Osobni podaci najvrjednija su imovina koju posjedujemo

Općom uredbom o zaštiti podataka, poznatijom pod engleskim akronimom GDPR, uređuje se način na koji tvrtke obrađuju osobne podatke i njima upravljaju. GDPR se izravno primjenjuje u Republici Hrvatskoj i svim državama članicama Europske unije od 25. svibnja 2018. i dužne su ga poštovati sve tvrtke, poduzeća, poslovni subjekti, tijela javne vlasti i tijela državne uprava koja obrađuju osobne podatke. Ova Uredba predstavlja najveću promjenu u pravilima EU-a o zaštiti podataka u više od 20 godina, ističe u razgovoru za Privredni.hr ravnatelj Agencije za zaštitu osobnih podataka Zdravko Vukić.

Kako GDPR nastoji odgovoriti na izazove koje moderno doba stavlja pred nas kad je riječ o osobnim podacima?

GDPR predstavlja moderniziran regulatorni okvir koji ide ukorak s brzim razvojem tehnologije i može biti učinkovit u eri velikih podataka, umjetne inteligencije i interneta stvari. Primjerice, tehnologija koja se upotrebljava za povezana vozila temelji se na razmjeni podataka koja uključuje osobne podatke. Na primjer, u slučaju sudara automobili koji su opremljeni europskim sustavom eCall za hitne pozive odmah će pozvati najbliži centar hitne pomoći i pružiti mu podatke o lokaciji vozila. Uz jedinstveni skup pravila o zaštiti podataka iz Opće uredbe o zaštiti podataka, relevantni podaci mogu se lako i brzo prenijeti hitnim službama i tako pomoći u spašavanju života.

Zaštita podataka i GDPR ne moraju predstavljati prepreku za ekstrakciju znanja iz podataka i razvoj poslovnih modela baziranih na podacima. GDPR je prilika za poboljšanje privatnosti, sigurnosti i upravljanja podacima i katalizator za nove poslovne modele. Mnoga poduzeća prepoznala su da će usklađivanje s GDPR-om pozitivno utjecati na njihov imidž i na mišljenje korisnika o njihovu načinu poslovanja, a što im omogućava stjecanje velikog broja novih klijenata i zadržavanje postojećih.

Uz to, GDPR predstavlja priliku za stvaranje novih poslovnih rješenja i pronalaženje novih tržišnih niša, osigurava slobodan protok podataka među državama članicama EU-a te povećanje povjerenja i sigurnosti potrošača u digitalne usluge – što su dva nužna preduvjeta za funkcioniranje jedinstvenoga digitalnog tržišta.

Što je posao voditelja obrade podataka i zašto su oni dužni informirati o uporabi potrošačevih podataka?

Tijekom savjetodavnih aktivnosti koje provodimo za male i srednje poduzetnike u okviru EU projekta ARC, i dalje se često susrećemo s nerazumijevanjem osnovnih pojmova iz GDPR-a, kao što je to, primjerice, voditelj obrade. To nam je pokazatelj da moramo još intenzivnije nastaviti s provedbom edukacija kako bismo poduzetnicima olakšali shvaćanje, u nekim slučajevima, podosta kompleksne terminologije iz GDPR-a.

Poduzetnici često smatraju da je voditelj obrade osoba koja je, primjerice, direktor poduzeća ili zaposlenik poduzeća te je upravo najčešće pitanje koje nam tijekom edukacija upućuju: što on mora raditi i koje su njegove obveze u skladu s Općom uredbom o zaštiti podataka.

Dakle, iskoristit ću ovu priliku da istaknem da je voditelj obrade najčešće pravna osoba koja utvrđuje svrhe za koje se obrađuju osobni podaci i načine na koje se oni obrađuju, odnosno kolokvijalnim i razumljivim jezikom rečeno: voditelj obrade nije direktor ili zaposlenik poduzeća, već poduzeće koje određuje kako će osobne podatke obrađivati i s kojom svrhom.

Foto: Privredni.hr

Što to konkretno znači?

Da pojasnim na konkretnim primjerima: kozmetički salon, teretana, frizerski salon ili pekarnica koja, recimo, obrađuje osobne podatke zaposlenika radi isplate plaća te podatke klijenata radi izdavanja kartice vjernosti jest voditelj obrade. Voditelji obrade su i, primjerice, turistička agencija koja obrađuje osobne podatke klijenata radi prodaje i ugovaranja putničkih aranžmana, poliklinika koja obrađuje osobne podatke pacijenata ili fakultet koji obrađuju osobne podatke studenata.

U skladu s Općom uredbom o zaštiti podataka, voditelj obrade (poduzeće, organizacija, institucija) koji obrađuje osobne podatke pojedinca, građana ili, u terminologiji GDPR-a, ispitanika, u skladu s člankom 12. Opće uredbe o zaštiti podataka, dužan je ispitanika (pojedinca, građanina, potrošača) informirati o obradi njegovih osobnih podataka.

Te informacije građanima moraju biti pružene u sažetom, razumljivom i lako dostupnom obliku, sadržavati sve informacije iz članka 13. i 14. Opće uredbe, komunikacije iz članaka 15. - 22. Opće uredbe i članka 34. Opće uredbe o zaštiti podataka. Voditelj obrade prilikom prikupljanja osobnih podataka ispitanika mora informirati o svom identitetu i kontakt-podacima, svrsi obrade i pravnom temelju obrade njegovih osobnih podataka, kategorijama osobnih podataka koje prikuplja, s kime će dijeliti te osobne podatke i dr.

Pritom je važno da se voditelj obrade obraća pojedincima jednostavnim i razumljivim jezikom te da pojedince upozna s njihovim pravima koja im pripadaju u skladu s Općom uredbom, a u vezi s obradom njegovih osobnih podataka (pravo na informiranje, pravo na pristup osobnim podacima, pravo na ispravak i brisanje, pravo na ograničenje obrade, pravo na prenosivost, pravo na prigovor i pravo na prigovor u vezi s automatiziranim pojedinačnim donošenjem odluka).

Kako se zaštititi od zlouporabe podataka?

Najbolji način zaštite osobnih podataka jest samozaštitno ponašanje. To ponajprije znači da građani trebaju voditi računa o tome kome daju svoje osobne podatke i zašto. Do velikog broja slučajeva zlouporabe osobnih podataka dolazi zbog neopreza građana prilikom raspolaganja vlastitim osobnim podacima.

Naime, manja je vjerojatnost da će vaši osobni podaci biti zloupotrijebljeni ako znate kome ih dajete i zašto. Poslodavac, banka čiji ste klijent, pružatelji usluga prilikom sklapanja ugovora, u skladu sa zakonskim propisima, mogu od vas tražiti na uvid osobnu iskaznicu, OIB, napraviti presliku osobne iskaznice ili zatražiti od vas i neke druge osobne podatke.

Osobnu iskaznicu i podatke sadržane u osobnoj iskaznici imaju pravo i ovlast tražiti samo nadležna tijela i pravne osobe u skladu s posebnim propisima i uvjetima poslovanja. Uz to, osobnu iskaznicu radnika može tražiti i poslodavac pod uvjetima propisanim zakonom.

Jedan je od načina zlouporabe osobnih podataka s najozbiljnijim posljedicama za pojedinca - krađa identiteta. Krađu identiteta definiramo kao radnju kojom se tko koristi (prikuplja, obrađuje) tuđim osobnim podacima (fizičkih osoba) protivno zakonu. Uz to što predstavlja povredu privatnosti (npr. otvaranje lažnog profila na Facebooku, lažno predstavljanje) ujedno je i kazneno djelo za koje je predviđena i kazna zatvora do godinu dana (za osnovni oblik tog djela).

Što je veći opseg osobnih podataka koje netko od vas traži putem interneta (primjerice, potpuna preslika osobne iskaznice radi sudjelovanja u nagradnoj igri), to su veće mogućnosti nezakonite objave osobnih podataka, krađe identiteta i drugih zlouporaba osobnih podataka.

Građani često objavljuju svoje i tuđe osobne podatke na društvenim mrežama, kojeg se zlatnog pravila trebaju pridržavati?

Sadržaj koji ne biste htjeli da vide svi, ne objavljujte na internetu! Jednom objavljeni sadržaj internetom se širi nevjerojatnom brzinom i nemoguće ga je u potpunosti ukloniti. Također, građanima savjetujemo da ne objavljuju tuđe osobne podatke bez znanja te osobe i njezina pristanka. Važno je i pripaziti na postavke privatnosti na društvenim mrežama, odnosno podesiti ih na način da su vaši osobni podaci vidljivi ograničenom krugu ljudi.

Prilikom posjeta web-stranicama, prije nego što prihvatite kolačiće, pročitajte pažljivo obavijesti o tome kojim se kolačićima stranice koriste i s kojom svrhom! Mnoge internetske stranice koriste se marketinškim kolačićima kako bi vam prikazivale ciljane oglase i dijelile vaše osobne podatke s trećim stranama.

Uz navedeno, sve je više slučajeva internetskih prijevara, poput lažnih nagradnih igara na društvenim mrežama, ucjenjivačkih e-mailova u kojima, primjerice, ucjenjivač navodi da posjeduje vašu kompromitirajuću snimku i traži novac kako je ne bi objavio, lažnog e-maila u kojem primite privitak npr. fakturu za neku uslugu, nakon čega primite poruku da su vam svi podaci na računalu šifrirani i da morate platiti 'otkupninu' itd. Ne otvarajte e-mailove sa sumnjivih adresa i sa sumnjivim privicima, ne uplaćujte ucjenjivačima novac, rabite snažne lozinke za sve internetske usluge kojima se korisitite i pazite na to koje stranice posjećujete.

Koja je uloga Agencije za zaštitu osobnih podataka u zaštiti potrošača?

Agencija za zaštitu osobnih podataka ima važnu ulogu u zaštiti svih pojedinaca, potrošača, odnosno, u skladu s terminogijom GDPR-a, ispitanika, tj. svih onih čiji se osobni podaci obrađuju, a to smo svi mi gotovo svakodnevno.

Agencija nastoji potrošače i sve pojedince osvijestiti o tome da je pogotovo sad, u vrijeme pandemije, kad se naši životi velikim dijelom odvijaju u online sferi, više nego ikad važno zaštititi svoje osobne podatke.

Svi mi imamo pravo znati tko i zašto prikuplja naše osobne podatke te su nam Općom uredbom zajamčena određena prava kao što su: pravo na informiranje o obradi naših osobnih podataka, pravo na pristup našim osobnim podacima, pravo na brisanje (zaborav), pravo na ograničenje obrade, pravo na prigovor, pravo na prigovor u vezi s automatiziranim donošenjem odluka (uključujući i izradu profila).

Količina podataka koju dijelite svaki put kada rabite internet na najvišoj je razini do sada te će samo nastaviti rasti. Bilo da se radi o internetskoj kupnji, društvenim medijima ili jednostavnoj pretrazi u tražilici, u virtualnom svijetu ostavljate svoje digitalne tragove. To sa sobom nosi rizike kao što su prikupljanje i prodaja vaših osobnih podataka bez vašeg znanja, izrada profila s namjerom slanja ciljanih poruka i manipulacije, zloupotrebe osobnih podataka na internetu i krađe identiteta.

Zdravko Vukić / Foto: Privredni.hr 

Mnoge usluge dostupne potrošačima putem interneta za njih su naizgled besplatne. Društvene mreže, platforme za distribuciju glazbe i videa, servisi za elektroničku poštu, usluge pohrane podataka u oblaku – davatelji ovih usluga imaju visoke troškove pohrane i prijenosa podataka, a ipak svoje usluge nude besplatno.

Takve usluge ne plaćate novcem, ali zauzvrat za njih dajete svoje osobne podatke na kojima velike tehnološke kompanije ostvaruju svoj profit. Ti podaci postaju sve vrjedniji, a zarada velikih tehnoloških korporacija koje svoje poslovanje temelje na osobnim podacima mjere se u stotinama milijardi američkih dolara.

Sve veći broj potrošača kupuje online, osobito sad u vrijeme pandemije, a pritom je vrlo važno napomenuti da bi potrošači trebali voditi računa o pouzdanosti web-trgovina, odnosno sigurnosti svojih osobnih podataka prilikom online kupnje. Web shop bi na svojoj web-stranici trebao imati jasno istaknute podatke o nazivu tvrtke, odnosno voditelja obrade i jasno istaknute kontakt-podatke, politiku privatnosti, obavijest o kolačićma. Ako na web-stranici internetske trgovine nisu navedeni ti podaci, voditelj obrade odnosno web-trgovina zbog nekog razloga ne želi da potrošači znaju previše o njemu. Ovo bi potrošačima trebalo biti zvono na uzbunu - jer kako vjerovati nekome tko od nas traži naše osobne podatke, i to osjetljive financijske prirode, a istodobno nam uskraćuje svoje?

Gdje poduzetnici najviše griješe kad je riječ o zloporabi podataka?

Malo bih preformulirao vaše pitanje u: gdje poduzetnici najčešće griješe prilikom obrade i prikupljanja osobnih podataka građana.

Neadekvatno postupanje s osobnim podacima, odnosno ako voditelj obrade ne poduzme odgovarajuće tehničke i organizacijske mjere, može rezultirati zlouporabom osobnih podataka građana, tj. dovesti do povrede osobnih podataka građana.

Poduzetnici i dalje u mnogim slučajevima nisu svjesni da obrađuju osobne podatke, pa smo tako tijekom svojih edukativnih aktivnosti znali čuti: mi ne obrađujemo osobne podatke, mi imamo u računalu samo listu kupaca s OIB-ovima, preslikama osobnih iskaznica i podatke zaposlenika. Često ne znaju gdje čuvaju osobne podatke, tko od zaposlenika ima pristup osobnim podacima i s kojom ih svrhom obrađuju.

Kako to izgleda u praksi?

Primjerice, je li vam se ikada dogodilo da prilikom dolaska u apartmanski smještaj ili hotel žele uslikati, odnosno napraviti presliku vaše osobne iskaznice? Vrijedećim propisima Republike Hrvatske određeno je da je pružatelj usluge smještaja dužan unijeti u sustav prijave i odjave turista eVisitor određeni set osobnih podataka, ali s kojom bi svrhom pružatelju usluge smještaja trebala preslika osobne iskaznice? Na ovaj način prikupljanjem prekomjernog i nepotrebnog opsega osobnih podataka otvaraju se mogućnosti za različite zlouporabe osobnih podataka i kaznena djela, primjerice, sklapanja lažnih pretplatničkih ugovora i krađe identiteta. Ili, je li vam se dogodilo da prilikom ispunjavanja kartice vjernosti, uz ime i prezime te datum rođenja, trebate dati i svoj OIB, podatke o bračnom statusu, broju djece i sl.?

Poduzetnici i dalje imaju problem s nerazumijevanjem obveza iz GDPR-a te njegove terminologije, tko je voditelj, tko je izvršitelj obrade, smatraju da im je za svaku obradu osobnih podataka potrebna privola, ne mogu odrediti pravni temelj, zakonitu svrhu za obradu osobnih podataka. Najčešće su greške nepoduzimanje odgovarajućih tehničkih i organizacijskih mjera za zaštitu podatka i nedovoljna educiranost vlasnika poduzeća i zaposlenika o važnosti zaštite osobnih podataka.

Ovim putem želim ohrabriti poduzetnike i istaknuti da usklađivanje s Općom uredbom nije nepremostiva prepreka ni strašan administrativni teret koji iziskuje ogromne financijske i ljudske resurse. Prvi i najvažniji korak u usklađivanju s GDPR-om, koji ne košta ništa, jest informiranje o vašim obvezama koje proizlaze iz ovoga zakonskog propisa: zato pozivam sve mikro, male i srednje poduzetnike na besplatne AZOP-ove GDPR online radionice.