Osobni podatak kao nova valuta

Privatnost i zaštita osobnih podataka, kao temeljna ljudska prava, sve više su teme za raspravu zakonodavaca, građana i poduzetnika jer osobni podatak postaje tzv. nova valuta. Poduzetnici koji uz pomoć novih tehnologija znaju kako upravljati prikupljenim podacima i kako analizirati određene obrasce u ponašanju potrošača stječu konkurentniji položaj na tržištu. S druge strane, tijela javne vlasti kroz razne digitalne platforme i digitalizaciju zdravstva, nadzora sigurnosti i komunalnih usluga prikupljaju i obrađuju sve više podataka o građanima.

Posljednjih nekoliko mjeseci svjedočimo pojačanom interesu javnosti za teme u vezi s privatnošću i zaštitom osobnih podataka. Razlog tomu je i nova Uredba (EU) 2016/679 Europskog parlamenta i Vijeća od 27. travnja 2016. o zaštiti pojedinaca u vezi s obradom osobnih podataka i o slobodnom kretanju takvih podataka te o stavljanju izvan snage Direktive 95/46/EZ (Opća uredba o zaštiti podataka – GDPR) koja se pripremala u tijelima EU skoro četiri godine te se dvije godine nakon stupanja na snagu, 25. svibnja 2018, počinje izravno primjenjivati u svim državama članicama, pa i u Hrvatskoj.

Primjena GDPR-a

GDPR-om je zamijenjena Direktiva o zaštiti podataka 95/46/EC koja je u hrvatsko zakonodavstvo bila transponirana Zakonom o zaštiti osobnih podataka (Narodne novine broj: 103/2003, 118/2006, 41/2008, 130/2011 – ZZOP). Izravnom primjenom GDPR-a stavljaju se izvan snage odredbe ZZOP-a te se ujednačava zaštita osobnih podataka na razini cijele EU. Iako smo ZZOP-om već imali regulirano područje zaštite osobnih podataka, na način da su zakonom bile propisane pravne osnove za obradu osobnih podataka, prava ispitanika i kazne za kršenje zakona, GDPR-u se posvećuje više pažnje jer su propisane kazne znatno više te se sam ispitanik, tj. fizička osoba čiji se podaci obrađuju, stavlja u središte pozornosti.

Zbog sumnje u manipulaciju osobnim podacima osnivač Facebooka Zuckerberg svjedočio je pred Senatom  / Snimio Ron Sachs / DPA / PIXSELL

Zaštita osobnih podataka tiče se pojedinaca, fizičkih osoba, zbog čega su prava ispitanika proširena i zahtijeva se od osoba koje obrađuju osobne podatke da budu transparentne i pouzdane u svom poslu i da na jasan način objasne pojedincima tko obrađuje podatke, zašto se podaci obrađuju, komu se prosljeđuju i koliko se dugo čuvaju.

Iako GDPR sadržava jedinstven skup pravila koja se izravno primjenjuju u državama članicama, države članice obavezane su određene aspekte urediti nacionalnim zakonodavstvima. Tako države članice imaju obavezu svoje dosadašnje nacionalno zakonodavstvo o zaštiti osobnih podataka staviti izvan snage, promijeniti i prilagoditi postojeće zakonodavstvo koje interferira s odredbama GDPR-a i donijeti nacionalne propise kojima će urediti uspostavljanja nacionalnih tijela za zaštitu podataka, biranje akreditacijskog tijela (za Hrvatsku odabrana Hrvatska akreditacijska agencija), i uskladiti slobodu izražavanja sa zaštitom osobnih podatka. Unatoč tome što je uredba kao akt EU izravno primjenjiva u državama članicama, GDPR ipak daje mogućnost da države članice dodatno utvrde primjenu propisa o zaštiti podataka u specifičnim područjima.

Tako je 27. travnja 2018, po hitnom postupku, u Hrvatskom saboru izglasan hrvatski Zakon o provedbi Opće uredbe o zaštiti podataka (Zakon o provedbi GDPR-a).

Zakonom o provedbi GDPR-a posebno se uređuju pitanja:

– nadzorno tijelo odgovorno za praćenje primjene GDPR-a (Agencija za zaštitu osobnih podataka – AZOP);

– zabrana obrade genetskih podataka radi izračuna izgleda obolijevanja i drugih zdravstvenih aspekata ispitanika u okviru radnji za sklapanje ili izvršavanje ugovora o životnom osiguranju (privolom ispitanika ne može se ukinuti ta zabrana);

– ograničenja kod obrade biometrijskih podataka kao posebne kategorije osobnih podataka;

– videonadzor radnih prostorija, videonadzor stambenih zgrada, poslovno-stambenih zgrada i videonadzor javnih površina.

Mnogo polemike u javnosti izazvala je odredba Zakona o provedbi GDPR-a prema kojoj se tijelima javne vlasti ne mogu izreći upravne novčane kazne. Naime, zakonom je sužena definicija tijela javne vlasti na način da uključuje samo tijela državne uprave, druga državna tijela te jedinice lokalne i područne samouprave i takva tijela neće plaćati upravne novčane kazne za povrede GDPR-a.

GDPR se primjenjuje na sva trgovačka društva, pojedince koji obavljaju samostalnu djelatnost, udruge, bolnice, klubove i pojedince kad obrađuju osobne podatke izvan okvira potreba kućanstva (npr. postavljanje videonadzora ispred ulaznih vrata kuće/stana) ili kad kao voditelji ili izvršitelji obrade obrađuju podatke ispitanika u EU i to kad:

– imaju poslovni nastan u EU; bez obzira obrađuju li podatke unutar ili izvan EU;

– nemaju poslovni nastan u EU, ali se obrada odnosi na nuđenje robe ili usluga ispitanicima u EU (bez obzira plaća li se usluga) ili pak prate ponašanje ispitanika u EU;

– nemaju poslovni nastan u EU već na mjestu gdje se primjenjuje pravo države članice na temelju međunarodnoga javnog prava.

Što je osobni podatak?

Osobni podatak čini svaki podatak koji se odnosi na pojedinca, fizičku osobu, čiji je identitet utvrđen ili se može utvrditi. Pojedinac čiji se identitet može utvrditi jest osoba koja se može identificirati izravno ili neizravno. Osobni podaci bi primjerice bili: ime i prezime, identifikacijski broj, slika, glas, adresa, broj telefona, IP-adresa, povijest bolesti, popis najdraže literature ili pjesama, ako takvi podaci mogu dovesti do izravnog ili neizravnog identificiranja pojedinca.

Pod obradom osobnih podataka GDPR podrazumijeva svaku radnju prikupljanja, bilježenja, čuvanja, uvida, otkrivanja, prenošenja ili uništavanja.

Ono što je važno razlikovati kod odgovornosti koju GDPR stavlja pred osobe koje vrše određene obrade osobnih podataka jest tko je voditelj, a tko izvršitelj obrade. Voditelj obrade je onaj koji je odgovoran za obradu osobnih podataka i dužan je u svakom trenutku dokazati poštovanje odredbi GDPR-a. Voditelj obrade određuje način i svrhu obrade i za te obrade može angažirati drugu osobu koja će obrađivati podatke sukladno njegovim uputama. Ta druga osoba smatra se izvršiteljem obrade. Tako npr. poduzetnik koji, u okviru svog poslovanja, prikuplja i obrađuje podatke o svojim radnicima, suradnicima, potrošačima može angažirati druge osobe (izvršitelje obrade) da mu u tome pruže pomoć, primjerice, da mu održavaju informatički sustav, provode marketinške kampanje ili selektiraju kandidate koji se prijave na natječaj za posao.

Kako bi obrada osobnih podataka bila zakonita, potrebno je ispunjenje jednog od navedenih pravnih temelja:

• Privola – dobrovoljno, posebno, informirano i nedvosmisleno izražavanje želje ispitanika kojom se izjavom ili jasnom potvrdnom radnjom daje pristanak za obradu osobnih podataka. Smatra se da privola nije dana dobrovoljno ako je ispitanik ne može odbiti ili povući bez posljedica.

• Izvršavanje ugovora – obrada je nužna za izvršavanje ugovora u kojima je ispitanik stranka, ili u slučaju radnji koje prethode sklapanju ugovora (npr. obrada podataka kandidata za posao radi pozivanja na intervju/testiranje).

• Poštivanje pravnih obaveza – voditelj obrade obrađuje podatke u okviru ispunjavanja pravnih obaveza (npr. vođenje evidencije o radnicima).

• Izvršavanje zadaće od javnog interesa – npr. službene ovlasti Državnog zavoda za statistiku da prikuplja i obrađuje određene osobne podatke.

• Legitimni interes voditelja obrade ili treće strane – prilikom procjene legitimnog interesa voditelj je dužan voditi računa o ravnoteži između interesa voditelja i interesa ispitanika (npr. legitimni interes vlasnika nekretnine da postavi sustav videonazora da bi spriječio stvarnu opasnost za svoju imovinu).

Kao što je prethodno navedeno, ispitanik čiji se podaci prikupljaju/obrađuju ima, prije početka prikupljanja/obrade pravo na obavijest o tome tko prikuplja njegove podatke, u koju svrhu, na temelju koje pravne osnove, primateljima tih podataka, iznošenju u treće zemlje, razdoblju pohrane itd.

Ispitanik ima pravo i na pristup tim podacima kao i na zahtijevanje njihova ispravka.

Pravo na zaborav je također jedno od prava ispitanika (right to be forgotten) prema kojem ispitanik ima pravo od voditelja obrade zahtijevati uklanjanje podataka. To pravo poprimilo je šire značenje nakon presude Europskog suda pravde (Google Spain vs. Costeja) iz 2014, kojom je pojedincima dano pravo da zahtijevaju od internetskih pretraživača trajno uklanjanje rezultata pretrage koji uključuju njihovo ime, ako bi im se tim objavama moglo naštetiti ili ih osramotiti. Pravo na zaborav pruža zaštitu pojedincu tako da mu se omogućuje da zahtijeva trajno brisanje podataka koji su javno dostupni, a nekad su služili za zadovoljenje interesa javnosti, no sada više nemaju takvo značenje. Moglo bi se zaključiti da pravo na zaborav u biti štiti pojedince od stigmatiziranja zbog objave nekih informacija koje su imale značenje za širu javnost, ali su to značenje izgubile.

Ozbiljan pristup

Osobni podaci mogu se prenositi izvan EU samo ako je za tu zemlju donesena odluka o primjerenosti koju donosi Europska komisija nakon savjetovanja s državama članicama. U određenim slučajevima osobne je podatke moguće prenijeti u treću državu, koja ne pruža primjerenu razinu zaštite osobnih podataka na temeljima određenim GDPR-om, kao što su primjerice ugovori sklopljeni između država, standardne ugovorne klauzule, kodeksi ponašanja, ugovorne klazule, koji moraju ispunjavati visoke standarde zaštite kako bi zaštita osobnih podataka u trećim državama bila jednakovrijedna zaštiti unutar EU. U iznimnim slučajevima, podaci se mogu prenijeti u treće zemlje ako je ispitanik dao privolu, a prije toga bio informiran o rizicima prijenosa ili ako je primjerice prijenos bio potreban radi izvršenja ugovora.

Iako je i dosad ZZOP propisivao kazne za neispunjavanje uvjeta propisanih tim zakonom, GDPR propisuje uvelike strože kazne, i to novčane upravne kazne koje se mogu izricati uz upozorenja, zabrane, ograničenja...

Za kršenje obveza voditelja i izvršitelja obrade te certifikacijskog tijela i tijela za praćenje kodeksa ponašanja propisana je maksimalna kazna u iznosu do 10 milijuna eura ili do dva posto godišnjeg prometa na svjetskoj razini ovisno o tome što je veće, a za druga kršenja, npr. načela obrade, prava ispitanika, prijenosi u treće države, propisana je maksimalna kazna do 20 milijuna eura ili do četiri posto godišnjeg prometa na svjetskoj razini, ovisno o tome što je veće.

Iz propisanih upravnih novčanih kazni možemo zaključiti da je Europska Unija ozbiljno pristupila temama koje GDPR uređuje. Primjena GDPR-a u praksi će pak pokazati jesu li pojedinci stvarno stekli više prava sukladno novim odredbama ili će se GDPR pokazati kao još jedan u nizu pravnih tekstova koji nije uspio riješiti problematiku primjene novih tehnologija.