Opća Uredba o zaštiti osobnih podataka poznata kao GDPR (General Data Protection Regulation) usvojena je u travnju 2016. godine u Europskom parlamentu, a nakon dvogodišnjeg razdoblja prilagodbe u petak počinje njena primjena u praksi u svim članicama EU pa time i u Hrvatskoj.

Ovom Uredbom uspostavljaju se nova pravila u zaštiti osobnih podataka i korjenito mijenja dosadašnji način njihova prikupljanja. Cilj je kvalitetnije zaštiti privatnost građana i upravljanje njihovim osobnim podacima koje prikupljaju i njima raspolažu tijela javne vlasti, tvrtke i druge organizacije. Naravno, GDPR zabranjuje neovlašteno korištenje osobnih podataka, a za prekršitelje predviđa visoke, čak i astronomske novčane kazne. Primjerice, u najdrastičnijem slučaju, kazne za kršenje pravila o zaštiti osobnih podataka mogu iznositi i do 20 milijuna eura ili 4 posto godišnjeg prihoda, ovisno o tome kolikom su riziku bili izloženi osobni podaci korisnika.

Pravila i uvjeti korištenja moraju biti razumljiva svima

Dosad su, napose u virtualnom prostoru, vladali prilično neuređeni odnosi po pitanju prikupljanja osobnih podataka. Korisnik bi svoje podatke jednim klikom prepuštao drugima, a velika većina gotovo nikada nije ni čitala sve one sitno napisane i (namjerno) zapetljane i zamornim pravnim rječnikom sročene uvjete korištenja. Većina bi odmah kliknula “slažem se” ne vodeći računa ili ne mareći za moguće posljedice.

Sada se stvari suštinski mijenjaju pa, među ostalim, Uredba propisuje da sva pravila i uvjeti korištenja za koja se od korisnika traži suglasnost, a s njome i pravo raspolaganja njegovim osobnim podacima, od sada moraju biti jednostavno i sažeto napisana tako da budu razumljiva čak i djeci.

U Hrvatskoj je sigurnost podataka dosad štitio Zakon o zaštiti podataka iz 1995. godine, no s obzirom na strahoviti razvoj digitalnih tehnologija i pojavu interneta na koji su ‘preselili’ i građani i biznis, taj je zakonski okvir zastario. A o razmjerima nezaštićenosti podataka na internetu najbolje svjedoči nedavna afera s Facebookom i Cambridge Analyticom u kojoj su zloupotrebljeni podaci milijuna korisnika diljem svijeta.

Korisnici mogu zatražiti obustavu obrade ili brisanje svojih podataka

Od korisnika se, od sada, mora zatražiti suglasnost za raspolaganje njegovim osobnim podacima, a on će moći zatražiti informacije o tome za što se oni koriste. Također će moći uložiti prigovor, ali i zatražiti obustavu obrade ili brisanje svojih osobnih podataka. Pritom postoje iznimke, pa će osobni podaci moći biti korišteni nekažnjeno ili uz venetualno blage kazne, u situacijama kada je u pitanju zaštita javnog ili privatnog interesa. Konkretnije, kada je u pitanju obrana zemlje ili istraga kaznenih djela.

Zbog stupanja na snagu GDPR-a, mnoge tvrtke već jesu ili će morati zaposliti stručnjake koji će brinuti o zaštiti osobnih podataka i paziti da ne dođe do njihovog curenja. Inače, GDPR se odnosi na sve tvrtke koje posluju na prostoru Europske unije njudeći svoje proizvode i usluge, ali i na sve one izvan EU koje raspolažu podacima europskih građana.

Pod osobnim podatkom smatraju se sve informacije koje potvrđuju i na temelju kojih se može utvrditi identitet osobe: od imena i prezimena, adrese stanovanja, telefonskog broja, biometrijskih podataka (otisska prstiju ili snimke šarenice oka), OIB-a, e-mail adrese, IP adrese pa preko osobnih fotografija i videosnimki pojedinca do GPS lokacije, RFID tagova i kolačića na web stranicama, podataka o obrazovanju i stručnoj spremi, podataka o plaći, bankovnim računima i kreditnom zaduženju, podataka o zdravlju, seksualnoj orijentaciji i niza drugog.

HROK obustavio razmjenu podataka o klijentima, ukinute ‘crne liste’

Osobni podaci najizloženiji su u bankarskom, telekomunikacijskom i osiguravateljskom sektoru. Banke, osiguravajuća društva i telekomi raspolažu s najviše osobnih podataka korisnika pa se u tim sektorima izisikuje i najveća tehnička zaštita podataka.

Upravo stoga, uoči stupanja GDPR-a na snagu, Hrvatski registar obveza po kreditima (HROK) objavio je da će privremeno obustaviti razmjene podataka i izdavanje kreditnih izvješća za građane te kreditnih izvješća za obrtnike i slobodna zanimanja, a s radom je prestao i Sustav razmjene informacija (SRI) odnosno tzv. ‘crna lista’ klijenata koji neuredno otplaćuju kredite. Zbog novih pravila iz Hrvatske udruge banaka (HUB) najavili su da će banke i dalje razmjenjivati podatke i izdavati izvješća za pravne osobe, ali za fizičke osobe neće izrađivati kreditna izvješća. Pretpostavlaja se da bi zbog novih pravila postupci dobivanja kredita mogli biti usporeni i trajati mjesecima jer banke neće raspolagati informacijama iz HROK-a.

Reklame i obavijesti putem telefona i e-maila samo uz odobrenje

Uredba o zaštiti osobnih podataka ne obvezuje samo banke, osiguravateljske kuće i telekome nego i sve državne institucije, vrtiće, škole, bolnice, poštu, udruge, klubove, pa i fizičke osobe poput obrtnika ili iznajmljivača apartmana. Ukratko, sve koji se na bilo koji način bave prikupljanjem, obradom i pohranom osobnih podataka visokog rizika. To znači da će od petka svi oni u svojim bazama smjeti imati samo podatke za koje postoji privola osobe čiji su podaci u pitanju, te ugovorna i zakonska osnova.

Jednostavnije rečeno, bez vaše privole odnosno odobrenja nitko vas više neće moći nazivati telefonom ili vam slati mailove nudeći proizvode ili usluge samo na temelju toga što su na internetu nađli ili iz nekog drugog izvora dobili broj telefona ili e-mail adresu.

“Ako netko koristi objavljene kontakte da bi ponudio servisu nekakve rezervne dijelove ili općini uslugu korisnu njezinim stanovnicima, to je u skladu s uredbom jer se smatra da je to interes obiju strana. Ako se pak netko javi sportskom klubu da bi doznao gdje kupiti ulaznice za košarkašku utakmicu, nakon odgovora na pitanje klub mora obrisati podatke o onome tko je upit uputio. Ne smije ih pohraniti i onda slati ponude za, primjerice, kupnju novih dresova. Pohrana i korištenje tih podataka nakon završetka svrhe zbog koje je klub došao u njihov posjed kršenje je Uredbe. Slično je i ako se javite nekoj trgovini s pitanjem koje modele hladnjaka imaju. Nakon što je odgovorila na to pitanje, trgovina mora zaboraviti da je ikad imala te podatke, izuzev ako se izričito složite s tim da ih može sačuvati. Znači, mora se dati privola s točno navedenom svrhom čuvanja podataka koju trgovina također mora čuvati”, slikovito je pojasnio za Večernji list Zorislav Antun Petrović iz Instituta za zaštitu osobnih podataka (IZOP).

Šifre umjesto imena djece na oglasnoj ploči, po liječnički nalaz osobno

Večernji list također navodi primjer kako će podatke dosad objavljivane na javno istaknutim listama, recimo imena i prezimena djece upisane u dječji vrtić na oglasnim pločama zamijeniti lozinke ili šifre. Naravno, samo u slučaju ako roditelji ili zakonski zastupnici ne daju privolu da se objave pravi podaci. Kada su u pitanju liječnički nalazi poput nalaza krvi, njih će moći preuzeti isključivo osoba na čije ime i prezime glase. U suprotnom, druga će osoba morati imati pisanu potvrdu u pristanku odnosno privoli za preuzimanje tih nalaza.

Osim što vas, ako to ne želite, nuditelji proizvoda ili usluga neće više moći nazivati telefonom ili vam slati mailove bez vaše privole, isto se odnosi i na političke stranke i kandidate. I oni će u predizborno vrijeme morati zatražiti privolu da bi mogli slati propagandne poruke putem sms-ova ili mailova. Kada vam, pak istekne neka polica osiguranja, osiguravatelj vam nakon tog roka smije poslati novu ponudu za obnovu police jer za to postoji legitimni interes. Međutim, ako vi odbijete tu ponudu, tada osiguravajuće društvo više ne smije slati ponude.

Sva odobrenja i privole korisnici imaju pravo opozvati u svakom trenutku.

