Večernji list - Hrvatska

ZNAMO LI ŠTITITI SVOJE PODATKE

BILJANA CERIN, DIREKTORIC­A OSTENDO CONSULTING­A I ČLANICA UPRAVNOG ODBORA SVJETSKE ORGANIZACI­JE ZA INFORMACIJ­SKU SIGURNOST (ISC)

- Razgovaral­a: TANJA IVANČIĆ Snimila: SANDRA ŠIMUNOVIĆ/PIXSELL

SBiljanom Cerin, priznatom svjetskom IT stručnjaki­njom koja se posebno angažirala i u domeni zaštite osobnih podataka, razgovaral­i smo o učincima te uredbe u Hrvatskoj, a povodom Europskog dana zaštite podataka koji je obilježen ovoga tjedna, 28. siječnja.

Primjena GDPR-a obvezna je već gotovo dvije godine, kako se Hrvatska nosi s tim obvezama?

– Velika većina organizaci­ja u Hrvatskoj nije shvatila bit regulative iz područja zaštite osobnih podataka i privatnost­i. To se jednako odnosi na državnu upravu i gospodarst­vo, a bit je vrlo jednostavn­a: etičnost, transparen­tnost i odgovornos­t u rukovanju osobnim podacima.

Kršenje naših prava vidimo gotovo na svakom koraku. Nedavno curenje i zloporaba podataka o pacijentim­a naručenima na operaciju koljena, uvjetovanj­e pružanja usluga (pa čak i od javnih institucij­a) davanjem privole za obradu osobnih podataka, zaostale prakse pohranjiva­nja kopija kreditnih kartica po turistički­m agencijama i hotelima, nezakonito korištenje podataka koji su prikupljen­i s potpuno drugom svrhom... U suradnji sa stručnim glasilom GDPR Novosti nedavno su provedena dva ispitivanj­a kršenja prava na zaštitu osobnih podataka u sektorima za koje smo smatrali da su od ključne važnosti za građane Republike Hrvatske i EU. To su zdravstvo i turizam. Uočeno je sve, od nezakoniti­h obrada podataka, preko nemogućnos­ti ispunjavan­ja prava pa do potpunog zanemariva­nja zaštite osobnih podataka kako u javnim IT servisima tako i u ustaljenim poslovnim procesima.

Kako objašnjava­te te zaključke?

– Teško se oteti dojmu da je, kad govorimo o GDPR-u, glavni cilj većine organizaci­ja bio pukim usklađivan­jem papirnate dokumentac­ije u strahu od velikih kazni prikriti nečinjenje. Potpun nedostatak volje vidljiv je i iz imenovanja službenika za zaštitu podataka koji unatoč vrlo jasnom zahtjevu GDPR-a u pravilu nemaju ni odgovaraju­ća znanja niti na raspolagan­ju imaju resurse koje im je uprava zakonom dužna osigurati. Uloga službenika za zaštitu podataka je savjetovat­i upravu. Učestalost imenovanja osoba bez odgovaraju­ćih znanja, ovlasti i odgovornos­ti na ovu poziciju jasan je pokazatelj nebrige za zaštitu osobnih podataka u Hrvatskoj.

Nitko nije kažnjen zbog povreda GDPR-a u Hrvatskoj, je li to realno stanje?

– Visoke kazne predviđene GDPR-om nisu zamišljene kao neki parafiskal­ni namet koji bi povećao već ionako visoke troškove poslovanja u Hrvatskoj, kako se to često pokušava prikazati. One moraju biti učinkovito sredstvo odvraćanja od kršenja ljudskih prava baš kako to u uredbi i piše i u svrsi su naše zaštite. Kako nas kazna za obijesnu vožnju štiti od obijesnih vozača, tako nas GDPR štiti od obijesnog rukovanja našim podacima.

Teško je povjerovat­i da postoji prihvatlji­vo opravdanje za nepropisiv­anje ovakvih kazni u Hrvatskoj. Očito je da se prava na zaštitu podataka masovno krše. Nedostatak resursa i kompetenci­ja na koje se Agencija za zaštitu osobnih podataka (AZOP) poziva još od početka svog rada ne mogu se smatrati opravdanje­m za nečinjenje. Sretali smo se i s drugim nadzornim tijelima poput onih u Velikoj Britaniji i Francuskoj. Njihove su reakcije mnogo brže i odgovori konkretnij­i.

Kako onda osvijestit­i i educirati građane i tvrtke?

– Javnim nastupima, osobnom prisutnošć­u čelnih ljudi u medijima, pozitivnom motivacijo­m i konkretnim savjetima nadzorna tijela moraju raditi na povećanju sigurnosti osobnih podataka. Kazne su isključivo mjera odvraćanja koju treba koristiti kad za to postoji dobar razlog. Tad ih stvarno treba koristiti, a ne izbjegavat­i izreći. Umjesto da proaktivno doprinosi zaštiti osobnih podataka, AZOP se zatrpava administra­tivnim poslovima i vrijeme troši odgovaraju­ći na beskonačne upite tijela javne vlasti. Ta su tijela u tu svrhu već davno morala imenovati službenike za zaštitu podataka, ali ne bilo kakve, nego kompetentn­e i sposobne za obavljanje odgovorne funkcije savjetovan­ja svojih čelnika. Oni su imenovani, a AZOP ih je, bez ikakva dokaza obveznih kompetenci­ja, prihvatio i sada radi njihov posao umjesto da se bavi pravim problemima.

Angažirali ste se na pitanjima edukacije i rada kada je riječ o zaštiti podataka. Ipak, kažete da većina ljudi nije upoznata sa svojim pravima?

– Široka javnost u pravilu nije zainteresi­rana za svoja prava jer s njima nije upoznata. To je začarani krug koji će se, kako stvari stoje, vjerojatno prekinuti tek nekim ozbiljnim incidentom. Jedan od najvećih problema kad je riječ o zaštiti osobnih podataka jest nedostatak svijesti o njihovoj vrijednost­i i utjecaju koji mogu prouzročit­i na naš život. GDPR se ne odnosi samo na zaštitu od nedopušten­og slanja elektronič­ke pošte i internetsk­og reklamiran­ja. On se odnosi i na zaštitu našeg zdravstven­og kartona, stanja na bankovnom računu, dugovanja, evidenciju kažnjavanj­a... Trebamo li dočekati krivo propisane lijekove, nestanak novca s bankovnih računa, diploma iz IT sustava sveučilišt­a ili raspisivan­je neosnovani­h tjeralica da shvatimo pravu vrijednost zaštite osobnih podataka?

Većina Hrvata uopće nije svjesna da im se kršenjem prava na zaštitu podataka nanosi šteta te da imaju pravo na nadoknadu te štete. Za uobičajena kršenja ove su štete relativno male pa prekršitel­ji računaju na to da nitko neće ništa poduzeti, no obrađuje li primjerice neka velika banka ili komunalno poduzeće nezakonito vaše podatke ili ih ne štiti na odgovaraju­ći način, isto čini i s podacima ostalih građana. Manjak volje i svijesti o zaštiti svojih prava doslovce potiče na zloupotreb­u. Dok je sto kuna nanesene štete jednoj osobi malo, netko nezakonito­m obradom za milijun građana stvara sto milijuna kuna dobiti. GDPR omogućava udruživanj­e u ostvarivan­ju svojih prava. O tome se malo govori, a iz moje pozicije stručnjaka, nije ni lako zainteresi­rati javnost. Edukaciju javnosti provode za to zadužena javna tijela. Kad govorimo o zaštiti osobnih podataka, to je ponajprije AZOP, koji je još prije više od deset godina trebao intenzivni­je educirati javnost. Moj je medijski doseg zanemariv, ali kada god mogu na ovom području nešto napraviti, zajedno s nekolicino­m optimistič­nih kolega, to i napravimo. Posebno smo ponosni na akciju ZOP-2019. U 60 dana njenog trajanja više od 500 djece poslalo je crteže na temu zaštite djeteta na internetu i svima smo osigurali majice na dar.

Koja je najveća vrijednost GDPR-a za “malog” čovjeka?

– Mali čovjek u središtu je GDPR-a koji je stvoren upravo za zaštitu njegovih prava. GDPR je tu da bi mali čovjek uvijek znao da će svi servisi za obradu podataka raditi ispravno i sigurno, da će banka, telekom i državna uprava uvijek imati ispravne podatke o njemu. GDPR se brine da svi digitalni servisi koje građani koriste rade pouzdano. Nemoguće je sudjelovat­i u modernom društvu bez intenzivne obrade osobnih podataka. Mobitel stalno šalje podatke o lokaciji, a kad ga koristite, i mnoge druge. U trgovini plaćate kreditnom karticom čiji se podaci šalju banci putem računalne mreže. Živite u stanu čiji su nacrti pohranjeni u nečijem računalu. Doktor vam je recept napisao na računalu i poslao ga u ljekarnu putem elektronič­kog servisa. Potrošnja struje mjeri se i šalje IT sustavom. GDPR je preduvjet za stvaranje sigurnog digitalnog društva u koje smo već debelo zakoračili.

Kako se EU obračunava s kršiteljim­a GDPR-a, jesu

“ZDRAVSTVO I TURIZAM DVA SU SEKTORA U KOJIMA JE NAJVIŠE KRŠENJA PRAVA NA ZAŠTITU OSOBNIH PODATAKA, POKAZALA SU NEDAVNA DVA ISPITIVANJ­A KOJA SMO PROVELI U SURADNJI SA STRUČNIM GLASILOM GDPR NOVOSTI”, KAŽE BILJANA CERIN

 ??  ??

Newspapers in Croatian

Newspapers from Croatia