Rodoljub Šabić: Nova uredba EU o zaštiti ličnih podataka koja noćas stupa na snagu, naše firme mogla bi da odvede u nokaut; Kazne i do 20 miliona evra

Poverenik Rodoljub Šabić kaže da će se nova uredba EU o zaštiti ličnih podataka, koja noćas stupa na snagu, primenjivati na svakog ko deluje na prostoru Unije, pa i na naše firme koje posluju na tom tržištu. Zato one posebno treba da vode računa o konsekvencama, jer bi kazne mogle da ih odvedu u nokaut, ističe gostujući u "360 stepeni" na N1.

Ko su "vlasnici" ličnih podataka građana? Kakve izmene donosi nova uredba GDPR u zemljama Evropske unije koja od ponoći stupa na snagu i hoće li konačno biti zaustavljena trgovina ličnim podacima?

Poverenik za informacije od javnog značaja i zaštitu podataka o ličnosti  Rodoljub Šabić kaže da ima pogrešnih stereotipa kad je u pitanju GDPR, jer se doživljava kao nešto novo, ali da je zapravo ta uredba ustanovljena 2016, i iako nije bila na snazi, bila je u primeni, a pre svega toga usaglašavana je godinama.

Govoreći o stanju kad je u pitanju dostupnost podataka o ličnosti, ne samo u Srbiji već i u svetu, Šabić kaže da zapravo i nema više privatnosti, a da bi bilo tragično loše da čovek nema svoju privatnost. GDPR će, kako ocenjuje, uvesti neka pravila i režim kad je u pitanju obrada podataka koji je mnogo odgovorniji. Subjektima koji se bave obradom naših podataka nameće se obaveza koja se tiče pitanja vlasništva nad podacima, na primer da se njima trguje na način koji je vlasnicima poznat, navodi.

Smatra da to neće biti lako, da primena uredbe podrazumeva ozbiljan napor i za zemlje članice EU, a naročito za nas. Ako je njima problem, a mnogi priznaju da jeste ozbiljan problem dostići taj nivo, onda bismo mi mogli da razmišljamo mnogo više o tome kakav će to tek biti problem za nas, navodi gost emisije "360 stepeni". "I to što ta odredba stupa na snagu u EU, to ne znači da se ne tiče i nas - tiče se i nas i celog sveta".

Alen Delić, konsultant za informacionu bezbednost iz Hrvatske, kaže da je GDPR tek početak svega, i da se ništa neće desiti sutra -  da podaci neće nestati sutra iz baza podataka.

Primećuje da se reč "privatnost" unutar uredbe ne pominje nijednom. Sama privatnost neće se izražavati tako da neko traži da se njegovi podaci brišu - dodatno brisanje može se tražiti onde gde prestaje zakon, dodaje. Neće moći ni da se traži potpuno brisanje, naglašava.

Delić kaže i da će biti potrebne godine da se postigne ono što EU želi. Mnogo meseci će biti potrošeno na edukaciju ljudi, da znaju koja prava mogu da iskoriste, navodi. On ističe da nova uredba daje okvir, kontrolu i prava za regulisanje čitave oblasti, a naglašava i da se ne može napraviti pomak ako zakoni postoje, a nema mehanizama kažnjavanja. Navodi da se godinama lobiralo tza ovu uredbu, da je važna za prava građana, ali da je još važnije, kao i kad je u pitanju bilo koji drugi zakon - kako se sprovodi.

Šabić dodaje da uredba definiše standarde, diže lestvicu i insistira na većoj odgovornosti za odstupanje od standarda. Bitno je da se standardi koje propisuje ostvare, navodi.

Poverenik ističe i to da u ovoj oblasti postoji problem na relaciji SAD - EU. Sistemi zaštite su tradicionalno različiti, EU ima različit koncept zaštite ljudskih prava u ovoj sferi, naglašava, dodajući da tu postoji nešto što će hronično praviti probleme.

Delić, komentarišući to, kaže da je GDPR i nastao da Americi i njenim igračima, kao što je Fejsbuk, pokaže šta EU misli o tome. Nakon ovog pada deonica Fejsbuka, one su se vratile na normalan nivo, jer čelnici izađu pred institucije i javno obmanjuju javnost u vezi sa tim šta se dogodilo s podacima, navodi gost N1, misleći na istupanja vlasnika te kompanije Marka Zakerberga pred Evropskim parlamentom. EU je na neki način, ocenjuje, opomenula Fejsbuk u vezi sa tim šta će i šta sme u budućnosti da radi s našim podacima.

Šabić je dodao da je slučaj Snouden pokazao i kakve su pretenzije bezbednosnih struktura, kao i to da se te dimenzije ne mogu ni zamisliti. Vi svuda, pa i u Srbiji, imate pretenzije tih bezbednosnih struktura koje je teško  objasniti borbom protiv organizovanog kriminala i sl, dodaje. Nesporan je interes država i bezbednosnih struktura da borba protiv kriminala bude efikasna, ali i tu mora postojati kontrola, moraju postojati racionalne mere, navodi Šabić.

Delić navodi da će opseg bezbednosti svaka država formirati za sebe, ali da je primer Fejsbuka i Kembridž analitike odveo ka nečem drugom - ka pitanju korišćenja podataka da bi se neka država napala. Drugo je kad se podaci koriste kako bi se izazvala nestabilnost u drugim državama, naglašava.

Kakav je uticaj može da ima na firme iz Srbije?

Šabić ističe da se uredba tiče i naših kompanija koje posluju u zemljama EU. Uredbu će primenjivati na svakog ko obrađuje podatke građana EU ili posluje na njihovom prostoru, dodaje. Navodi da u Srbiji, u tom segmentu, postoji jedna atmosfera neodgovornosti, pa firme iz naše zemlje treba posebno da vode računa o tome kakve su konsekvence koje ta uredba donosi, jer su, kako ističe, kazne takve da vode u nokaut.

Povećane su i sankcije, pa tako za kršenje uredbe pravno lice može biti kažnjeno do 4 odsto godišnjeg prometa ili sa 20 miliona evra ako, na primer, ne pribavi pristanak korisnika za upotrebu njegovih podataka.

Poverenik ističe da bi zato odgovarajuća ministarstva morala mnogo više po tom pitanju da rade sa malim i srednjim preduzećima iz Srbije koja imaju pretenzije da rade na tržištu Unije.

Kaže da neće svuda biti identične kazne, i da se ta mera od 20 miliona evra neće izricati ni brzo ni lako, a negde se neće ni izricati. Malo je firmi iz Hrvatske i Slovenije koje bi podnele takve kazne, naveo je Šabić, dodajući da nije kontekst isti za sve države.

Na pitanje koliko smo od standarda koje EU, povodom zaštite podataka, donosi, Šabić kaže - jako daleko.

Mi smo trenutno u situaciji da imamo zakon (o zaštiti podataka) koji je bio anahron i neadekvatan i u vreme kad je donet, a i onda je bilo jasno da nije dobar, navodi poverenik. Podseća da je s tim u vezi već 2013. godine Vlada formirala Radnu grupu, ali i da posle pet godina nemamo nikakav rezultat. Ističe da je to jedna loša situacija.

Šabić podseća da je predložio model, koji je, kako navodi solidno usaglašan sa GDPR, ali da se u međuvremenu pojavio jedan drugi za koji tvrdi da je neprimenljiv.

Poverenik naglašava da nije on bio taj koji je u Akcioni plan za Poglavlje 23 stavio da će osnova za zakon biti model poverenika. Umesto toga (predloženog modela poverenika koji je podržao i civilni sektor) je napravljeno nešto loše, loš prevod evropske uredbe, neprimenljiv akt, ističe poverenik.

Tužno je da posle pet godina rada radne grupe, nemamo taj akt, naglašava. Strategiju za zaštitu podataka o ličnosti Srbija je na moju inicijativu dobila 2010. i obavezala se da će Akcioni plan za tu strategiju doneti, a prošlo je osam godina i to se nije desilo, naveo je. Za početak, kaže, to nije ni zadatak poverenika, to je odgovoran krupan, državni zadatak u kom mnogo organa treba da učestvuje.

Propušteno je sve ove godine, navodi, da donesemo dobar zakon, da edukujemo ljude...

Govoreći o instituciji Poverenika, Šabić kaže da država planira kadrovsko jačanje, a kad donese budžet, novca nema ni za postojeći kadar. Navodi da je data saglasnost povereniku za 94 zaposlena, a nema novca ni za plate sada zaposlenih.

Opšta uredba EU o zaštiti podataka o ličnosti (GDPR) sutra stupa na snagu

Opšta uredba o zaštiti podataka o ličnosti – General Data Protection Regulation (GDPR), novi regulatorni okvir Evropske unije kojim se uređuje jedna od zanemarenih oblasti digitalne ekonomije, sutra stupa na snagu.

Većina osnovnih principa Uredbe nije nova, s obzirom na to da se oslanja na instrumente zaštite ličnih podataka iz doba papira i fascikli. Novost je da su ovi principi dobili jasnu primenu na promet robe i usluga na internetu, a otvorena je i Pandorina kutija automatizovane obrade podataka i tzv. algoritamskog odlučivanja.

Takođe, Uredbom je proširena odgovornost ljudi i organizacija koji prikupljaju i obrađuju podatke, detaljno su razrađeni instrumenti i procedure sprovođenja propisa, dok su kazne drakonske i mogu iznositi i do 20 miliona evra ili 4% godišnjeg obrta, pri čemu će se prednost dati višem iznosu.

Osnovni cilj Uredbe je da građani povrate kontrolu nad svojim podacima. Propisani su novi uslovi za pristanak na obradu podataka, te više neće biti moguće davati “blanko” saglasnosti, niti će se prihvatanje komplikovanih i prosečnom korisniku nerazumljivih politika privatnosti smatrati validnim pristankom. Građani su osnaženi i postojanjem novih prava poput prava na prenosivost podataka ili prava “na zaborav”.

Iako se odnose na svaku vrstu obrade ličnih podataka, u analognom ili digitalnom okruženju, stroge norme Uredbe ciljaju pre svega na zauzdavanje ekonomije podataka, zbog čega im se već prognozira najradikalniji uticaj na internet u njegovoj istoriji. U senci panike u poslovnom sektoru, ostala je činjenica da je GDPR jedan od prvih propisa koji teži da reguliše kompleksne odnose na internetu, koji su do sada uspešno izmicali regulaciji.

Vremena za prilagođavanje novom propisu bilo je dovoljno: GDPR je usvojen 2016. dok je rok od dve godine ostavljen da bi se promet robe i usluga usaglasio sa izmenama. Sada je vreme da se proveri opravdanost kritika iz poslovnih i građanskih organizacija, dok će se stvarne posledice nove Uredbe otkriti tek u praksi.

Kako će GDPR uticati na organizacije u Srbiji?

Ukoliko se obraćaju klijentima na teritoriji država članica EU, biće obavezni da prilagode svoje politike privatnosti novoj Uredbi. Kompanije izvan EU koje imaju pristup tržištu Unije, svakako već imaju iskustva u poštovanju normi koje tamošnji zakoni zahtevaju. Uredba, međutim, nalaže da se pored politika privatnosti preduzmu i tehničke i organizacione mere za zaštitu podataka o ličnosti, odnosno način na koji se deklarativne izjave zaista sprovode.

Poštovanje normi propisanih Uredbom biće obaveza i privatnih i javnih organizacija. Usklađenost sa Uredbom uslov je za pristup najvećoj ekonomiji na svetu, sa oko 500 miliona građana i BDP-om u visini od oko 30.000 evra, ali i istraživačkim grantovima, naučnoj saradnji i tako dalje, praktično svakoj aktivnosti koja obuhvata obradu podataka građana EU.

Kako će GDPR uticati na građane Srbije?

Usmerena na zaštitu prava građana EU, Uredba samo posredno utiče na stanovnike država izvan Unije. Kako globalne kompanije svakako neće izostaviti tako veliko tržište, mnoge od njih već su usvojile izmene svog poslovanja, naročito većina najvećih koje svoju vrednost dobrim delom duguju trgovini ličnim podacima korisnika. Na taj način, bar kad je reč o velikim provajderima usluga na internetu, GDPR će nadamo se polako postati globalni standard od čega će svi korisnici imati koristi, bez obzira u čijoj se jurisdikciji nalaze.

Nije zanemarljiv ni reputacioni interes kompanija kojima će, čak i ako se ne obraćaju klijentima u EU, poštovanje najviših pravnih standarda za zaštitu ličnih podataka svojih korisnika služiti kao zalog poverenja.

(N1, Fonet)