Zatražite ponudu
putem online obrasca

Agencija za zaštitu podataka može kažnjavati i administratore Facebook pagea

09. srpanj 2018.

Bez sumnje, Opća uredba o zaštiti podataka već neko vrijeme zadaje glavobolju voditeljima eCommerce-a i agencijama za digitalni marketing.

Famozni GDPR, ili kako ga mi volimo zvati "ona četiri slova", zadaju glavobolju i onima koji ni ne znaju što točno znače, ali u posljednje vrijeme na web stranicama neprestano prihvaćaju kolačiće, obnavljaju newsletter pretplate, i tko zna, možda prodaju i vlastite bubrege. 

Ok, šalili smo se za ovo zadnje jer GDPR uredba ne dozvoljava nikakvu zloporabu osobnih podataka, pa prodaja bubrega definitivno nije opcija koju ste maločas potvrdili klikom na "slažem se".

Ipak, stara europska direktiva trajala je više od dva desetljeća, a za to vrijeme tehnologija je promijenila svijet:

  • došlo je do popularizacije Interneta,
  • mobilnih tehnologija,
  • web tražilica,
  • pojavile su se društvene mreže, te
  • pohrana podataka u cloud.

Zbog navedenih razloga na snagu je 25.5.2018. stupila Opća uredba o zaštiti podataka kojom je Europska unija odlučila stati na kraj dosadašnjoj praksi i pokrenula borbu protiv zloporabe osobnih podataka.

Dijana Kladar Pravni konzultant za zaštitu osobnih podataka

O novoj uredbi upitali smo gđu. Dijanu Kladar, odvjetnicu i suvlasnicu Presido d.o.o.-a, konzultantske firme specijalizirane za zaštitu osobnih podataka, stručnjakinju na području zaštite osobnih podataka, članicu stručne radne skupine za izradu Zakona o provedbi Opće uredbe o zaštiti podataka tzv. GDPR, osnovane pri Ministarstvu uprave.

Što se događa nakon 25.5.2018. i kakve su prakse korisnika i pružatelja usluga, pročitajte u nastavku:

1. Što je u praksi korisnicima, ali i pružateljima usluga donio početak primjene ove uredbe? Kakav je Vaš stav po pitanju primjene GDPR-a i koliko će odredba utjecati na metode pomoću kojih organizacije upravljaju privatnim podacima?

– Podržavam donošenje nove Opće uredbe o zaštiti pojedinaca u vezi s obradom osobnih podataka i o slobodnom kretanju takvih podataka 2016/679 (Opća uredba o zaštiti podataka –  GDPR). Ova uredba predstavlja velik iskorak u području zaštite osobnih podatka i informacijske sigurnosti.

Dosadašnji pravni okvir koji je bio definiran nacionalnim zakonodavstvima i Direktivom 95/46/EC (koja se stavlja van snage) uistinu se pokazao nedovoljnim kako bi se uredilo virtualno okruženje i zaštita prava građana EU u pogledu obrade njihovih osobnih podataka. Ključna pretpostavka razvoja suvremene digitalne ekonomije temelji se na ubrzanom razvoju informacijskih i komunikacijskih tehnologija, istodobno stvarajući nove izazove i ugroze privatnosti i zaštite osobnih podataka. Obrada podataka, osobito obrada osobnih podataka, novi IT alati i digitalno tržište, razvilo je potrebu za povećanjem zaštite privatnosti novih digitalnih proizvoda i usluga stoga je moj stav da je GDPR korak u pravom smjeru.

Sam GDPR predstavlja bitan napredak u području zaštite osobnih podataka budući da se njom osigurava ujednačeno i jednoobrazno postupanje nadzornih tijela za zaštitu osobnih podataka, što će imati za posljedicu jednostavniju i jednaku zaštitu prava svih pojedinaca u Europskoj uniji i to na način da sam pojam “Uredbe” znači da se izravno primjenjuje u zakonodavni okvir zemalja članica (izuzev u nekolicini pojmova koji se ostavljeni za razradu u nacionalnim zakonodavstvima) za razliku od do sada važeće “Direktive” koja je predstavljala “samo” smjernicu djelovanja.

Opća uredba o zaštiti osobnih podataka.

Također, uvode se nove i pojednostavljuju se neke već postojeće definicije, određuju i definiraju novi pojmovi koji do sada nisu bili zakonski definirani, kao biometrijski i genetski podaci, preciznije opisuju postojeći pojmovi, jačaju prava ispitanika te se smanjuju i pojednostavljuju pojedine administrativne obveze voditelja zbirke osobnih podataka, jačaju nadzorne ovlasti te mogućnost izricanja kazni od strane tijela za zaštitu osobnih podataka.

2. Što mislite, koliko su firme iz RH i EU zemalja u našoj regiji spremne za promjene koje nosi GDPR? Hoće li provođenje ove regulative, prema Vašem mišljenju, proteći lako ili možemo očekivati određene “zastoje” u provedbi?

–Nažalost, većina firmi nije spremna, čak se nisu odlučili za usklađivanje jer misle da Agencija za zaštitu podataka kao naše nadzorno tijelo neće za sada kažnjavati, a to je krivi stav. Nadam se da će se firme pokrenuti i da neće čekati prve kazne jer bi oni možda mogli biti među prvima koji će te iste kazne pretrpjeti, a držim da je to ipak najskuplja varijanta. Posao prilagodbe s GDPR-om je uistinu opsežan: od novih pravnih uvjeta, uvođenja “procjene rizika” kroz “procjenu učinka” pa do ostalih zahtjeve koje Uredba donosi i direktno se primjenjuju za sve koji posluju na području Europske unije odnosno za sve koji obrađuju podatke građana EU.

Naime, ključna izmjena u odnosu na raniju Direktivu i nacionalne zakone jest njen teritorijalno područje primjene. Novost je da se GDPR primjenjuje na obradu osobnih podataka koju obavlja voditelj obrade koji nema poslovni nastan u Uniji, već u mjestu gdje se pravo države članice primjenjuje na temelju međunarodnog javnog prava. Nadalje, Uredba se odnosi na obradu osobnih podataka u okviru aktivnosti poslovnog nastana voditelja obrade ili izvršitelja obrade u Uniji, neovisno o tome obavlja li se obrada u Uniji ili ne. Sam zastoj može izazvati ukoliko organizacije nisu uskladile “uvjete obrade osobnih podataka” prema zahtjevima GDPR-a što može prouzrokovati visoke kazne – čak do 4% godišnjeg prometa, što nije mali iznos. Moja je preporuka: uskladiti svoje poslovanje što prije kako bi se izbjegle neželjene posljedice.

3. Prema Vašem mišljenju, koje su mane, a koje prednosti uvođenja Opće regulative o zaštiti podataka Europske Unije?

– GDPR prvenstveno donosi bolju zaštitu građana i veću kontrolu nad obradom osobnih podataka. Postrožena pravila sama po sebi donose i uređen sustav te veću kontrolu i sigurnost u obradi, npr. Kada govorimo o “pravu na brisanje”, poznatom i kao „Pravo na zaborav“. Načelo ovog prava je omogućiti pojedincima da zatraže brisanje ili uklanjanje osobnih podataka ukoliko nema uvjerljivog razloga za njihovu obradu. Zanimljivo će biti vidjeti primjenu u praksi budući da će tada pretraživači, primjerice Google koji svoje domene ima u svim državama EU – primjerice Google.hr, brisati “linkove” sa svih instanci što će predstavljati i trošak novca i vremena, ali rezultira ključnim što Europu najviše zanima: građani EU imaju veću kontrolu nad obradom svojih osobnih podataka.

Posebnu kategoriju predstavljaju upravo osobni podaci djece gdje je ponajprije postavljena dobna granica 16 godina, ali i mogućnost predviđanja niže dobne granice za davanje privole za obradu osobnih podataka djece i do 13 godina čime se podiže zaštita prava djece. U Hrvatskoj zakonodavac se odlučio za granicu od 16 godina.

GDPR - korinici mogu zatražiti brisanje iz baze

Nadalje, imaju i efekt na nacionalnu sigurnost uz obvezu prosljeđivanja podataka i za pretraživače i društvene mreže koje se često koriste kao način komunikacije u smislu povećanja razine zaštite za sve koji do sada nisu podlijegali zakonu EU budući da su činjenicom da nisu bili registrirani u EU do donošenja GDPR-a bili izuzeti. Mjere sigurnosti koje Uredba propisuje za posebne kategorije osobnih podataka, posebno u rastućem sustavu e-zdravstva kao i novu definiciju regulacije mrežnog identifikatora i genetskih i biometrijskih podataka kao osobnih podataka, uistinu su velika novost i više nego dobrodošle jer nisu bili pokriveni dosadašnjim zakonodavstvom.

Također, otvara se i novo tržište poslovnog savjetovanja za stručnjake u području zaštite osobnih podataka koji uistinu zahtijeva potrebu razvoja vještina u području informacijske znanosti, menadžmenta, osobito pravne struke budući da samo usklađivanje organizacije s GDPR-om traži interdisciplinaran pristup.

Mana jest ponajprije “nepripremljenost” i niska razina osviještenosti o značaju zaštite osobnih podataka i potrebi zaštite obrade podataka u velikoj većini članica EU. Gledajući unatrag, GDPR je donesen prije dvije godine kada je taj protek ostavljen za prilagodbu a realno – tvrtke i seminari s edukacijama započeli su u rujnu u prošle godine kada je privatni sektor zapravo shvatio značaj i potrebu – i to ponajviše s komunikacijom o visokim kaznama. Svakako novi zahtjevi GDPR-a znače i nove mjere sigurnosti što donosi nova ulaganja u poslovne procese, a samim time i nove troškove. Od pravne podloge do obveze eksplicitne privole, brisanja pa i pseudonimizacije podataka u trenutku kada prestaje potreba za njihovom daljnjom obradom.

4. Ukoliko se pokaže uspješnim na primjeru EU, postoji li mogućnost da jedan ovakav zakonski okvir, u području kojeg vrijede ista pravila za sve sudionike, postane dio svjetske scene i uđe u uporabu u cijelom svijetu (ili barem većem dijelu svijeta)?

– U pravilu, ovo i jest ulazak na svjetsku scenu – na mala vrata. Jasno je da većina svjetskih tvrtki posluje na području EU, a prema GDPR-u moraju uskladiti svoje poslovanje. Samim time postaje jasno da uvjet za europsko tržište i poslovanje i jest usklađivanje s europskim zakonodavstvom. Naravno, ovo je i dio strategije “Digital Agenda for Europe 2020” koja izgrađuje “Digital Single Market” koja predstavlja viziju budućeg europskog tržišta i sustavnog procesa digitalne transformacije.

5. Znate li što je s firmama izvan područja EU, npr. BIH?

–  Na firme koje posluju izvan EU, npr. BIH primjenjuju se njihovi važeći zakoni i drugi propisi. Sudjelovala sam na konferenciji Pravnog Fakulteta u Mostaru čiji je suorganizator bila i Agencija za zaštitu osobnih podataka u BIH. Kolege iz BIH u svoje zakonodavstvo (Zakon o zaštiti osobnih podataka („Sl. glasnik BiH“ broj: 49/06, 76/11 i 89/11) su dobrim dijelom implementirali rješenja iz Opće uredbe o zaštiti podataka, a dobar dio rješenja iznose i u svojim mišljenjima te obvezujućim odlukama. Moram vam reći da je njihov Zakon, u određenim segmentima, puno stroži od našeg.

Zemlje izvan Eu često imaju strože zakone o zaštiti podataka

Agencija za zaštitu osobnih podataka u BIH započela je s provođenjem nadzora firmi, redovno iznosi mišljenja i prati područje zaštite podataka na razini EU. Vjerujem, da sve naše firme koje surađuju na određeni način s firmama izvan područja EU neće imati problema. Ukoliko se problemi pojave ili postoji bojazan vezan uz zaštitu podataka ili regularno obavljanje poslovnih procesa, uvijek postoje pravni načini kojima se mogu zaštiti.

6. I za kraj, koliko zapravo vjerujete u efikasnost nove Opće uredbe? Hoće li nam GDPR zaista donijeti pojačanu sigurnost u online sferi ili možemo očekivati nove probleme i izazove budući da kibernetički kriminal svakim danom pronalazi sve više načina da doskoči sigurnosnim mjerama u virtualnom svijetu, nanoseći štetu tvrtkama?

– Donošenje samog GDPR-a prvenstveno predstavlja pravni okvir kojim je EU odlučila zaštiti privatnost svojih građana i povećati kontrolu nad obradom osobnih podataka građana uz uvođenje zakonske obveze procjene učinka na zaštitu podataka. Također, ova Uredba postrožuje dodatno i obradu posebnih kategorija podataka u području “e-zdravstva” te se samim time uistinu očekuje potreba edukacije i usklađivanja s novom Uredbom.

Kibernetički kriminal također ovim dobiva dodatnu zaštitu jer se postrožuju i mjere zaštite sukladno osjetljivosti osobnih podataka – s naglaskom na posebno osjetljive podatke (maloljetne osobe, medicinski podaci, is l.) Vjerujem da će prekršitelje stizati zaslužene kazne koje će uistinu značajno popuniti proračune samih članica EU.

Propisana je gornja granica sankcija i upravnih novčanih kazni te je prepušteno nacionalnim zakonodavstvima da reguliraju same sankcije, međutim ukoliko neka članica slučajno i odabere mekšu politiku, Europska komisija zasigurno neće. Stoga je izbor za tvrtke i institucija koje žele nastaviti poslovati u skladu sa zakonom vrlo jednostavan - ili će svoje poslovanje uskladiti sa zahtjevima GDPR-a, ili će platiti visoku kaznu i nakon naučene lekcije pokrenuti usklađivanje sa zahtjevima GDPR-a .

Facebook administratori moraju paziti na povjerljivost podataka

Dat ću Vam jedan primjer kako EU djeluje kada je riječ o GDPR-u: malo ljudi zna i komunicira to prema van, da je Sud Europske unije u Luxembourgu donio presudu u kojoj je odlučio da je administrator stranice obožavatelja na Facebooku suodgovoran s tom društvenom mrežom za obradu podataka posjetitelja te stranice. Tijelo nadležno za zaštitu podataka u državi članici (u RH to je Agencija za zaštitu podataka) u kojoj navedeni administrator ima sjedište, može na temelju Direktive 95/461, postupati protiv njega i/ili protiv Facebookova društva kćeri sa sjedištem u toj državi. Vi razmislite koliko naših firmi ima Facebook page, a misli da je Facebook za njih sve odradio...?

Sud kaže da nije i to obrazlaže na sljedeći način - njemačko društvo, koje, između ostalog, pruža usluge posredstvom stranice obožavatelja, koja se nalazi na Facebooku, kao administrator stranica obožavatelja, može dobiti anonimne statističke podatke o njihovim posjetiteljima s pomoću alata Facebook Insight, koji im Facebook besplatno stavlja na raspolaganje u okviru uvjeta korištenja koji se ne mogu mijenjati. Ti se podaci prikupljaju zahvaljujući malim tekstualnim datotekama i Facebook ih pohranjuje na tvrdom disku računala ili na nekom drugom mediju posjetitelja stranice obožavatelja. Identifikacijski broj, koji se može povezati s podacima o spajanju registriranih korisnika na Facebook, prikuplja se i obrađuje u trenutku otvaranja stranica obožavatelja.

Prema mišljenju Suda, to što administrator stranice obožavatelja upotrebljava platformu koju nudi Facebook i koristi se pripadajućim uslugama, ne može ga osloboditi obveza koje ima u području zaštite osobnih podataka.

Također, Sud naglašava da prihvaćanje zajedničke odgovornosti operatera društvene mreže i administratora stranice obožavatelja koja se na njoj nalazi u vezi s obradom osobnih podataka posjetitelja te stranice pridonosi osiguravanju potpunije zaštite prava posjetitelja stranice.

Za kraj, nadam se da će ovaj primjer koji sam navela potaknuti firme da se pokrenu i da ne čekaju kazne, da usklade online dio poslovanja, iako to bile obične web stranice.

Kazne propisane uredbom o GDPR-u

Vjerujemo da ćete poslušati pravne savjete koje je gđa. Dijana Kladar spomenula u ovom intervjuu jer jedno je sigurno - s Europskom Unijom ne možete se šaliti.

Razmislite još jednom o zaštiti osobnih podataka kupaca na svojem web shopu i svakako nam se obratite za pomoć.

Imamo dovoljno široke ruke. 

Izrada web stranica

Naša jezgra poslovanja i područje u kojem imamo najviše iskustva je upravo izrada web stranica po mjeri, za bilo koju djelatnost ili područje, neovisno čime se Vaša tvrtka bavi.

Izrada web trgovine

Internet trgovina je prodajno mjesto otvoreno 24 sata dnevno, svaki dan u godini. Otvaranje internet trgovine zahtjeva neusporedivo nižu investiciju s nemjerljivo većim potencijalom od fizičke trgovine.

Programiranje po mjeri

Potrebna Vam je aplikacija prilagođena Vašem poslovanju? Projektiramo i izrađujemo sve, od jednostavnih do kompleksnih sustava koji u potpunosti odgovaraju Vašim potrebama.

Blog

Alibaba i 30 milijardi dolara

Ono što je započelo kao partijanje par single studenata na sveučilištu Nanjing početkom 90-tih godina prošlog stoljeća, preraslo je u najveći ECommerce događaj ikad. Singles Day, ili Dan samaca, izmislili su studenti koji su time našli alternativu Danu zaljubljenih, a iz inata društvu koje toliki naglasak stavlja na veze.

opširnije

Kontaktirajte nas

MARKER d.o.o.
Braće Radića 52d - Jalkovec
42000 Varaždin

Potražite nas na karti

Tel: 042 / 421 700
Fax: 042 / 421 704

Newsletter