ZNAMO LI ŠTITITI SVOJE PODATKE
BILJANA CERIN, DIREKTORICA OSTENDO CONSULTINGA I ČLANICA UPRAVNOG ODBORA SVJETSKE ORGANIZACIJE ZA INFORMACIJSKU SIGURNOST (ISC)
SBiljanom Cerin, priznatom svjetskom IT stručnjakinjom koja se posebno angažirala i u domeni zaštite osobnih podataka, razgovarali smo o učincima te uredbe u Hrvatskoj, a povodom Europskog dana zaštite podataka koji je obilježen ovoga tjedna, 28. siječnja.
Primjena GDPR-a obvezna je već gotovo dvije godine, kako se Hrvatska nosi s tim obvezama?
– Velika većina organizacija u Hrvatskoj nije shvatila bit regulative iz područja zaštite osobnih podataka i privatnosti. To se jednako odnosi na državnu upravu i gospodarstvo, a bit je vrlo jednostavna: etičnost, transparentnost i odgovornost u rukovanju osobnim podacima.
Kršenje naših prava vidimo gotovo na svakom koraku. Nedavno curenje i zloporaba podataka o pacijentima naručenima na operaciju koljena, uvjetovanje pružanja usluga (pa čak i od javnih institucija) davanjem privole za obradu osobnih podataka, zaostale prakse pohranjivanja kopija kreditnih kartica po turističkim agencijama i hotelima, nezakonito korištenje podataka koji su prikupljeni s potpuno drugom svrhom... U suradnji sa stručnim glasilom GDPR Novosti nedavno su provedena dva ispitivanja kršenja prava na zaštitu osobnih podataka u sektorima za koje smo smatrali da su od ključne važnosti za građane Republike Hrvatske i EU. To su zdravstvo i turizam. Uočeno je sve, od nezakonitih obrada podataka, preko nemogućnosti ispunjavanja prava pa do potpunog zanemarivanja zaštite osobnih podataka kako u javnim IT servisima tako i u ustaljenim poslovnim procesima.
Kako objašnjavate te zaključke?
– Teško se oteti dojmu da je, kad govorimo o GDPR-u, glavni cilj većine organizacija bio pukim usklađivanjem papirnate dokumentacije u strahu od velikih kazni prikriti nečinjenje. Potpun nedostatak volje vidljiv je i iz imenovanja službenika za zaštitu podataka koji unatoč vrlo jasnom zahtjevu GDPR-a u pravilu nemaju ni odgovarajuća znanja niti na raspolaganju imaju resurse koje im je uprava zakonom dužna osigurati. Uloga službenika za zaštitu podataka je savjetovati upravu. Učestalost imenovanja osoba bez odgovarajućih znanja, ovlasti i odgovornosti na ovu poziciju jasan je pokazatelj nebrige za zaštitu osobnih podataka u Hrvatskoj.
Nitko nije kažnjen zbog povreda GDPR-a u Hrvatskoj, je li to realno stanje?
– Visoke kazne predviđene GDPR-om nisu zamišljene kao neki parafiskalni namet koji bi povećao već ionako visoke troškove poslovanja u Hrvatskoj, kako se to često pokušava prikazati. One moraju biti učinkovito sredstvo odvraćanja od kršenja ljudskih prava baš kako to u uredbi i piše i u svrsi su naše zaštite. Kako nas kazna za obijesnu vožnju štiti od obijesnih vozača, tako nas GDPR štiti od obijesnog rukovanja našim podacima.
Teško je povjerovati da postoji prihvatljivo opravdanje za nepropisivanje ovakvih kazni u Hrvatskoj. Očito je da se prava na zaštitu podataka masovno krše. Nedostatak resursa i kompetencija na koje se Agencija za zaštitu osobnih podataka (AZOP) poziva još od početka svog rada ne mogu se smatrati opravdanjem za nečinjenje. Sretali smo se i s drugim nadzornim tijelima poput onih u Velikoj Britaniji i Francuskoj. Njihove su reakcije mnogo brže i odgovori konkretniji.
Kako onda osvijestiti i educirati građane i tvrtke?
– Javnim nastupima, osobnom prisutnošću čelnih ljudi u medijima, pozitivnom motivacijom i konkretnim savjetima nadzorna tijela moraju raditi na povećanju sigurnosti osobnih podataka. Kazne su isključivo mjera odvraćanja koju treba koristiti kad za to postoji dobar razlog. Tad ih stvarno treba koristiti, a ne izbjegavati izreći. Umjesto da proaktivno doprinosi zaštiti osobnih podataka, AZOP se zatrpava administrativnim poslovima i vrijeme troši odgovarajući na beskonačne upite tijela javne vlasti. Ta su tijela u tu svrhu već davno morala imenovati službenike za zaštitu podataka, ali ne bilo kakve, nego kompetentne i sposobne za obavljanje odgovorne funkcije savjetovanja svojih čelnika. Oni su imenovani, a AZOP ih je, bez ikakva dokaza obveznih kompetencija, prihvatio i sada radi njihov posao umjesto da se bavi pravim problemima.
Angažirali ste se na pitanjima edukacije i rada kada je riječ o zaštiti podataka. Ipak, kažete da većina ljudi nije upoznata sa svojim pravima?
– Široka javnost u pravilu nije zainteresirana za svoja prava jer s njima nije upoznata. To je začarani krug koji će se, kako stvari stoje, vjerojatno prekinuti tek nekim ozbiljnim incidentom. Jedan od najvećih problema kad je riječ o zaštiti osobnih podataka jest nedostatak svijesti o njihovoj vrijednosti i utjecaju koji mogu prouzročiti na naš život. GDPR se ne odnosi samo na zaštitu od nedopuštenog slanja elektroničke pošte i internetskog reklamiranja. On se odnosi i na zaštitu našeg zdravstvenog kartona, stanja na bankovnom računu, dugovanja, evidenciju kažnjavanja... Trebamo li dočekati krivo propisane lijekove, nestanak novca s bankovnih računa, diploma iz IT sustava sveučilišta ili raspisivanje neosnovanih tjeralica da shvatimo pravu vrijednost zaštite osobnih podataka?
Većina Hrvata uopće nije svjesna da im se kršenjem prava na zaštitu podataka nanosi šteta te da imaju pravo na nadoknadu te štete. Za uobičajena kršenja ove su štete relativno male pa prekršitelji računaju na to da nitko neće ništa poduzeti, no obrađuje li primjerice neka velika banka ili komunalno poduzeće nezakonito vaše podatke ili ih ne štiti na odgovarajući način, isto čini i s podacima ostalih građana. Manjak volje i svijesti o zaštiti svojih prava doslovce potiče na zloupotrebu. Dok je sto kuna nanesene štete jednoj osobi malo, netko nezakonitom obradom za milijun građana stvara sto milijuna kuna dobiti. GDPR omogućava udruživanje u ostvarivanju svojih prava. O tome se malo govori, a iz moje pozicije stručnjaka, nije ni lako zainteresirati javnost. Edukaciju javnosti provode za to zadužena javna tijela. Kad govorimo o zaštiti osobnih podataka, to je ponajprije AZOP, koji je još prije više od deset godina trebao intenzivnije educirati javnost. Moj je medijski doseg zanemariv, ali kada god mogu na ovom području nešto napraviti, zajedno s nekolicinom optimističnih kolega, to i napravimo. Posebno smo ponosni na akciju ZOP-2019. U 60 dana njenog trajanja više od 500 djece poslalo je crteže na temu zaštite djeteta na internetu i svima smo osigurali majice na dar.
Koja je najveća vrijednost GDPR-a za “malog” čovjeka?
– Mali čovjek u središtu je GDPR-a koji je stvoren upravo za zaštitu njegovih prava. GDPR je tu da bi mali čovjek uvijek znao da će svi servisi za obradu podataka raditi ispravno i sigurno, da će banka, telekom i državna uprava uvijek imati ispravne podatke o njemu. GDPR se brine da svi digitalni servisi koje građani koriste rade pouzdano. Nemoguće je sudjelovati u modernom društvu bez intenzivne obrade osobnih podataka. Mobitel stalno šalje podatke o lokaciji, a kad ga koristite, i mnoge druge. U trgovini plaćate kreditnom karticom čiji se podaci šalju banci putem računalne mreže. Živite u stanu čiji su nacrti pohranjeni u nečijem računalu. Doktor vam je recept napisao na računalu i poslao ga u ljekarnu putem elektroničkog servisa. Potrošnja struje mjeri se i šalje IT sustavom. GDPR je preduvjet za stvaranje sigurnog digitalnog društva u koje smo već debelo zakoračili.
Kako se EU obračunava s kršiteljima GDPR-a, jesu
“ZDRAVSTVO I TURIZAM DVA SU SEKTORA U KOJIMA JE NAJVIŠE KRŠENJA PRAVA NA ZAŠTITU OSOBNIH PODATAKA, POKAZALA SU NEDAVNA DVA ISPITIVANJA KOJA SMO PROVELI U SURADNJI SA STRUČNIM GLASILOM GDPR NOVOSTI”, KAŽE BILJANA CERIN