Ovaj post sadrži Black Mirror spojlere.
Jedna od mojih omiljenih Netflix serija je ujedno i oličenje mnogih mojih strahova i vjerujem da u tome nisam sama. Serija u kojoj se istražuju opcije za prisluškivanje, praćenje i kontrolisanje društva kao cjeline dovodi do velike knedle u grlu ove pravnice koja se bavi zaštitom ličnih podataka i privatnosti. Ukoliko vam serija već nije ucrtana u sjećanju kao jedna od većih noćnih mora, da se podsjetimo nekoliko epizoda:
Nosedive se bavi svijetom u kom se sve zasniva na rejtinzima i u kome svaka interakcija donosi disproporcionalni rizik društvene ekskluzije. Svaka aktivnost i lokacija je praćena, svaka transakcija zapamćena, svaka interakcija analizirana i pohranjena. Big data, big time. Privatnost, kao i sloboda izražavanja su stvari prošlosti. Ovakva distopijska noćna mora pretpostavlja da mi, kao društvo, nismo uspjeli da stavimo kočnice na ovakve trendove i da samim tim nismo uspjeli da zaštitimo sopstvena prava i nametnemo dužnosti onima koji obrađuju naše lične podatke. Ova epizoda pretpostavlja da mi čak nemamo ni svijest o tome. Takva situacija možda nije dio realnosti na Zapadu, ali se već ostvaruje u Kini. Arkangel se, recimo, bavi užasnim zadiranjem u dječiju privatnost. Crocodile se bavi zadiranjem u lična, najintimnija sjećanja pomoću sprave zvane engram.
No, ovo nije blog post koji se bavi recenzijom Netflixove popularne serije. Ovdje govorimo o ličnim podacima i njihovoj vrijednosti koja je prevelika da ne bismo razmislili o dozvolama koje dajemo za njihovo dijeljenje.
Za početak, dovoljno je da pogledamo oko sebe i razmislimo na koliko smo mjesta svjesno, ili pak nesvjesno, ostavili određenu količinu ličnih podataka. Sjeti se neke od aplikacija koje si skinuo/la nedavno i odgovori na sledeća pitanja:
- Da li si dao/la svoje ime ili možda mejl adresu?
- Jesi li dao/la dozvolu da aplikacija prati tvoju geolokaciju čak i kad je ne koristiš?
- Ima li aplikacija pristup tvojoj kameri, kontaktima ili mikrofonu?
- Koliko puta si vidio/la Privacy Policy (PP) ili prihvatio/la Terms and Conditions (T&C) da bi počeo/la da koristiš nešto?
- Koliko je puta taj PP ili T&C tekst bio duži od jedne strane i napisan jezikom pravnika?
Ukoliko si odgovorio/la pozitivno na bilo koje od ovih pitanja, nastavi da čitaš.
Šta je GDPR i kako smo došli do njega?
Gore navedena pitanja su često simptomi netransparentne obrade ličnih podataka koja se nerijetko svodi na maksimizaciju prikupljanja podataka i njihovo analiziranje koje prevazilazi mjere izričito potrebne za funkcionisanje usluge koju ste tražili od, recimo, neke aplikacije. Runkeeper je 2016. godine pobrao velike kritike zbog ovakvog ponašanja jer je pratio lokaciju svojih korisnika čak i kada nisu koristili aplikaciju.
Ovakvo i njemu slična ponašanja će početi da se mijenjaju sada kad organizacije očekuje EU Generalna uredba o zaštiti ličnih podataka (GDPR – General Data Protection Regulation) koja, nakon četiri godine diskusija i lobiranja i dvije godine prilagođavanja, 25. maja ove godine postaje primjenjiva. Ona sa sobom nosi mnoge promjene u sferi privatnosti i zaštite ličnih podataka, kao i ”zube” koje će biti teško ignorisati. GDPR će zamijeniti trenutno važeću Direktivu o zaštiti ličnih podataka iz 1995. godine.
Kao Uredba, biće direktno primjenjiva u svim zemljama članicama EU, bez potrebe za harmonizirajućim zakonskim aktima – izuzev u nekih 50-ak slučajeva gdje Uredba sama nalaže mogućnost daljeg regulisanja u svakoj zemlji članici, kao npr. starosno doba djece kada se više ne traži saglasnost roditelja ili staratelja za obrađivanje podataka.
Šta nam ova uredba donosi?
GDPR je stupio na snagu 25. maja 2016. godine, ali neće biti primjenjiv do 25. maja ove godine. To znači da su svim EU članicama date dvije godine da se prilagodimo obavezama iz Uredbe, bez mogućnosti da budu kažnjene za prestupe. Razlog za ovaj grace period leži u činjenici da GDPR sa sobom nosi stroge obaveze koje mogu da proizvedu fatalne posljedice za biznise i organizacije. No, o ”zubima” ćemo malo kasnije.
GDPR je važan upravo iz razloga što reguliše način na koji se naši lični podaci sakupljaju, obrađuju i koliko dugo se čuvaju. GDPR utvrđuje neka stara i donosi nova prava sa sobom: pravo na jasne i koncizne informacije o obradi podataka, pravo na pristup podacima, pravo na ispravku podataka, pravo na brisanje (tj. pravo da budeš zaboravljen/a), pravo na prigovor, itd.
GDPR sa sobom nosi i čitav niz obaveza za organizacije koje obrađuju lične podatke: npr. obaveza da sa svakim obrađivačem (processor) potpiše ugovor o obradi ličnih podataka, da za svaku obradu ličnih podataka mora naći odgovarajuće uporište i bazu u zakonu, da za svaki transfer ličnih podataka u treće zemlje mora imati bazu i niz odgovarajućih zaštitnih mjera, da mora da prijavi incidente (ili povrede, personal data breach) da mora da vodi evidenciju i registar svojih procesa obrade ličnih podataka, da mora da implementira odgovarajuće tehnološke i organizacijske mjere bezbjednosti itd.
Povrh svega toga, pred kraj teksta Uredbe nalazimo i njene ”zube”. Nadzorni organi (ekvivalent našoj Agenciji za zaštitu ličnih podataka) mogu da zatraže uvid u dokumentaciju, nalože reviziju, i na kraju, mogu da kazne organizacije sa do 4% godišnjeg globalnog obrta ili do 20 miliona eura, što god bude veće.
Šta ovo znači za Crnu Goru?
Za početak, Crna Gora ima svoj Zakon o zaštiti ličnih podataka iz 2008. godine. Čitajući ovaj instrument, vidi se uticaj Direktive EU iz 1995. godine. To je dobar početak, ali kao zemlja kandidatkinja za EU članstvo, i Crna Gora će morati da prilagodi svoj zakonski okvir onome iz EU.
Ako sve to stavimo sa strane, organizacije koje posluju u Crnoj Gori možda i nisu sasvim izuzete iz teritorijalnog obuhvata GDPR-a i prije nego li Crna Gora postane EU zemlja članica. Naime, GDPR je primjenjiv i na organizacije koje nisu utemeljene unutar EU, ali nude dobra i usluge EU ”data” subjektima (tj. individualcima) ili vrše monitoring njihovog ponašanja. Pojam obrade podataka podrazumijeva između ostalog i prikupljanje, pristup, analizu, pohranjivanje, odnosno svaku radnju izvršenu nad ličnim podacima do njihovog uništenja.
Čini se da će nakon 25. maja 2018. godine ipak biti manje izvjesno da će serija Black Mirror biti naša stvarnost. Makar na tlu Evropske Unije i unutar teritorijalnog okvira GDPR-a i njene regulativne sestre ePrivacy Regulation čiji će tekst vjerovatno biti finalizovan u toku godine.
Uz to, ostavljam vas da uronite u podešavanja svojih telefona i prečešljate sve dozvole koje ste dali aplikacijama koje koristite. A ti, kome ti daješ svoje lične podatke?
Autorka:
Dena Dervanović, LL.M. CIPP/E,
Pravna savjetnica za pravo zaštite ličnih podataka
Privasee AB
Švedska