podatke, data brokeri kupuju i prodaju naše podatke, izrađuju profile nakon čega dobivamo personalizirane ciljane oglase, pa čak i poruke s ciljem širenja dezinformacija, manipulacije i utjecaja na naše misli i postupke, a povrh svega špijuniraju nas i američke tajne službe.

Bojazni i sumnje pojedinaca dodatno su pojačane u srpnju 2020. godine nakon tzv. „pada Privacy Shielda“, glavnog pravnog instrumenta za prijenose osobnih podataka građana EU u SAD.

Naime, 2013. godine Edward Snowden, bivši službenik američke Nacionalne sigurnosne agencije javno je objavio da američke obavještajne agencije imaju pristup osobnim podacima europskih građana u okviru programa nadzora kao što je PRISM.

Taj je pristup olakšan američkim zakonom FISA i u biti omogućava američkim vlastima nadzor i pristup podacima europskih građana. Istovremeno, sve više osobnih podataka prikupljaju i američki davatelji elektroničkih komunikacijskih usluga te mnogi smatraju da ih dijele s američkom vladom u svrhu nadziranja ili manipulacije osobnim podacima europskih građana.U opasnosti su demokratski procesi, sloboda mišljenja i sloboda govora. Složit ćemo se svi da aktivnosti masovnog nadzora ulaze duboko u osobni prostor pojedinca te mogu imati negativan učinak na demokraciju.

Osobni podaci postali su roba kojom se trguje, a pod monetizacijom podataka podrazumijevamo direktnu prodaju podataka ili korištenje podatkovne analitike za povećanje prihoda. Na prvi pogled vrijednost podataka koji otkrivaju što osoba npr. lajka na društvenoj mreži ne čini se pretjerano velika.

Međutim, korištenjem metode psihografijskog modeliranja i uparivanja s drugim podacima, ti podaci koriste se za profiliranje korisnika i prepoznavanje npr. političkih preferencija, širenja lažnih vijesti ciljanim skupinama te utjecaja na misli i postupke pojedinaca.

U slučaju podatkovne industrije u EU, Opća uredba o zaštiti podataka uvodi ujednačenu kulturu upravljanja osobnim podacima na području cijele EU. Također, potreban je zajednički pristup i djelovanje svih demokratskih zemalja jer prikupljanje velikih količina podataka, koji su analizirani, uparivani te potom služe za izradu profila i dostavljanje personaliziranih poruka ciljanim skupina

Prikupljanje i obrada osobnih podataka često je netransparentna i pod krinkom pružanja naizgled besplatnih usluga. Uredba ima za cilj smanjiti asimetriju informacija između pružatelja usluga i korisnika te doprinijeti stvaranju sustava u kojem će pojedinac biti zaštićen od invazivnih tehnika „uhođenja“. Međutim, kako to uvijek biva potrebno je odvagnuti prednosti i mane određenih tehnoloških rješenja i usluga informacijskog društva te ako ih odlučimo koristiti moramo poštovati pravila igre. Zvuči jednostavno, zar ne?

EUROPSKI DAN ZAŠTITE OSOBNIH PODATAKA

Agencija za zaštitu osobnih podataka 28. siječnja 2021. petnaesti put zaredom prigodno obilježava Europski dan zaštite osobnih podataka. Naime, u svrhu podizanja svijesti javnosti o temeljnom ljudskom pravu - pravu na zaštitu osobnih podataka i privatnosti, Vijeće Europe je, uz potporu Europske komisije, 2006. godine proglasilo 28. siječanj Europskim danom zaštite podataka, koji se u svijetu još naziva i Dan privatnosti.

Tim povodom Agencija za zaštitu podataka u suradnji s HGK organizira međunarodnu konferenciju u hibridnom formatu na temu „Digitalna transformacija i zaštita osobnih podataka u doba globalne pandemije“.

AZOP ima iznimnu čast drugu godinu zaredom, uz vodeće domaće i inozemne stručnjake, ugostiti i Europskog nadzornika za zaštitu podataka, g. Wojciecha Wiewiórowskog. Ove godine Agencija će biti domaćin Proljetne konferencije Europskih tijela za zaštitu podataka, najznačajnije stalne konferencije koja okuplja čelnike nadzornih tijela iz EU i šire.

Izazovi u vrijeme krize

Brojne besplatne aktivnosti za mikro, male i srednje poduzetnike u okviru projekta EU, ARC

U jeku ekonomsko-društvene krize bez presedana uzrokovane globalnom pandemijom, a u kojoj su se mikro, mali i srednji poduzetnici našli kao najugroženija skupina gospodarskog sustava, Agencija za zaštitu osobnih podataka u okviru EU projekta ARC- Awareness raising campaign for small and medium enterprises - Kampanje podizanje svijesti o zaštiti podataka za male i srednje poduzetnike, sufinanciranog iz programa EU o „Pravima, jednakosti i građanstvu“, provodi čitav niz besplatnih aktivnosti kako bi poduzetnicima u ovim kriznim vremenima olakšala poslovanje odnosno usklađivanje s Općom uredbom o zaštiti podataka. Uz potporu Hrvatske gospodarske komore, aktivnosti prilagođene specifičnim potrebama mikro, malih i srednjih poduzetnika održavat će se i tijekom cijele 2021. godine za sve zainteresirane poduzetnike diljem Hrvatske. Agencija poziva sve mikro, male i srednje poduzetnike na sudjelovanje u istraživanju o razini svijesti o zaštiti podataka koje je dostupno na web stranici ARC projekta. Svrha istraživanja je stjecanje uvida u izazove s kojima se susreću srednji i mali poduzetnici prilikom usklađivanja s Općom uredbom o zaštiti podataka u svom poslovanju i jasnije razumijevanje njihovih potreba. Agencija za zaštitu podataka je koordinator ovog iznimno značajnog projekta, a u projektu sudjeluju partneri i vrhunski stručnjaci za zaštitu podataka iz Data Protection Commission Ireland i sveučilišta Vrije University Bruxelles.

Agenciji će u 2021. fokus biti na zaštiti podataka djece

Preporuka Agencije je da korisnici za svaku svoju prijavu u internet servis ili neku drugu uslugu koju koriste, kreiraju zasebnu snažnu lozinku kojom će pristupati u taj servis ili uslugu

SAVJETI ZA ORGANIZACIJE

Imajući u vidu da je GDPR podosta teško štivo, u nastavku dajemo suma summarum najvažnije savjete za voditelje/izvršitelje obrade. O svojim obavezama organizacije (voditelji/izvršitelji obrade) mogu se detaljnije infomirati na web stranici Agencije za zaštitu osobnih podataka i putem mobilne aplikacije GDPR HRVATSKA.

Prvenstveno dobro upoznajte tzv. strukovne propise koji uređuju djelatnost kojom se bavite. Imajte na umu da ako nešto nije propisano zakonom, ne smijete očajavati jer i druge obrade mogu biti zakonite, ako su primjerice temeljene na ugovoru, ako se radi o službenoj ovlasti ili javnom interesu, životnom važnom interesu pojedinca, Vašim legitimnim interesima ili Vam je pojedinac dao privolu. Budite transparentni. Upoznajte pojedince s obradama u Vašoj organizaciji i svim drugim informacijama na koje pojedinci imaju pravo, primjerice putem internih akata ili pružanjem slojevitih obavijesti o privatnosti na internetskoj stranici.

Vodite računa o tome jeste li obavezni imati evidenciju aktivnosti obrade i imenovati službenika za zaštitu podataka. Educirajte Vaše zaposlenike. Povećanu pažnju posvetite posebnim kategorijama podataka, primjerice podacima o zdravlju, etničkom podrijetlu, podatku o članstvu u sindikatu i slično. Nemojte dopustiti da svi zaposlenici imaju pristup svim podacima, neka Vaši zaposlenici potpišu izjave o povjerljivosti, vodite računa o izvršitelju obrade kojem ste povjerili određene obrade te s njim sklopite ugovor.

SAVJETI ZA GRAĐANE

Manja je vjerovatnost da će Vaši podaci biti zloupotrijebljeni u slučajevima kad se isti dostavljaju u skladu sa zakonima te kad za dostavu osobnih podataka postoji i osnovana (zakonita) svrha – npr. dostava osobnih podataka poslodavcu, liječniku, državnim tijelima i ostalim pružateljima usluga u svrhu isporuka tih usluga isklapanja ugovora itd., dostava podataka banci u kojoj je osoba klijent i ostalim pravnim osobama i/ili državnim tijelima u svrhu reguliranja uzajamnih odnosa. Naime, na tim relacijama postoji mogućnost kontrole nad obradom osobnih podataka, budući da je poznato tko, kako, temeljem čega i u koju svrhu obrađuje osobne podatke.

U situacijama kad osobne podatke dostavljate nepoznatim osobama npr. dostavljate preslike osobnih iskaznica za sudjelovanje u nagradnim igrama na društvenim mrežama, postoje mnogobrojne mogućnosti zlouporabe Vaših osobnih podataka. Jedan od načina zlouporabe s najozbiljnijim posljedicama za pojedinca je krađa identiteta. Osim što predstavlja povredu privatnosti (npr. otvaranje lažnog Facebook profila, lažno predstavljanje, sklapanje lažnog pretplatničkog ugovora) ujedno je i kazneno djelo za koje je predviđena i kazna zatvora do godinu dana (za osnovni oblik tog djela).

ZAŠTITITE SVOJ VIRTUALNI IDENTITET!

Čitajte pravila privatnosti, pazite na postavke privatnosti na društvanim mrežama, ne „klikajte“ OK na sve uvjete bez čitanja, čitajte sitna slova! Pazite što objavljujete na internetu, ne objavljujte bez dozvole tuđe osobne podatke! Ono što je jednom objavljeno na internetu vrlo teško se briše, a može narušiti Vaš ugled, privatnost ili Vam nanijeti materijalnu štetu! Preporuka Agencije je da korisnici za svaku prijavu u Internet servis ili neku drugu online uslugu koju koriste, kreiraju zasebnu snažnu lozinku kojom će pristupati u taj servis ili uslugu te da ne koriste isto korisničko ime i lozinku za više servisa ili usluga.

KAKO ISPUNITI OBAVEZE IZ GDPR-a I ŠTO AZOP MOŽE UČINITI ZA VAS?

O važnosti zaštite osobnih podataka, svjedoči i istraživanje koje je provela Agencija EU za temeljna prava, pa tako je 69% stanovništva EU u dobi od 16 godina i više čulo za GDPR, a 71% ispitanika u EU je čulo za svoje nacionalno tijelo za zaštitu podataka. Voditi računa o pitanjima zaštite osobnih podataka nije financijski i administrativno nepremostiva zapreka, već prilika za povećanje operativne učinkovitosti i konkurentnosti. Takvo ulaganje je nužno kako bi organizacije i u budućnosti opstale na tržištu, a time jačaju i povjerenje pojedinca u digitalne usluge kao ključa razvoja modernog gospodarstva.

Mnoga poduzeća prepoznala su da će usklađivanje s GDPR-om pozitivno utjecati na njihov imidž i na mišljenje korisnika o njihovom načinu poslovanja. Svaki građanin koji smatra da mu je povrijeđeno pravo na zaštitu osobnih podataka može se obratiti Agenciji sa zahtjevom za utvrđivanje prava, nakon čega će Agencija provesti nadzorni postupak, donijeti rješenje, u kojem će ako se utvrdi da je došlo do povrede, naložiti organizaciji prestanak obrade osobnih podataka i izreći prekršitelju odgovarajuće sankcije.

Kako bi takvih slučajeva bilo što manje, voditelji i izvršitelji obrade (organizacije, poslovni subjekti) mogu računati na potporu AZOP-a prilikom usklađivanja s Općom uredbom o zaštiti podataka. Agenciji se možete obratiti upitom, zahtjevom za mišljenje, ali i sudjelovati na jednoj od brojnih edukativnih aktivnosti organiziranih samostalno, ali i u suradnji s Hrvatskom gospodarskom komorom i Hrvatskom zajednicom županija. U 2021. Agencija se planira fokusirati na zaštitu osobnih podataka djece, koje GDPR prepoznaje kao posebno ranjivu skupinu jer često nisu svjesna posljedica neopreznog rukovanja svojim i tuđim osobnim podacima.