Pravilnik upotrebi kolačića
Portal Telegram.hr unaprijedio je politiku privatnosti i korištenja takozvanih cookiesa, u skladu s novom europskom regulativom. Cookiese koristimo kako bismo mogli pružati našu online uslugu, analizirati korištenje sadržaja, nuditi oglašivačka rješenja, kao i za ostale funkcionalnosti koje ne bismo mogli pružati bez cookiesa. Daljnjim korištenjem ovog portala pristajete na korištenje cookiesa. Ovdje možete saznati više o zaštiti privatnosti i postavkama cookiesa

Najlobiraniji dokument u povijesti EU mogao bi napokon donijeti privatnost na internet. Proučio sam slučaj

Izvukli smo sve što morate znati o GDPR-u, uredbi EU koja će regulirati prikupljanje podataka na webu

Rok prilagodbe za potencijalno najveću promjenu u prikupljanju podataka u povijesti interneta ističe u svibnju 2018. Uredba EU poznatija kao GDPR pokušat će riješiti parazitiranje velikih kompanija koje bez nadzora prikupljaju osobne podatke na internetu. No, hoće li to zaustaviti rast digitalnih inovacija na internetu? Izdvojili smo 6 ključnih stvari o slučaju

Opća uredba o zaštiti podataka koju propisuju tijela EU potencijalno je najveća promjena u načinu prikupljanja podataka u povijesti interneta. Uredba koja donosi bitne promjene za sve one koji prikupljaju ili djele osobne podatke stupila je na snagu u svibnju 2016., a rok prilagodbe ističe u svibnju 2018. Implikacije koje će donijeti ovaj dokument su goleme; primjerice i ispunjavanje osobnih podataka pri podizanju kredita u banci regulirat će upravo ova odredba. S druge strane čak će i naizgled obična prijava na nekoj internetskoj šoping stranici koja vrši dostavu proizvoda u neku od EU zemalja zahtijevati rigoroznu prilagođenost ovoj Uredbi.

U užim krugovima struke 25. svibanj se smatra svojevrsnim Danom D kada će se znati tko se prilagodio, a tko nije novoj Općoj uredbi o zaštiti podataka Europske Unije – poznatijoj kao GDPR. Tijela Unije (Europski Parlament, Europsko Vijeće i Europska Komisija) finalnim su se tekstom Uredbe pobrinuli da neprilagođivanje GDPR-u ne ostane bez pompoznih kazni – u najgorem slučaju do 20 milijuna Eura ili do 4% godišnjeg prometa kapitala.

Ovaj podatak je svojevrsna batina korporacijama za prisilu njenog provođenja u interesu krajnjih korisnika. Sukladno tome podatci koji su prikupljeni mimo definicija ovog dokumenta su preopasni za svaku kompaniju koja prikuplja podatke jer njihov posjed jamči rigorozne kazne. Kao što u svakoj velikoj društvenoj transformaciji postoji specifični leitmotif tako on postoji i ovdje – povratak kontrole podataka građanima Unije.

Gigantske kazne za nepridržavanje

Mantranje ideje povratka kontrole podataka građanima je nešto što osobno priželjkuje svaka osoba koja imalo mari o liberalnoj demokraciji, slobodi interneta, privatnosti te svim konceptima koji se dotiču djela zviždača Edwarda Snowdena, Juliana Assangea i drugih. GDPR ne adresira državno prisluškivanje iako ga između redova spominje – no za njega nije predmet kao što ni za američke sudove alati NSA nisu realan predmet.

GDPR ipak odabire jedan drugačiji pravac koji će platiti EU građani i njihove kompanije – stroga kontrola načina prikupljanja podataka od strane kompanija i javnih državnih službi. Ova društvena dinamika digitalnih ekosistema je nažalost još uvijek prazan prostor koji zahtjeva dublje redefiniranje pojma privatnosti za što društveno-politički sistemi još nisu spremi.

GDPR rješava parazitiranje velikih kompanija

Internet je svakako najrevolucioniraniji projekt čovječanstva, oko toga više nema dileme. Jako dugo gledajući kroz povijest ne možemo vidjeti veće ubrzanje društva putem razvijenog alata. Ne postoji os društva na koju se ovaj najveći projekt čovječanstva ne naslanja.

U GDPR-u internet je tematski najvažniji medij jer većina inovativnih kompanija, srednjih korporacija, start-upova, multinacionalnih korporacija te transnacionalnih giganata – usluge nudi upravo putem ovog medija. Površinski gledano GDPR rješava dimenziju parazitiranja Google-a, Facebook-a i sličnih kompanija nad korisničkim podatcima bez jasnog i nedvosmislenog pristanka za svrhe korištenja.

Privatnost nigdje nije definirana (što je problem)

S druge strane ako malo zagrebemo pod površinu uvode se ekonomsko-pravno zanimljive dimenzije – osiguranja odgovorne osobe za zaštitu podataka kojoj se korisnici mogu direktno obratiti (DPO), prava prenošenja sadržaja podataka drugom davatelju usluga, specifičan set pravila za slučaj curenja podataka, arhivu zapisa o upravljanju skladištenim podatcima te prošireno pravo na zaborav korisničkih podataka i niz drugih specifičnih informacijsko-tehnoloških dimenzija.

Privatnost kao takva nigdje u dokumentu nije definirana što je dugoročno priličan pravni problem. Jedino spominjanje privatnosti se tiče jedne uske reference na pojam u kratkoj fusnoti na dokument kojeg Uredba zamjenjuje. U svojim istraživanjima pokušao sam pokazati kako je nužno pravno definirati privatnost kao – “legitiman način skrivanja”, kako bi odnosi ljudskih prava, tehnologije, masovnog državnog nadzorora i cijelog niza suvremenih društveno-političkih problema bili jasno postavljeni.

No, Uredba ovaj dio ne pokriva i to je osnovna kritika dokumenta cijelog niza istraživača koji se detaljnije bave ovom tematikom. Izvukli smo ključne stvari o GDPR-u

1. Što se, zapravo, želi postići GDPR-om?

Građanska kontrola putem institucija nad procesom prikupljanja podataka je svakako prva nit vodilja pravnog uokvirivanja GDPR-a. Osnovna ideja je stati na kraj prethodnoj praksi svojevrsne trampe besplatnog korištenja usluge za prilično slobodne svrhe prikupljanja podataka.

Velika američka petorka – Amazon, Google, Facebook, Apple i Microsoft su kičma post-krizne američke obnove. Primjerice ugledni The Economist u jednom svom članku ide toliko daleko da uspoređuje prikupljanje podataka u 21. stoljeću s omjerom udjela naftne industrije početkom 20. stoljeća. Transformacija je više nego očita, smatram kako je točna opaska kako je “prikupljanje podataka najvrjedniji društveni resurs 21. stoljeća”.

EU institucije, poglavito Europski sud i Europska komisija, imaju svojevrsne obračune s nekim od ovih kompanija u iznosima odšteta u milijardama dolara, a GDPR je produžena ruka sprječavanja ovih tendencija. Druga važna namjera je harmonizacija tržišta – vođena idejom jedinstvenog tržišta. Određene studije na ovu temu govore o potencijalu ušteda od 2 do 4 milijarde dolara godišnje na razini poslovanja u EU.

Naravno, postoji prilično živa diskusija u struci kako je upravo ova namjera unutar GDPR-a odrađena na krivim pretpostavkama, no to je već zasebna tema koja zahtjeva iscrpniju ekonomsku analizu. Činjenica koja ostaje je kako je ovo daleko najlobiraniji dokument ikada na razini EU. Iako je ovo najlobiraniji dokument, efekti koje GDPR ima na velike korporacije značajno idu više na ruku građanima.

2. Kakve novosti donosi?

Ključne novosti su nov pogled na pitanja pseudonomizacije te anonimnosti. Primjerice podatci s kojima se može uspostaviti profil osobe ne smatraju se anonimnim podatcima. Anonimni podatci su oni iz kojih se ne može uspostaviti direktna veza s osobom te oni ne spadaju pod Uredbu. Kodiranje podataka u pseudo-podatke je preporučeno kao jedan od osnovnih elemenata regulative kako bi se izbjegla mogućnost izrade profila. Također, izrazito važan dio je način formulacije pristanka na prikupljanje podataka.

On mora biti uspostavljen potpuno svjesno te u specifičnu svrhu. Dakle, nije više moguće eksploatirati jednom skupljene podatke u novu svrhu. Osim ovih nekoliko važnih elemenata proširuju se pravo na zaborav, odnosno na brisanje osobnih podataka iz raznih baza te se dopušta uvid u postojanje profiliranja osoba. Sve u svemu privatnost postaje jezgra načina prikupljanja podataka, odnosno osnovna kategorija.

3. Mogao bi nastati totalni kaos jer firme nisu spremne

U razgovorima s vodećim stručnjacima iz polja velika većina je složna – tržište je nespremno i neinformirano. Također, istraživanja pokazuju kako je moguće postaviti pretpostavku kako tržište jednostavno neće spremno dočekati Dan D 25. svibanj iduće godine. Iako postoji svijest o dolasku Uredbe, pripreme i planiranje se odrađuje prilično lakomisleno. Jednostavno ne postoji jasna svijest o obujmu prilagodbe.

U znanstvenom radu kojeg pripremam rezultat ankete odrađene među vodećim stručnjacima na razini EU rezultat je frapantan: većina smatra kako će 60 do 90 posto tvrtki ostati neprilagođeno Uredbi na dan stupanja na snagu. Ovaj rezultat je prilično zastrašujući. Ovu tezu potvrđuje i Impervino istraživanje putem ankete prema 170 stručnjaka koje pokazuje kako samo 43 posto stručnjaka u IT odjelima raspolaže resursima, planom i alatima prilagodbe.

4. Ozbiljan problem bi mogli biti regulatorni spameri

Osim ove neprilagođenosti, postoji problem kupovanja neprilagođenih rješenja te problem neuključivanja provoditelja u aktivnosti Uprave kompanija. Nažalost, većina koja odrađuje prilagodbu ju ne provodi po naputku Komisije gdje je ključno stručnjake spojiti s Upravom. Također još jedan od problema je kako u struci postoji svijest o mogućnosti pojave regulatornih spamera – kompanija koje će tužiti sve kompanije koje nisu usklađene s regulativom okvirom, a posluju na razini EU kako bi stvorile konkurentske prednosti.

Ovdje se javlja problem zagušenja sudova te nemogućnosti njihovog djelovanja prikladnog stvarnom stanju na terenu. Naravno naputci Odbora će svakako omogućiti bolju kontrolu ove problematike, no dječje bolesti su već vidljive i prije datuma stupanja na snagu.

4. Neki misle da je sve ovo pogubno za inovacije u digitalnoj ekonomiji

U struci postoji svijest o jednoj kratkoročnoj i drugoj dugoročnoj dimenziji implementacije GDPR-a. Primjerice, neki od vodećih stručnjaka smatraju kako je GDPR poguban za inovacije jer regulira ključan digitalni teritorij koji je prethodno bio katalizator rasta. Većini kolega je jasno kako je Velika Petorka upravo izgradila vlastite pozicije zbog mogućnosti inovacija u okvirima zakona koji su dozvoljavali lakše i otvorenije eksploatiranje prikupljenih podataka.

U svojevrsnoj atmosferi Divljeg Zapada današnji internet utemeljio je svoje ključne linije rasta. Ovakav tip regulative značajno strože regulira načine kako se prikupljaju i koriste podatci. Dugoročno stvari nisu ipak toliko crne, GDPR će omogućiti izrastanje cijelog niza novih kompanija koje imaju regulativu u vidu, no start-up tip digitalne ekonomije više neće moći imati “garažni” prizvuk već će se u samom začetku ideje morati razmišljati o angažiranju stručnjaka za GDPR što je značajno veći trošak od “garažne nule”.

5. Tko će sve to platiti?

Ovo pitanje je svakako interesantno jer EU tijela ne planiraju trošak prilagodbe u okvirima vlastitog budžeta. No, to ne znači kako je provedba ovako velikog projekta besplatna. Dapače većina stručnjaka smatra kako se radi o skupom projektu u koji su uključene i neke nove strane tržišta – prije svega procesori podataka.

Opći konsenzus je da će korisnici usluga te porezni obveznici biti ti koji će u manjem postotku doživjeti povećanje cijene usluge. Način plaćanja će svakako biti zanimljiv jer postoji mogućnost većeg raslojavanja na plaćene medije i na one koji se financiraju putem reklama. Također, neke od usluga će biti plaćene povećanjem cijena reklamnog prostora što će u konačnici platiti korisnici povećanjem cijene krajnjih proizvoda i usluga.

6. Najlobiraniji dokument u povijesti EU ipak donosi privatnost?

Internetom kruži povezana šala o Google Pizza-i. Još dublja dimenzija šale se može iščitati ako se uzme u obzir kako su osnivači Googlea prvo crtali ideju kompanije oko ubrzanja dostave pizze;

– “Jesam li dobio Gordon Pizzu?”; “Ne gospodine, dobili ste Google Pizza-u!”; “Aha, znači pogriješio sam broj?” ; “A ne, ne gospodine Google je nedavno kupio Gordon Pizza-u! Recite želite li uobičajenu pizzu?” ; “Čekajte, uobičajenu? Vi znate koja je moja uobičajena?”;

“Sudeći prema vašem broju, zadnjih 12 puta ste naručili 4 vrste sira s kobasicom i pan tijestom!”; “Ok, to je to.”; “Mogu li vam ovaj put predložiti s rikolom i suhim rajčicama?”; “Ne, nikako ne podnosim povrće!”; “Vaš kolesterol je na prilično visokom nivou gospodine!”; “Molim?”; “Povezali smo u bazi vašu liniju s javnim imenikom te smo pronašli vaše nalaze krvi zadnjih 7 godina, ne izgledaju dobro.”;

“Ne, ne želim predloženu pizzu, uzimam lijekove svejedno!”; “Da, vidim, ali ne uzimate redovito jer uvidom u podatke s vaše kreditne kartice niste kupovali u vašoj ljekarni zadnjih 4 mjeseca!”; “Platio sam gotovinom!”; “Da, ali ovdje nam je vidljivo kako niste povlačili toliku količinu novca nigdje s obližnjih bankomata zadnjih 2 mjeseca!”;

“Dovraga, što je ovo, hoću samo pojesti pizzu!?”; “Ali, gospodine mi vam samo želimo pomoći!”; “Dosta mi je više i Google-a i Facebooka i WhatsAppa! Sutra odlazim na pusti otok bez interneta gdje mi nitko neće moći pratiti što radim!”; “Žao mi je gospodine, vaša putovnica je istekla prije 5 tjedana, to neće biti moguće!”

Pitanje koje se nameće je hoće li ovaj vic zbog prilagodbe GDPR-u i dalje biti aktualan? EU tijela jamče kako ćemo napokon kao korisnici moći otpustiti rukave i uživati u privatnosti bez da ju intenzivno štitimo sami. S druge strane sva sila lobističkih angažmana nije uspjela promijeniti nekoliko osnovnih zaštitnih mjera ovog dokumenta. Ne dajte se zavarati, ipak je ovo najlobiraniji dokument u povijesti EU. Nešto veće je posrijedi, možda Europa napokon brine o svojim građanima?

Ipak, s jedne strukovne strane ostaje zabrinutost za stupanj inovacija koje buduće EU tvrtke mogu razvijati u strogim reguliranim okvirima s velikim početnim troškovima prilagodbe. Kineske i američke kompanije se na njihovom domaćem teritoriju ne trebaju oko slične regulative znojiti. Samo ako će nastupati odmah i na tržištu EU. Isto tako, ostaje pitanje što je s glavnim zecom u šeširu – državnim prisluškivanjem? Izgleda da niti ovaj put nismo imali sreće, on je i dalje prevelik za čvrsti rub europskog regulatornog šešira.

Stjepan Perko
privacy consultant