Europska unija je nakon nekoliko godina pregovaranja i usklađivanja donijela novi okvir zaštite osobnih podataka – Opću uredbu o zaštiti podataka, ili punim nazivom: Uredba (Eu) 2016/679 Europskog Parlamenta i Vijeća od 27. travnja 2016. o zaštiti pojedinaca u vezi s obradom osobnih podataka i o slobodnom kretanju takvih podataka te o stavljanju izvan snage Direktive 95/46/EZ (Opća uredba o zaštiti podataka). Iznimno dugi naziv skraćen je na četiri slova GDPR, od engleskog General Data Protection Regulation pa ćemo ga koristiti i u ovom tekstu.

Što treba znati? Kao prvo, u pitanju je uredba (regulation), a ne direktiva (directive) Europske unije. Uredba znači da se propis izravno primjenjuje u svim članicama EU, i da je pisana poput nacionalnog zakona, za razliku od direktiva, koje su u puno većoj mjeri okvirne i implementiraju se u nacionalno zakonodavstvo donošenjem nacionalnih propisa.

Dakle, nova regulativa je obvezna i izravno se primjenjuje – u Republici Hrvatskoj konkretno od 25. svibnja 2018. godine. Osim brojnih novosti u regulaciji osobnih podataka, donosi i mogućnost bitno većih kazni. Do sada su kazne bile gotovo simbolične, no odsad će nacionalna tijela za zaštitu osobnih podataka, pa tako i naša Agencija za zaštitu osobnih podataka, moći kazniti počinitelja iznosom čak do 4% ukupnog prometa.

Zašto sve to?

Davne 1950. godine, Vijeće Europe (posebna organizacija koja nema veze s Europskom unijom) donijelo je čuvenu Konvenciju za zaštitu ljudskih prava i temeljnih sloboda, koja među ostalim navodi: “Svatko ima pravo na poštovanje svoga privatnog i obiteljskog života, doma i dopisivanja”.

Ta načelna odredba odnosila se u to vrijeme prije svega na države koje su 50-tih zaista voljele uvlačiti nos u privatne odnose – što se tiče tvrtki i pojedinaca, bilo je teško očekivati da će netko kod kuće napraviti dovoljno detaljnu kartoteku i potrošiti masu resursa kako bi na papiru skupio hrpe podataka o drugim ljudima, a što bi moglo predstavljati opasnost za privatnost tih osoba.

Suvremena briga za zaštitu osobnih podataka počinje upravo pojavom osobnih računala – prvih PC-jeva, Appleova i sličnih strojeva koji su imali relativno brze procesore i mogućnost korištenja disketa. Poslovi u smislu usporedba baza podataka za koje su nekada trebali mjeseci (osim ako niste država kojoj su dostupna superračunala), mogli su se obaviti za nekoliko minuta na osobnom računalu koje stane na stol. Ne treba posebno objašnjavati da se danas hrpa podataka za sve građane Hrvatske može na nekom i7 procesoru obraditi u samo nekoliko sekundi. Postalo je moguće da trgovci, osiguravajuće kuće, kartičari i drugi stvore sliku vaših potrošačkih i drugih navika, možda i bolju nego što je ima vaša obitelj. Osobne podatke građana stoga je trebalo zaštititi.

Ne moramo posebno obrazlagati da je danas pitanje zaštite osobnih podataka aktualnije nekog ikada – od mogućnosti izrade lažnih identiteta (saznavanjem za nekoliko vaših osobnih podataka, uz nekoliko fotografija skinutih s Fejsa), do pitanja čita li, i tko, vaše podatke na nekome od mnogobrojnih clouda.

Nadalje, zajedničko tržište Europske unije znači da prodajete (i time obrađujete osobne podatke) u 28 država, od kojih svaka ima svoj okvir zaštite osobnih podataka, tako da sustav zaštite postaje još složeniji. Tih 28 država poštuje iste temeljne odredbe o zaštiti podataka, ali taman imaju dovoljno “slobodnog prostora” da regulaciju ne možete smatrati univerzalnom.

Ono što je u praksi problem jest to da različite države imaju različite propise, a cijeli pravni okvir koji imamo, uopće ne prati brzi Internet i mogućnosti cloud aplikacija. Pravni sustav morate poštivati, no propisi zbog clouda i sličnih novih usluga postali su dijelom zbunjujući i “tanki”. No, krenimo redom…

Konvencija Vijeća Europe

Kako smo spomenuli, određena pravila o zaštiti osobnih podataka imala je još Europska konvencija o ljudskim pravima koju je donijelo Vijeće Europe davne 1950. godine. Godine 1981. donesena je Konvencija Vijeća Europe o zaštiti pojedinaca pri automatskoj obradi osobnih podataka (poznata i kao Konvencija br. 108). Ona je do sada jedini pravno obvezujući akt u području zašite podataka koji obuhvaća i države izvan Europske unije.

Konvencija je regulirala mnoga temeljna pravila o zaštiti osobnih podataka, koja se primjenjuju i danas, i primjenjuje se na obradu osobnih podataka u privatnom i u javnom sektoru. Štiti pojedinca od zloporaba prilikom prikupljanja i obrade osobnih podataka, nastojeći istodobno regulirati prekogranični prijenos osobnih podataka.

U pogledu prikupljanja i obrade osobnih podataka, načela iz Konvencije osobito se tiču pravednog i zakonitog prikupljanja i automatske obrade podataka pohranjenih u određene legitimne svrhe. Ta se načela tiču i kvalitete podataka. Oni u prvom redu moraju biti prikladni, relevantni, točni i ne pretjerani (dakle, razmjerni potrebama). Konvencija zabranjuje obradu “osjetljivih” podataka, kao što su rasa, političko opredjeljenje, zdravlje, vjera, seksualni život ili kaznena evidencija pojedinca. Konvencija uvodi i nešto što je i danas iznimno aktualno – pravo pojedinca na informiranost o tome pohranjuju li se o njemu podaci te, ako je to nužno, ispravljanje takvih podataka.

Godine 2011. usvojen je Dodatni protokol, koji sadrži odredbe o prekograničnom prijenosu podataka državama nečlanicama (unutar država članica prijenos podataka je u načelu dopušten) te obveznom uspostavljanju nacionalnih tijela za zaštitu podataka.

Ta Konvencija pisana je kao tipičan međunarodni ugovor – dakle, prilično je općenita, bez ulaženja u detalje i bez kaznenih odredbi, što se sve uređuje nacionalnim propisom koji svaka država donosi na temelju Konvencije 108.

S obzirom na vrijeme kada je donesena, i kada su svijetom vladale diskete od 5,25 inča te modemi na 300 boda, od odredbi te Konvencije ne može se očekivati da detaljno obuhvaćaju, primjerice, na računalstvo u oblaku, pitanje osobnih podataka na društvenim mrežama i slično. Konvencija 108 daje osnove, daje dobre osnove te ima smisla i danas (zato i je na snazi), ali ne daje sve danas potrebne odgovore.

Postojeća pravila Europske unije

Na neka od otvorenih pitanja pokušala je odgovoriti Europska unija svojom regulacijom 15-tak godina nakon Konvencije 108. Temeljni pravni akt o zaštiti podataka Europske unije je Direktiva 95/46/EZ Europskog parlamenta i Vijeća od 24. listopada 1995. o zaštiti pojedinaca u vezi s obradom osobnih podataka i o slobodnom protoku takvih podataka (kraće: Direktiva o zaštiti podataka).

Dva su razloga zašto je EU tada krenuo donošenjem svoje regulative. Prvo, europske države počele su dijelom različito štititi osobne podatke (Konvencija 108. je dosta općenita i može se različito tumačiti), drugo – željelo se potvrdili i proširiti načela koja je uvela Konvencija 108. Spomenimo kako se Direktiva o zaštiti podataka, osim na članice Europske unije, odnosi i na članice Europskog gospodarskog prostora: Island, Lihtenštajn i Norvešku.

Kako se Direktiva o zaštiti podatka odnosi na članice, ali ne i na tijela samog EU, donesena je Uredba (EZ) br. 45/2001 o zaštiti pojedinaca u vezi s obradom osobnih podataka u institucijama i tijelima Zajednice i o slobodnom kretanju takvih podataka. Ovdje se nećemo opširnije baviti njome. Također, Europska unija donijela i neke direktive koje se specifično odnose na elektroničke komunikacije – posebno vezano za obradu podataka te zadržavanje podataka od operatora.

Zakon o zaštiti osobnih podataka

Kako se moglo saznati na nedavno održanoj konferenciji FSec 2017 u Varaždinu, Hrvatska će donijeti i novi Zakon o zaštiti osobnih podataka. Kako nacrt još nije dostupan, ne znamo hoće li Hrvatska cijelu Uredbu unijeti u svoj Zakon, ili će se Zakon donositi uz Uredbu.

Zašto Zakon uz uredbu? Pa svaka država može neke stvari dodatno regulirati, uz ono što je regulirano na razini Unije. No, kako se Uredbom regulira mnogo toga, nacionalnim će se zakonom sada (barem pretpostavljamo) regulirati dosta uže, i samo ono specifično, dodatno potrebno u hrvatskim okvirima – kako će to biti u praksi, vidjet ćemo za koji mjesec.

Ukratko, regulacija Vijeća Europe iz već davne 1981. ostaje, no ona nikada i nije bila predviđena za izravnu primjenu. No, Direktiva EU iz 1995. odlazi u prošlost – rađena je u doba kada su se Internetom koristili samo pojedini entuzijasti, računalstva u Mreži nije bilo, društvenih mreža također, a međunarodnu razmjenu većeg broja podataka ipak je bilo lakše napraviti prenošenjem CD-a nego tadašnjim modemima.

Nova Uredba obvezuje Republiku Hrvatsku, dakle i sve tvrtke i pojedince od 25. svibnja 2018. godine. Njene odredbe bit će dopunjene i nacionalnim zakonodavstvom – još ćemo vidjeti kako točno.

NAPOMENA: Ovaj tekst je izvorno objavljen u časopisu Mreža.