Nebrojno puta smo do sada čuli za skraćenicu GDPR. O čemu se točno radi? Kako utječe na ponuđače usluga na internetu u Bosni i Hercegovini? Koliko su zaista zaštićeni podaci korisnika? Istražili smo… Pomogao nam je Zlatan Omerspahić, ekspert za GDPR, danas zaposlen u mostarskoj kompaniji NSoft, na poziciji direktora Odjela pravnih Poslova.
Prije svega, GDPR je skraćenica za General Data Protection Regulation. Uredba je kreirana u cilju zaštite osobnih podataka korisnika EU. Osim toga regulira mogućnost iznošenja podataka u treće zemlje. U punoj primjeni je od sredine 2018. godine.
Zlatane, jesu li se zaista dogodile promjene uvođenjem GDPR-a?
Prije svega značilo je jednu od najvećih reformi unutar Europske unije, ne samo kad je u pitanju zaštita osobnih podataka, nego i u sveukupnosti svih procesa koji su se mijenjali u Europskoj uniji u proteklih desetak ili petnaest godina. Najveći benefit GDPR-a je jedinstvena primjena u svim državama, čime odmah dolazimo do zaključka da postoji veća pravna sigurnost u zaštiti osobnih podataka za korisnike jer se ne suočavate sa situacijom koja je bila prije 2018. kada je svaka država imala svoj nacionalni propis, različit od druge države koja je također članica Europske unije. To je praktično značilo da državljanin Europske unije ostvarujući interese unutar teritorije EU nema jednak tretman u zaštiti svojih osobih podataka od države do države. Proširen je i dodatno osnažen okvir prava koja korisnici ostvaruju i koja mogu zahtjevati od pružatelja usluga koji vrše obradu njihovih osobnih podataka.
Najveći benefit GDPR-a je jedinstvena primjena u svim državama.
Što se tiče pružatelja usluga, na njihovoj strani također su bile velike promjene. Prije svega znatno je povećan obim zahtjeva da biste bili usklađeni sa GDPR-om. Počevši od zahtjeva koje morate provoditi interno unutar organizacije, a tako i eksterno prema klijentima i drugim korisnicima vaših usluga bez obzira o kojoj djelatnosti se radi. U medijima je i danas najzastupljenija informacija o iznosima kazni koje plaćaju organizacije u vidu upravnih kazni ukoliko se utvrdi njihova neusklađenost sa zahtjevima iz GDPR-a. Regulatornim tijelima su date izuzetno visoke ovlasti u provođenju kontrole, što dodatno povećava regulatorni rizik pružateljima usluga. Danas prije nego želite prikupiti neki osobni podatak defitivno se morate zapitati treba li vam uopće, a ako treba prikupljate li ga legalno u skladu sa GDPR-om.
Zakonski, GDPR se odnosi na bilo koju organizaciju koja pohranjuje ili obrađuje osobne podatke o građanima EU na području EU. Sve pravne osobe imaju obavezu pridržavati se propisanih pravila što obuhvaća ne samo internetsko poslovanje već i sve one koji imaju uvid u bilo kakve osobne podatke korisnika.Dostupne informacije nam konstantno govore o korisnicima u EU i na području EU? Šta je s kompanijama i korisnicima u Bosni i Hercegovini?
Vrlo zanimljiva situacija je sa Bosnom i Hercegovinom. Kao i u svim poljima, promjene su došle puno brže nego što su donositelji odluka u Bosni i Hercegovini, odgovorili tim promjenama adekvatno i na vrijeme. Formalnopravno gledajući, Bosna i Hercegovina kao država koja ima kandidatski, ali ne i članski status u EU nema obavezu neposredne primjene GDPR-a. Međutim, to je samo prvi dio odgovora na to pitanje. Drugi dio se ogleda u činjenici da BiH ima konstantnu obavezu usklađivanja s propisima i standardima u EU, pa tako i sa propisima koji reguliraju ovu oblast. Danas su kompanije primorane radi svojih poslovnih partnera biti usklađene sa GDPR-om iako ih na to zakon u BiH ne primorava još uvijek.
Krenuti ćemo od korisnika. Gotovo nitko nema vremena prilikom posjete određenoj web stranici pročitati upit koji se pojavi na dnu ekrana. Što se predlaže čitateljima financa.ba, trebamo li prihvatiti cookies, odbiti ih ili trebaju na svakoj stranici posebno navesti koje će informacije dopustiti, a koje ne?
Tu se radi o onim dobro poznatim kolačićima. Prije svega se trebamo pitati želimo li da ta stranica drži naše osobne podatke ili ne? Ukoliko ne prihvatimo tzv. kolačiće korisničko iskustvo pretraživanja stranice može nam biti ograničeno. Generalno njihovo prihvaćanje nije loše, može biti i od koristi. A najbolji je pristup da se za većinu stranica prihvate samo neophodni kolačići koji nam uvjetuju da stranica funkcionira normalno. Kolačići mogu spremati širok pojas informacija uključujući osobne informacije (kao što je ime ili e-mail adresa). Ipak, ova informacija može biti spremljena jedino ako mi to omogućimo. Web stranice ne mogu dobiti pristup informacijama koji im mi nismo dali i ne mogu pristupiti drugim datotekama na našem računaru.
Prihvaćanje kolačića nije loše, može biti i od koristi, a najbolji je pristup da se za većinu stranica prihvate samo neophodni kolačići koji nam uvjetuju da stranica funkcionira normalno.
Postoji li neki primjer u kojem su korišteni prikupljeni podaci koji nisu u skladu s GDPR-om, a da se kasnije naštetilo samom korisniku, kroz neke pronevjere ili krađe na području Bosne i Hercegovine?
Agencija za zaštitu osobnih podataka odlučuje prevashodno na temelju Zakona o zaštiti osobnih podataka BiH. Svi akti koji su doneseni dovode se u vezu sa tim Zakonom. Mada postoje određeni slučajevi kada se obrazlaganje odluke dovodilo u kontekst standarda koje propisuje GDPR. Upravo iz gore navedenog razloga, da imamo obavezu da se usklađujemo i primjenjujemo standarde Europske unije kao država koja ima kandidatski status.
Sa strane pružatelja usluge, tko je zadužen za pridržavanje zakonskim propisima GDPR-a. Je li se u praksi ovome posvetilo dovoljno vremena i resursa u Bosni i Hercegovini?
Ako govorimo o nadležnom tijelu u Bosni i Hercegovini, onda ću se vratiti na ranije odgovoreno pitanje. GDPR se formalno ne primjenjuje u BiH, ali daleko od toga da kroz druge načine već odavno nije u faktičkoj primjena. To se najčešće ogleda kroz kompanije koje posluju na inozemnom tržištu i one radi svojih klijenata koji se nalaze u Europskoj uniji moraju biti usklađeni sa GDPR-om. Npr. ako obrađujete osobne podatke za klijenta iz EU i to su podaci državljana EU, vi morate biti usklađeni prema GDPR-u. Ko bi Vas mogao držati odgovornim? Pa u slučaju neusklađenosti, kazna bi došla vašem klijentu sa kojim surađujete. A onda bi on, ukoliko bi vi bili odgovorni, plaćanje kazne tražio od vas. Posebna priča je da bi to vjerovatno značio i kraj poslovne suradnje i veliki reputacijski rizik.
Iako BiH službeno ne podliježe GDPR-u, ako obrađujete osobne podatke za klijenta iz EU i to su podaci državljana EU, vi morate biti usklađeni prema GDPR-u.
Često nam se događa da u verbalnoj komunikaciji spomenemo određene ključne riječi, a već sutradan vidimo reklame na društvenim mrežama. Definira li GDPR prikupljanje podataka od korisnika preko aktivnih i neaktivnih aplikacija na uređajima koje svakodnevno koristimo.
Možda i nije, a možda i jeste iznenađenje, ali činjenica je da čak 52 posto aplikacija dijele naše privatne podatke s trećim stranama. Ti podaci mogu uključivati podatke poput naše lokacije, povijesti pregleda na web pregledniku, detalje o kontaktima, fitness podatke, itd.. Prikupljanje nekih od tih podataka je legitimno jer omogućava korištenje web lokacija na optimalan način. Međutim, problem se javlja kada se podaci dijele trećim osobama bez našeg znanja i onda nas analizom “napadaju” raznim reklamama. Interesantno, najveći prestupnici su oni koje i najviše koristimo u svakodnevnom životu Instagram, Facebook, eBay, LinkedIn i YouTube. Na ovom mjestu dolazimo do jednog pitanja za šire diskusije. Mogu li zaista milijunske kazne ovakvim gigantima naštetiti i koliko su one svrsishodne te treba li naći neki drugi model kažnjavanja?
Čak 52% aplikacija dijeli naše privatne podatke s trećim stranama.
Očekujete li, Zlatane, da će u narednom periodu doći do izmjena GDPR-a, da će se postrožiti zakonski okviri? Ima li prostora za to?
Vjerojatno iz političkih razloga to se još uvijek nije desilo i pitanje je kad će. BiH ima solidan Zakon o zaštiti osobnih podataka. Ali joj definitivno treba reforma u ovoj oblasti, jer nije usklađen sa standardima koje je nametnuo GDPR. Također, kapaciteti Agencije za zaštitu osobnih podataka su vrlo ograničeni, te je vrlo teško poduzimati kontrolu u onom obimu u kojem bi trebalo. Ali se iskreno nadam da će se to uskoro promijeniti jer će pitanje zaštite osobnih podataka biti sve važnije i važnije pitanje. A BiH treba imati efikasno i kapacitirano regulatorno tijelo.
Za kraj, po Vama, koji je dio digitalnog svijeta najlošije zakonski reguliran? Te u kojem je segmentu obični korisnik najviše izložen manipulacijama kojih nije svjestan?
Ne bih rekao možda da je najlošije reguliran, ali regulacija je tek u razvoju. Umjetna inteligencija je nešto što će obilježiti naredni period. Bit će interesantno vidjeti kako će se društvo u cjelini snaći i odgovoriti ovom izazovu.
Autor: financa.ba
Obvezno navesti izravnu poveznicu na članak prilikom preuzimanja.