ODVJETNICA Dijana Kladar stručnjakinja je za temu zaštite osobnih podataka, te je sudjelovala u projektu GDPR2018.eu, koji je realizirao tim IT i pravnih savjetnika specijaliziranih za sigurnost i zaštitu osobnih podataka s ciljem informiranja javnosti o novostima koje donosi General Data Protection Regulation (GDPR) odnosno Opća uredba o zaštiti osobnih podataka, nova pravna regulacija Europske unije.
Stoga smo se obratili Dijani Kladar kao osobi izvrsno upućenoj u ovu tematiku da pokušamo razjasniti neke od brojnih prijepora koje je stupanje GDPR-a na snagu izazvalo u javnosti.
Ovih su dana mnogi građani zatrpani mejlovima od raznih tvrtki i drugih subjekata u kojima im se objašnjava da na snagu stupaju nova pravila o zaštiti osobnih podataka, upućuje se na nove uvjete korištenja, traži se klikanje na ovo i ono. Kako biste preporučili ljudima da reagiraju na te mejlove - mora li se svaki otvoriti, je li potrebno dati odobrenja za svaki apdejt? I hoće li se nešto loše desiti onima koji jednostavno tu poplavu mejlova odluče ignorirati?
Činjenica jest da mnogi šalju e- mailove u kojima traže ponovnu privolu postojećih primatelja newslettera iako u većini slučajeva navedeno nije potrebno. Takvim postupanjem izgubit će veliki broj newsletter pretplatnika jer u ovakvoj situaciji kada korisnicima svakodnevno dolaze razni e-mailovi u kojima se traže privole, prosječan korisnik takve e-mailove počne ignorirati. U većini slučajeva imate legitimni interes za slanje newslettera ili valjanu privolu i nije potrebno ponovno zahtijevati davanje privole. Zavladao je strah od visokih kazni, poduzetnici su u velikoj panici, a pojedinci s druge strane još nisu svjesni koja prava imaju i da će moći potraživati naknadu štete za povrede koje im nastanu uslijed nepravilne primjene Uredbe. Svi se boje Agencije za zaštitu osobnih podataka (AZOP), a zapravo se trebaju bojati pojedinaca koji će ih prijaviti AZOP-u koji može izreći kaznu, a uz navedeno pojedinac može zahtijevati naknadu štete.
Pojedincima se neće dogoditi ništa ako ne potvrde da žele primati newsletter jer se već nakon 5 minuta mogu ponovno prijaviti na newsletter, a za trgovca ako ne dobije privolu znači da je izgubio newsletter pretplatnika.
Kako biste pravnom laiku ukratko objasnili što se krije iza kratice GDPR i kako će nova pravila utjecati na život običnih ljudi?
Ovo su pravila koja poduzetnicima nalažu da se brinu o osobnim podacima pojedinaca i da pojedinca obavijeste o svim pravima koje mu pruža Uredba. Ovom Uredbom pojedinac mora biti obaviješten zašto neki trgovac obrađuje njegove podatke, mora mu se objasniti da kada dođe na web stranicu trgovca, trgovac koristi alate kojima može pratiti koliko dugo se kupac zadržao na gledanju cipela, koliko dugo je gledao sofu itd., da koriste sustave za praćenje online ponašanja posjetitelja i u skladu sa time šalju promidžbene poruke itd.
Što vi mislite o GDPR-u? Je li to bila potrebna regulativa, je li dobro osmišljena i mislite li da će se uspješno provoditi?
Mislim da je cilj Uredbe dobar, a to je da ja kao pojedinac dobijem informacije što poduzetnik radi s mojim podacima, kome ih daje na uvid, tko sve obrađuje moje podatke, da me informira što se događa u digitalnom marketingu sa mojim podacima i tko vidi moje kretanje po web stranici nekog trgovca. Mislim da će se u budućnosti stvoriti praksa postupanja, AZOP će zauzeti stajališta o raznim nedoumicama iz prakse i zaštita osobnih podataka će se primjenjivati na jednak način kao i zaštita potrošača koji kupuje u trgovini i koji zna svoja prava. Isto tako pojedinci će znati svoja prava, ali će i poduzetnici naučiti kako ta prava poštovati.
S druge strane, što GDPR znači za privatni sektor? Jesu li tvrtke koje posluju unutar parametara koje je definirao GDPR svjesne promjena i spremne na nova europska pravila?
GDPR donosi velike promjene u poslovanju i posljedično uzrokuje velike troškove kod takve prilagodbe. Važno je napomenuti da, ako ste tvrtku stvarali 20 godina, ne možete očekivati da ćete se prilagoditi GDPR-u u mjesec dana, jer ste sve postojeće procese unutar firme stvarali godinama.
Znate li možda koliko provedba GDPR-a košta u europskom ili hrvatskom kontekstu, odnosno za neku konkretnu tvrtku? Odnosno, koliki je GDPR trošak?
Prilagodba sa GDPR-om je kompleksan i dugotrajan proces, samim time iziskuje i velike materijalne troškove. Teško je govoriti o iznosima koje trebate utrošiti u prilagodbu, ali veći sustavi će potrošiti preko 100.000,00 kn.
Hoće li stupanje na snagu GDPR-a dovesti do sudskih procesa?
AZOP će izricati upravne novčane kazne i ako se sa njima ne budete slagali, morat ćete pokrenuti sudske postupke. Također, ukoliko vas tuži pojedinac čija ste prava povrijedili, ako ne postignete nagodbu oko naknade štete, završit ćete na sudu.
Koje su loše strane GDPR-a, ima li ih? Što o GDPR-u kažu kritičari?
GDPR donosi jako puno informacija koje morate komunicirati prema pojedincu, postavlja se pitanje da li s obzirom na veliki obim takvih informacija pojedinac to sve može pročitati i da li je uistinu zaštićen time što ćete ga o svemu morati obavijestiti, s obzirom da on zbog velike količine informacije ništa neće niti čitati. O tome da li smo otišli previše u sferu „producirajmo za sve akte“ raspravlja se i na razini EU. Postavlja se pitanje smanjenja obima informacija koje treba pružiti pojedincu da bi ih on uistinu čitao, jer danas zbog brzine života nitko nema vremena čitati hrpu obavijesti pa često pojedinci niti ne znaju svoja prava.
U Hrvatskoj se u ime države tom temom bavi Agencija za zaštitu osobnih podataka (AZOP). Smatrate li da su odradili dobru pripremu?
AZOP je institucija koja je kod nas svoj posao i do sada dobro obavljala. Donosili su akte u kojima su utvrđivali povredu osobnih podataka i uvelike su pomagali pojedincima čija prava su drugi kršili, no o tome se nije puno pričalo jer pojedinci nisu bili do sada svjesni svojih prava. Smatram da AZOP ima izuzetno kvalitetne kadrove i kolege pravnike, koji ovu materiju izvrsno poznaju i razumiju, te je to sreća za poduzetnike i puno bolja opcija od dosadašnje situacije- da vas kažnjava sudac koji nije toliko duboko u materiji zaštite osobnih podataka, jer uz predmete vezane uz povredu osobnih podataka sudi i druge predmete. Zaposlenici AZOP-a su visoko educirani i specijalizirani u ovoj problematici, tako da o njihovu radu mislim dobro. Svakako je bolje da Vam oni izriču kazne nego netko tko se sa zaštitom osobnih podataka susreće po prvi puta, s obzirom da oni ovu materiju obrađuju već godinama. GDPR zapravo ne donosi nikakve drastične novosti u odnosu na dosadašnju zaštitu osobnih podataka, osim puno većih kazni, dok su prava vrlo slična kao i dosadašnja te se AZOP ovom materijom bavio godinama prije GDPR-a.