Kako se primjenjuje GDPR?

Opća uredba 2016/679 Europskog parlamenta i vijeća od dana 27.4.2016 o zaštiti pojedinca u vezi s obradom osobnih podataka i o kretanju takvih podataka morala se provesti do 25.5. 2018. godine, kako u Hrvatskoj tako i u cijeloj EU. Potražili smo primjere iz prakse koji pokazuju u kojoj se mjeri zaštita osobnih podataka provodi.

Volimo snimati mobitelima, a nije loše ni spremiti kopiju fotografija u oblak, za slučaj da se sprava pokvari, izgubi. Upravo takvu uslugu pruža tvrtka Ever, koja besplatno čuva fotografije svojih brojnih korisnika. Nudi se i izrada albuma, kako bi se uspomene prelistavale kao u dobra stara vremena. Kako to već biva, kad je nešto besplatno, onda tu mora biti neka kvaka 22.

Doduše tvrtka nudi i komercijalnu verziju svoje usluge, za 12$ mjesečno može se spremati fotografije visoke rezolucije i filmove. Čini se da pri besplatnoj verziji smanjuju veličinu datoteka, a time i kvalitetu snimaka, što mnogima neće previše smetati.

No mnogima će smetati kad saznaju da ista tvrtka razvija softver za prepoznavanje lica, koji prodaje privatnim tvrtkama, policiji i vojsci. Za testiranje softvera koristili su fotografije svojih klijenata, a da ih o tome nisu ni obavijestili ni tražili privolu. Ako se nešto može bez ikakve sumnje smatrati osobnim podatkom, onda je to fotografija osobe. Pa kako se onda tvrtka usuđuje koristiti osobne podatke bez pristanka vlasnika, kršeći pri tom zakon? Vjerojatno su smatrali da će proći ispod radara, nitko se neće buniti ako ne zna.

Opet se moramo pitati koliko je korisnika pročitalo ugovor prije nego je skinulo aplikaciju i dalo svoj pristanak. Ti su ugovori, uvjeti korištenja, namjerno pisani nerazumljivim pravnim jezikom, opsežni i do zla boga dosadni, tako da se malo tko potrudi da ih pročita do kraja, a kamoli da ih razumije.

Eto ideje za pobornike slobodnog softvera! Zašto netko ne bi napisao aplikaciju koja će prožvakati takve ugovore i za radoznalog korisnika izbaciti kratak i jasan sažetak? Na primjer: prihvaćanjem ovog dokumenta odustajete od bilo kakvog zahtjeva za odštetom. Tvrka može koristiti vaše podatke za različite analize, a rezultate tih analiza može prodavati trećoj strani bez vašeg znanja i pristanka. Itd. its.

Zanimat će vas barem kako tvrtka štiti svoje servere, hoćete li izgubiti svoje slike u slučaju neke havarije, što ako se netko neovlašten dočepa vaših fotografija? Sve je uzalud ako ste potpisali ugovor kojim ste tvrtki dali sva prava a sebi ih uskratili.

Nisu sve tvrtke tako beskrupulozne. Kažu da je Apple, kad je razvijao aplikaciju za prepoznavanje lica, tražio pristanak od svojih korisnika i čak ih obeštetio. Tu je na djelu tvrtka koja razmišlja dugoročno i zna koliko su joj njezini kupci vrijedni. Ozbiljan posao ovisi o povjerenju i lojalnosti kupaca. Nasuprot tome, netko može pokrenuti biznis radi prikupljanja podataka na kojima može zarađivati, a tvrtku ugasiti u trenutku kad mu postane teret. Imate li iskustva s web siteovima koji nestaju preko noći, bez objašnjenja, bez obaveze prema korisnicima, bez rizika da će ih netko tužiti i zatražiti odštetu? Trebalo bi nas zanimati s kim imamo posla, prije nego donesemo odluku o tome da postanemo korisnici.

Donošenje zakona koji štite osobne podatke svakako je civilizacijski korak naprijed, ali od toga nema koristi ako se tih zakona nitko ne pridržava. Nema vajde od zaštite koju nam pružaju zakoni niti ako korisnici ne čitaju ugovor s proizvođačem. Na kraju, nema koristi od zaštite ni ako prekršitelji prolaze nekažnjeno.

Infosecurity magazine prenosi da je od 11.468 prijavljenih slučajeva gubitka osobnih podataka u godinu dana izrečeno svega 29 kazni, iliti jadnih 0.25%! Da stvar bude još gora, kazne nisu izrečene po GDPR-u, već po ranijem zakonu, Data Protection Act iz 1998. Radi se o Ujedinjenom kraljevstvu, gdje se gubici podataka prijavljuju ustanovi pod nazivom the Information Commissioner’s Office (ICO), što bi bila njihova verzija naše Agencije za zaštitu osobnih podataka. Na upit novinara zašto je tako malo izrečenih kazni, ICO odgovara da oni prije svega djeluju preventivno i nastoje educirati društvo, a kazne izriču u krajnjem slučaju, kada se radi o pravnim subjektima koji se opetovano oglušuju o propise i ponavljaju iste prekršaje. Dakle s tvrtkama postupaju kao s malom djecom koju najprije treba naučiti lijepom ponašanju, a kažnjavati ako baš ne ide drugačije.

Tehničari vole tehnička rješenja problema. Zar bi bilo teško dizajnirati takvu bazu podataka u kojoj bi se za svaki podatak zabilježilo tko mu je vlasnik, koja su ograničenja pristupanju i korištenju podataka. Vlasnik podataka mogao bi dobiti obavijest o tome da su njegovi podaci obrađivani u nekoj analizi tržišta, tko je to proveo, da li su pri tom prekršena njegova prava, ili da ima pravo tražiti odštetu? Zamislite da vam u inbox sjedne poruka o tome da je netko neovlašteno pristupio vašim podacima? Istu takvu poruku mogao bi automatski dobiti i AZOP, MUP, ili već netko treći čija je dužnost zaštita građana i provođenje zakona. Utopija, ili samo još jedan zadatak koji tehničari mogu odraditi bez većih problema?

Pitanje je postoji li interes da se tako nešto provede? Ili je još jači interes da se, bar još neko vrijeme, dozvoli lov u mutnom. Naše podatke vrebaju ne samo beskrupulozni poslovni subjekti, nego i obavještajci raznih vrsta, dobronamjerni i nedobronamjerni. Pa zar nedavno nismo mogli čitati da ugledni političar (navodno) čita poruke svoje bivše supruge? Zar nisu procurili mailovi o grupi Borg, kojima se djelovalo na javno mnijenje, pale su ostavke i smjenjivanja, a kao nebitno se zanemaruje pitanje da li su te poruke procurile na zakonit način, ili "na crno". Nitko nikad neće odgovarati ako se radi o ovom drugom slučaju, kao da je normalno da svakoga prisluškuju i špijuniraju, naprosto zato jer nam to tehnologija omogućuje, zakoni se provode selektivno, a interesi su jači od svega, od zakona, od morala, od ljudi?

Mnogo pitanja, mnogo mogućih odgovora. No već je i pravo da se takva pitanja postavljaju nekakav civilizacijski iskorak, kao i zakoni koji se donose u EU, makar na njihovu primjenu morali strpljivo čekati.

No možda među čitateljima ima dobrovoljaca koji su spremni uložiti trud i vrijeme u hakiranje društva? Zanima li nekoga izrada aplikacije koja bi vlasnike podataka obavještavala o tome kako se njihovi podaci koriste? Ili izrada AI programa koji prevodi nečitljiv pravni jezik na ljudima razumljiv govor?