Koristite smartphone? Facebook? Uber? Mobilno bankarstvo? Jeste li svjesni da mnoge aplikacije kojima se svakodnevno služite prate naše ponašanje? Prate kuda se krećemo, što kupujemo, koliko plaćamo telefonske račune, s kim komuniciramo, kakvog smo zdravlja, koji su nam politički stavovi i kakvo nam je seksualno opredjeljenje? Koristite li neki od modernih sustava videonadzora ili protuprovalne zaštite? Znate li da takvi sustavi vode evidenciju o tome tko je kada kod kuće, mogu nas snimati i prisluškivati u vlastitom domu, uredu, pa čak i javnom prostoru? Imate super moderan pametni televizor? S kamerom? Razmislite...
Mislite da ćemo za nekoliko godina sa svog mobitela, umjesto taxija, zvati autonomno vozilo? Nećemo - ono će čekati pred vratima i zvati nas jer će tvrtka koja pruža uslugu prijevoza znati bolje od nas kada i kamo idemo.
Digitalni identitet
Osobni podaci nisu samo OIB i ime i prezime. To su svi podaci koji na bilo koji način određuju nas i naše ponašanje. Osobni podaci su naš život! Što smo više ovisni o informacijskim tehnologijama, to manipuliranje osobnim podacima više postaje manipuliranje našim životom.
Ali, ni uz potpuno zaobilaženje tehnologije nemamo izbora. Naš se digitalni identitet rađa zajedno s nama. Podaci o rođenju uneseni u IT sustav omogućavaju nam uključivanje u društvo. Kako rastemo mi, tako raste i količina podataka o nama. Zbog moći koju donose, osobni su podaci postali vrijedna i tražena roba. Na kraju krajeva, i stanje na našem bankovnom računu samo je još jedan naš osobni podatak.
Osobni se podaci prodaju i kradu. Internet je postao burza nelegalno prikupljenih ili ukradenih baza podataka. Sa Sony PlayStation Networka ukradeni su osobni podaci 77 milijuna osoba. Cijeli je niz povjerljivih zdravstvenih podataka nestao što namjernom krađom, što slučajnom nepažnjom, što lošom zaštitom IT sustava. Policija u Manchesteru prije koji mjesec je morala platiti 150.000 funti kazne zbog izgubljenog CD-a sa snimkom povjerljivog svjedočenja. Primjeri su brojni, iako se incidenti uglavnom pokušavaju zadržati u tajnosti. Jednostavno je nemoguće saznati tko o nama prikuplja koje podatke i što s njima radi.
Država nam ne može pomoći, a često i sama krši naša prava. Usluge koje koristimo često su uvjetovane davanjem osobnih podataka koji nisu potrebni za njihovo pružanje, a prikupljeni podaci se koriste u svrhe za koje nismo dali odobrenje. Treba li stvarno hotel kopiju vaše osobne iskaznice? Treba li banka pamtiti kuda ste se kretali ili im je dovoljno znati da se vaš mobitel nalazi pokraj bankomata na kojem podižete novac? Jeste li prilikom potpisivanja ugovora o telefonskoj pretplati pristali na automatsku obradu podataka o vašem kretanju u svrhu poboljšanja karakteristika mreže?
A prodaju tih podataka trećoj strani? Zovu li vas telefonom “medicinske organizacije” na “liječničke preglede” u lokalni restoran? Znate li da se obradom podataka na društvenim mrežama i sofisticiranim metodama digitalnog marketinga manipulira javnošću?
Nadoknada štete
Od svibnja 2018. dolaze nova pravila za zaštitu osobnih podataka. Prikupljanje i obrada naših osobnih podataka dopušteni su isključivo temeljem zakonske osnove, ugovorne obveze ili dobrovoljne privole. Prilikom davanja privole organizacija nas mora na jasan način informirati o razlozima prikupljanja informacija i ne smije zahtijevati informacije koje nisu nužne za pružanje usluge. Organizacija nam mora omogućiti ispravak podataka, povlačenje dobrovoljno dane privole za obradu podataka te brisanje svih naših osobnih podataka kojima raspolaže temeljem vaše dobrovoljne privole.
Imamo pravo na uvid u osobne podatke kojima o nama netko raspolaže, a imamo i pravo na portabilnost. Želimo li, npr., promijeniti telekom operatera ili banku, možemo temeljem tog prava zatražiti prebacivanje svih naših osobnih podataka na elektronički medij.
Definicija osobnog podatka sada se širi na setove podataka koji zajednički opisuju osobu pa to danas može biti puno više od podataka poput OIB + ime i prezime. Može uključivati i popise poziva, transakcija i svega onoga što pružatelj usluge zna o nama.
Bez obzira na to temeljem čega netko raspolaže našim osobnim podacima, dužan ih je adekvatno štititi. Imamo pravo nadoknade štete koja nam je nanesena kršenjem prava na zaštitu osobnih podataka. Kombinacija velikih kazni za prekršitelje i mogućnosti nadoknade nanesene štete sasvim će sigurno podići svijest o našim pravima.
Hrvatska nije spremna!
Dosadašnja iskustva pokazala su da je svijest o zaštiti osobnih podataka u Hrvatskoj na izuzetno niskoj razini. Ne samo da se podatke ne štiti kako bi trebalo, nego čak ni nas, kao vlasnike naših osobnih podataka, često nije briga. Sve se češće čuje kako je za organizacije najvažnije ”pravno se uskladiti” s Uredbom.
Trošenje resursa
Znači li to da će se naše pravo na zaštitu osobnih podataka realizirati kroz hrpu pravnih akata i pravilnika koje će poštivati tko kako želi? Znači li to da će hrvatske tvrtke opet morati trošiti značajne resurse za pisanje i održavanje nepotrebne dokumentacije, a država na njihovu kontrolu? Takva praksa nije nimalo strana, pa s pravom možemo pretpostaviti da će i Opća uredba o zaštiti osobnih podataka postati još jedno opterećenje gospodarstva bez pravog pozitivnog učinka za malog čovjeka. I dosad smo imali AZOP kojemu su organizacije morale dostavljati popise baza osobnih podataka koji su nakon dostave uglavnom služili pukoj evidenciji. Čak je i EU ovu praksu navela kao besmisleno opterećivanje gospodarstva. Uredba EU zove se Opća uredba o zaštiti osobnih podataka. Osobni podaci moraju biti zaštićeni! Naši se podaci nalaze u informacijskim sustavima i iluzorno je očekivati da ih je moguće zaštititi samo donošenjem internih akata, pravilnika i procedura. Jedini pravi put ka učinkovitoj zaštiti osobnih podataka jest kroz spregu organizacijsko-tehničkih mjera. Nadajmo se da je to i naš put.
* Autor je suosnivač Ostendo Consultinga, specijalizirane tvrtke koja o informacijskoj sigurnosti i sukladnosti savjetuje tvrtke iz SAD-a i Europe