Za manje od dva mjeseca Hrvatsku i sve ostale članice Europske unije čeka najveća i najradikalnija reorganizacija korištenja osobnih podataka u novijoj povijesti. Promjene se odnose na sve tvrtke, od mikropoduzeća do megakompanija, ali i na škole i sve druge javne institucije koje prikupljaju osobne podatke. Da ne govorimo da se odnose i na telekom kompanije, web portale i društvene mreže na Internetu. Sve se mijenja. Jeste li spremni na te promjene?
Opća uredba o zaštiti podataka, poznatija i pod engleskim akronimom GDPR, novi je propis EU koji se počinje primjenjivati 25. svibnja. Do tada, i Hrvatski sabor bi trebao usvojiti zakon o provedbi te opće uredbe.
Možda vam sve to zvuči kao dosadno pravno pitanje, daleko od stvarnog života, ali tema je, zapravo, aktualnija no ikad. “Imamo odgovornost da štitimo vaše podatke. Ako to ne možemo, onda ih ne zaslužujemo”, napisao je nedavno šef Facebooka Mark Zuckerberg u plaćenom oglasu preko čitavih stranica najuglednijih američkih i britanskih dnevnih listova. Poruka je to kojom je Zuckerberg pokušao zaustaviti dramatičan pad vrijednosti Facebooka za preko 80 milijardi američkih dolara u samo desetak dana, zbog skandala u kojem je otkriveno da Facebook nije znao zaštititi osobne podatke, nego ih je tvrtka Cambridge Analytica jednostavno pobrala da bi ih pretvorila u crno političko oružje u kampanjama koje su dovele do izlaska Velike Britanije iz EU i do izbora Donalda Trumpa za predsjednika SAD-a.
Ta poruka leži i u samim temeljima uredbe GDPR. Svi građani EU vlasnici su svojih osobnih podataka bez obzira na to što su te podatke predali na korištenje društvenoj mreži, banci, telekom operateru, novinskom portalu, školi, fakultetu, knjižnici ili bilo kojem drugom poduzeću ili ustanovi. I baš zato što su vlasnici, i što je zaštita osobnih podataka ljudsko pravo (barem u Europi; u Americi je to više u domeni potrošačkih prava), građani i korisnici imaju pravo kontrolirati upotrebu tih svojih podataka, a poduzeća i ustanove imaju obvezu pružiti korisnicima prave alate pomoću kojih mogu provoditi tu kontrolu.
S time da Zuckerbergovu drugu ključnu rečenicu – “Ako to ne možemo (štititi vaše podatke), onda ih ne zaslužujemo” – uredba GDPR formulira strože: “Tko se ne pridržava standarda te uredbe može biti kažnjen globom u visini do 4 posto svog ukupnog godišnjeg prometa na svjetskog razini ili maksimalno 20 milijuna eura”.
EU ovom uredbom postaje globalni lider u pružanju konkretnih alata kojima će građani moći kontrolirati svoje osobne podatke predane na korištenje drugima. I ta se nova uredba počinje primjenjivati uprava sada, kad skandali poput onog s tvrtkama Cambridge Analytica i Facebook jasnije nego ikad prije podsjećaju ljude na onu izreku: ako ne plaćate ništa za neki proizvod, onda ste vi sami proizvod. Možda ne plaćate Facebook, ali to ne znači da negdje u pozadini Facebook i slični ne zarađuju na vašim osobnim podacima. I primjer iz Njemačke, gdje su političke stranke kupovale od kompanije Deutsche Post socio-demografske podatke o stanovništvu, otvara niz pitanja. U modernoj ekonomiji osobni podaci mogu biti roba na prodaju. EU sada jednostavno “naoružava” građane alatima kojima će kontrolirati što se točno događa s njihovim podacima.
Je li Hrvatska spremna za ovu novost? Primjena nove uredbe, koja i na razini čitave EU predstavlja najradikalnije promjene propisa o privatnosti od 1990-ih godina, sigurno neće biti jednostavna. Velike kompanije, banke i telekomi već se mjesecima pripremaju za početak primjene i takvi sustavi će biti manje-više spremni. Mala i srednja poduzeća, ili već ionako potkapacitirane javne ustanove koje kaskaju, možda će nakon 25. svibnja naići na bezbroj “iznenađenja” na koja se nisu pripremili.
Mnogi su već prestrašeni savjetima raznih konzultanata koji pripremaju tvrtke na početak primjene uredbe, pa čim spomenu moguće kazne u visini do 20 milijuna eura izazovu laganu paniku. Ali nema mjesta histeriji. Da, moguće kazne postoje, ali bilo bi zaista izopačeno da se uredba počne primjenjivati tako da se kažnjavaju najmanji i najslabiji obveznici te uredbe. Fokus će vjerojatno biti na velikim kompanijama, bankama, društvenim mrežama, telekom operaterima, ne na nekom obrtu ili školi (što ne znači da taj obrt i škola mogu mirno ignorirati uredbu; nipošto). Da, sva poduzeća i ustanove morat će imati osobu čiji je opis radnog mjesta “službenik/ca za zaštitu podataka”, ali taj institut zakonski postoji u Hrvatskoj već sada, od 2012.