Šta je GDPR?
105

Nova zaštita ličnih podataka: BiH od petka mora provoditi EU zakon koji dočekuje nespremna

Piše: I. P.
GDPR predstavlja novi zakonski vid zaštite ličnih podataka građana EU, a kroz regulaciju ponašanja državnih ili privatnih entiteta koji raspolažu informacijama kojim se građanin može identificirati. Stupit će na snagu u petak 25. maja, a BiH će ga morati poštovati, prvo radi građana EU, a potom i radi sebe jednom kada postane članica.

Kako objašnjava Irena Omazić, specijalistica za sadržajni marketing, General Data Protection Regulation(GDPR) je Opća uredba o zaštiti ličnih podataka građana Evropske unije. Do sada je postojao zakon koji je štitio lične podatke građana EU, ali je nakon posljednjih predsjedničkih izbora u SAD-u postalo alarmantno kako se koriste lični podaci pa ova Uredba stavlja po strani dosadašnje regulative i ona će sada biti prvi zakon koji će se koristiti u zaštiti ličnih podataka.

Sveti lični podatak

"Lični podatak je bilo kakva informacija koja osobu može identificirati. To nije samo ime i prezime - to je matični broj, otisak prsta, IP adresa na računaru i telefonima, fotografija lica pomoću koje otključavate telefon. To je niz podataka na osnovu kojih se može odgonetnuti da se radi o osobi s određenim imenom i prezimenom. GDPR će od 25. maja 2018. štititi lični podatak svojih građana. Bez obzira na to koja kompanija ili osoba koristi te podatke, ona će morati poštovati tu regulativu, bez obzira na to što je firma iz SAD-a, a uslugu putem interneta isporučuje građaninu EU", objasnila je Omazić za Klix.ba.

Regulativa se odnosi na sve kompanije koje izvoze podatke u treće zemlje i na vlasnike web stranica, servisa ili čak bloga koji koristi "kolačiće". Vlasnik je odgovoran za podatke ljudi s kojima sarađujete, odnosno čitatelja i posjetitelja stranice.

"Vlasnik mora reći korisniku ko drži njegove podatke, vi, Google, Facebook... Morat će biti transparentni, jer ako stranica koristi Facebook Pixel ona na neki način prati korisnike, ako ni za šta drugo, onda za bihevioralni marketing. Ciljate ih na osnovu podataka i onda im morate reći koji su to podaci i za šta će biti korišteni", kazala je naša sagovornica.

Ona naglašava da će kompanije koje imaju kompletne servise, recimo online prodaja, osjetiti povećanje troškova, jer će morati imenovati tim pravnika koji će voditi novi sistem, jer obični blog nije isto što i korištenje podataka za remarketing i oglašavanje.

"Pravila privatnosti na stranicama morat će biti detaljno napisana i ljudima se mora dati mogućnost isključenja iz marketinških aktivnosti kompanije i iz marketinga na Facebooku. Neće biti dovoljno ubacivanje koda kao do sada - GDPR zahtjeva popunjavanje formulara i da se on pošalje. Vi kao kompanija morate imati dokaz u svom arhivu da sam pristala na oglašavanje, ali i dokaz da sam se izbisala. To znači da firme moraju angažovati programere i stručnjake što opet znači povećanje troškova", kazala je Omazić.

Kazne za neposlušnost su drakonske - 20 miliona eura ili 4 posto od ukupnog godišnjeg prometa, a uzima se onaj iznos koji je veći od slučaja do slučaja, odnosno od firme do firme.

Šta s podacima građana EU izvan granica EU?

Omazić podsjeća da zemlje van EU, uključujući BiH, odnosno njihove kompanije koje raspolažu podacima građana EU, trebaju imati voditelja za ove procese i odgovarajuće državno tijelo koje će se baviti provedbom GDPR-a. BiH je u ovoj priči specifična, jer znatan dio njenih građana ujedno spada u građane Evropske unije.

"Kada se građanin EU požali, to tijelo treba osigurati provođenje zakona koji štite građane EU iako BiH nije u EU. Mi imamo rok do 1. jula 2021. godine da zakonodavstvo prilagodimo GDPR-u i tada će i građani BiH biti pod zaštitom. Ipak, BiH već od 25. maja mora početi štititi građane EU u svojim granicama i van njih", podsjeća Omazić koja ilustruje važnost GDPR-a na jednostavnom primjeru.

"Recimo, šta je s našim zdravstvenim podacima u privatnim klinikama? Da li se oni prodaju osiguravajućim kućama ili farmaceutskim kompanijama? Šta bude s bazom podataka ako privatna klinika propadne ili se proda? GDPR nas štiti u tom pogledu ako ga budemo znali koristiti. Mi imamo okvir, sad ne znam da li će se on manjkavo provoditi. Velika je stvar što GDPR za kompanije postavlja veliku obavezu. Za građane koji nisu educirani je samo mogućnost. Mnogi ne znaju šta je njihov privatni podatak na internetu i kako drugi trguju tim informacijama. Dok god ne znamo tražiti svoja prava, institucije će nama isporučivati samo što se mora, a mi možemo tražiti mnogo više!", zaključila je Irena Omazić.

Nespremni jer smo spori

Odgovarajuće državno tijelo koje će se baviti provedbom GDPR-a, koje naša sagovornica spominje, jeste Agencija za zaštitu ličnih podataka BiH. U razgovoru s direktorom Petrom Kovačevićem jasno je da BiH, kao u nizu drugih primjera, GDPR neće dočekati spremna.

"Uredba i direktiva za zaštitu podataka kod sprečavanja krivičnih djela usvojeni su 2016. godine, a primjena počinje 25. maja ove godine i to ojačava zaštitu ličnih podataka na način da se uvode nova prava, a i ojačavaju postojeća u starom rješenju. Također, ojačavaju se obaveze kontrolora tj. onih koji obrađuju lične podatke. Teritorijalno postoje novine, uredba se odnosi na vlasnike podataka u EU, ali i voditelje obrade podataka koji nemaju sjedište u EU. Tako se Uredba primjenjuje i na teritoriji BiH za one koji prate ponašanje građana EU ili im nude robu i usluge", rekao je Kovačević za Klix.ba.

Agencija će, prema Kovačevićevim riječima, dobiti nove zadatke i već radi na kreiranju prijedloga novog Zakona o zaštiti ličnih podataka kojim bi se preuzeo GDPR, a koji podrazumijeva jačanje kapaciteta agencije.

"Mi smo pokušali animirati javnost, ali imamo probleme s kapacitetima. Pokušavamo dogovoriti s privrednim subjektima da prepoznaju obaveze uvođenja kontrolora, procjene rizika i ispunjavanja svih obaveza. Također, sve institucije će morati imenovati službenika za zaštitu ličnih podataka. Institucije i privredni subjekti se moraju upoznati o obavezama, moraju provesti analizu trenutne obrade podataka i zaštite ličnih podataka", rekao je Kovačević.

Kako kaže, u BiH je problem što sporo prepoznajemo značaj zaštite ličnih podataka, ne samo u svojstvu zaštite privatnosti, nego i u kontekstu drugih vrijednosti.

"Prepoznata je potreba da se lični podaci svakim danom sve više razmjenjuju, ali to mora pratiti pravila. To kod nas ide često iz krajnosti u krajnost pa se lični podaci koji moraju biti dostupni skrivaju, a oni koji se trebaju štititi postaju javni. Kod nas uspostave zakon, instituciju i ljudi misle da su ispunili obavezu. A u agenciji nemamo službenika za prigovore, a naše prioritetno djelovanje su postupci po prigovorima građana. Vijeće ministara neće da nam da saglasnost, a novac je predviđen u budžetu. Mi moramo biti nezavisni i na nas mora utjecati samo zakon, a na nas utječe zaključak Vijeća ministara koji nije zakonit", zaključio je Kovačević.