Kuda ide zaštita osobnih podataka u Hrvatskoj?

In Praksa, Zanimljivostiby stankocerin

Osvrt na stanje u Hrvatskoj povodom Europskog dana zaštite osobnih podataka

Na današnji Europski dan zaštite podataka, prošlo je točno dvije i pol godine od početka izlaženja GDPR Novosti. Prvi broj, tada još isključivo u obliku newslettera poslan je na 207 email adresa klijenata Ostendo Consultinga 28.7.2017. Bilo je to gotovo godinu dana prije početka primjene GDPR. Većina medija tada ili nije prepoznala društvene promjene koje donosi GDPR, ili je objavljivala neprovjerene i često netočne informacije. AZOP tvrtke nije savjetovao o ispravnim načinima usklađivanja.

GDPR Novosti su nastale kao rezultat potrebe za stručnim, kompetentnim i pravovremenim informiranjem stručnjaka za zaštitu osobnih podataka kojih je tada u Hrvatskoj bilo malo.

U suradnji sa ICT Business portalom, jedinim medijem u Hrvatskoj koji je umjesto uobičajenog senzacionalističkog, odlučio zauzeti profesionalni stav, izgradili smo Veliku školu GDPR-a koja je i danas jedina od najkonkretnijih besplatnih uputa za usklađivanje.

Gdje su GDPR Novosti danas?

Preko 1.000 stručnjaka za zaštitu osobnih podataka u Hrvatskoj redovito čita GDPR Novosti koje danas predstavljaju jedan od najboljih izvora informacija za redovito ažuriranje stručnih znanja u ovoj domeni. Bili smo glavni pokretači akcije ZOP 2019. Okupili smo stotinjak stručnjaka, a preko 500 djece uključilo se u akciju izrade crteža na temu zaštite djeteta na internetu. Svima smo osigurali nagradne majice, a najboljim školama i edukacijske pakete Garfield. Na ZOP 2019. konferenciji, okupljenim stručnjacima se video porukom obratio Max Schrems –  ikona zaštite osobnih podataka od koje strepe Google i Facebook.

Kako ide primjena GDPR-a?

Zabrinjavajući su prvi pokazatelji primjene mehanizma konzistentnosti u EU. Brojne su zemlje poput Velike Britanije, Austrije, Francuske i drugih vrlo aktivne u zaštiti prava svojih građana. S početkom primjene GDPR-a, u Hrvatskoj je nastupilo zabrinjavajuće zatišje. Nepobitna je činjenica da se ubrajamo među rijetke EU članice čija nadzorna tijela do današnjeg dana nisu propisala ni jednu jedinu kaznu za kršenje GDPR-a. Činjenica je i to da se nekim čudom u Zakonu o primjeni čl.45.(3) stvorila potreba nastupanja pravomoćnosti rješenja prije izricanja novčane kazne.

Ova se opcija u Uredbi ne spominje i otvara mogućnost manipulacije njenom konzistentnom primjenom.

Predstavnici AZOP-a su na više stručnih događanja već rekli kako je upravo to jedan od razloga iz kojih do sad nije izrečena ni jedna kazna. Znači li to da velike tvrtke koje si mogu priuštiti dugotrajno parničenje, neće plaćati kazne? Nisu li najveći prekršitelji upravo te tvrtke? Kojeg onda uopće GDPR ima smisla? Može li mali čovjek zaštititi svoja prava?

Vrlo niska svijest građana o pravima

Građani glavnom nisu svjesni posljedica koje mogu izazvati neovlaštene obrade. Svoje osobne podatke doslovce dijele. Napredne tehnologije kojima se danas obrađuju digitalni tragovi korištenja računala omogućavaju povezivanje podataka iz raznih izvora i donošenje zaključaka koji jednako mogu biti i korisni i štetni za pojedinca. Privatnost postaje utopija. Moderni sustavi omogućuju povezivanje zapisa sa video nadzora sa korisničkim profilima na društvenim mrežama. Kamere su svuda i više se nitko ne može sakriti. Ono što smo do nedavno smatrali ugrožavanjem kibernetičke privatnosti, dana briše pojam anonimnosti i privatnosti iz stvarnog života. Možda je utopija privatnosti jednostavno slijedeći razvojni korak našeg društva. Hej, nisu li se borci za ljudska prava snažno uznemirili kineskim stvaranje digitalnih profila građana, dodjeljivanjem nagradnih bodova i rangiranjem građana prema raznim kriterijima? Čini se da svijet ide upravo u tom smjeru.

Građani uopće ne razmišljaju da pravo na zaštitu podataka podrazumijeva i pravo na njihovu zaštitu od neovlaštene izmjene ili uništavanja. Zamislite da u apoteci dobijete krivi lijek? Zamislite da vam u banci u kojoj držite životnu ušteđevinu kažu da nikada kod njih niste imali otvoreni račun. Zamislite da u apoteci dobijete krivi lijek? Nemoguće? Nisu li upravo podaci iz sustava zdravstvenog osiguranja nedavno pokradeni i zlouporabljeni za slanje poruka osobama naručenima na operacije koljena? Što da su te poruke bila dobro osmišljena prijevara? Analizom sigurnosti web stranica HZZO-a ustanovili smo da upravo stranice za unos ovih podataka ne zadovoljavaju ni najosnovnije kriterije sigurnosti!

Jesu li pacijenti od strane AZOP-a informirani o svom pravu na odštetu za ovo kršenje? Je li ih briga? Vjerojatno nije.

Nitko neće zaštiti podatke građana ako ni njih nije briga

Koliko god kazne za kršenje GDPR-a bile velike, oštećeni građani od toga nemaju ništa. Jedini način ostvarivanja prava na nadoknadu štete je i dalje sudskim putem. 

GDPR uvodi mogućnost udruživanja građana sa ciljem zajedničkog ostvarivanja prava. Slično kao u slučaju Franak. Ne znamo kolike bi sud odštete dosudio za kršenje prava na zaštitu osobnih podataka jer nema sudske prakse, no pojedinačno bi vjerojatno bile male. Čini se da veliki prekršitelji računaju upravo na lošu informiranost i neorganiziranost građana u zaštiti svojih prava.

Napredne organizacije rade na sigurnosti

Činjenica je da sve organizacije, pa i svaki građanin imaju danas gomile podataka potpuno van kontrole. Ne znaju koje podatke imaju, gdje se nalaze ni kako su zaštićeni, pa time ni kako ih obrađuju. Svi mi znamo da tako ne može u nedogled. Jednom će puknuti, incidenti sa tim podacima će prouzročiti velike štete. Sv i to znamo, ali nitko nema vremena, volje ni resursa fokusirati se na uređivanje obrada podataka starih desetljećima. Jedini način da se taj globalno rastući rizik konačno riješi, je udariti šakom u stol i primiti se posla. Ta se šaka zove GDPR.

Brojne su uprave koje i dalje misle da će se sa GDPR-om uskladiti pisanjem nekih odluka i politika.

Ako je nešto krivi put u povećanju zaštite osobnih podataka onda je to stav da će problem riješiti pravna služba ili IT!

Napredne organizacije shvatile su da prvo moraju razumjeti koje podatke imaju i što s njima rade kako bi uopće mogle identificirati pravne osnove za te obrade, te analizirati i poboljšati mjere zaštite. Ovdje se radi o cjelovitom pristupu – ozbiljnom projektu temeljenom na sustavnom upravljanu rizikom kojega DPIA (data protection impact assessment) treba biti samo jedan mali dio. Svaka uspješna organizacija upravlja rizikom, pa je integracija upravljanja rizikom obrade osobnih podataka logičan integralni dio korporativnog upravljanja rizikom.