GENERAL Data Protection Regulation (GDPR), odnosno Opća uredba o zaštiti osobnih podataka, novi je zakonski propis Europske unije koji je danas stupio na snagu, a njegova implementacija praćena je s dosta nedoumica i konfuzije.

Obratili smo se informatičkom stručnjaku Lucijanu Cariću za njegovo viđenje novosti koje donosi GDPR.

Stupanje GDPR-a na snagu prati poprilična online drama, ogromna količina spama i blokada nekih američkih stranica korisnicima iz EU-a. Je li se to moglo izbjeći i očekujete li da će se stvari s vremenom bolje uhodati?

GDPR je složen, nerazumljiv, nejasan i u konačnici teško primjenjiv i provediv propis, pogotovo u sadašnjem obliku, bez jasnih tumačenja i smjernica - koje su za sada u većini slučajeva potpuno izostale.

To je naivni, birokratski pokušaj da se regulira jedno složeno i do sada ne baš previše regulirano područje. No to je učinjeno bez potrebnog razumijevanja problema, kao i same informatike i njenih procesa. To funkcionira ovako: već imaš neku regulativu, no nisi je u stanju primijeniti, nisi je u stanju prilagoditi, doneseš drugu u nadi da će dodatni formulari i propisani složeni postupci sami po sebi iskorijeniti prekršitelje. Kada vidiš da to sve ne radi, e onda propišeš još formulara i još dodatnih kompliciranih postupaka. U konačnici to dovodi do erozije pravnog sustava, komplicira i poskupljuje poslovanje, te umanjuje konkurentnost sustava i poduzetnika koji u njemu posluju.

Već je neko vrijeme jasno da je nastupila sveopća konfuzija i panika. Mislim da je Komisija već trebala reagirati, a ne dopustiti direktne i indirektne štete, a pogotovo one po imidž EU-a. Umjesto tumačenja i pomoći, Komisija prijeti kaznama državama koje su najavile određene rezerve oko primjene GDPR-a. Time u konačnici može samo izazvati dodatni animozitet prema EU-u i njenim tijelima, gdje su neizabrani birokrati de facto nadređeni suverenim državama i njihovim institucijama.

Koje je vaše mišljenje o GDPR-u, je li to bila potrebna regulacija, je li dobro osmišljena itd.?

Mislim da je potrebna regulacija koja zabranjuje zloupotrebu osobnih podataka, ali ona bi se trebala prvenstveno odnositi na nedozvoljene i štetne radnje, a ne na stvaranje široke platforme sukladnosti (usklađenosti, compliance) koja na kraju nema veze s najvećom boljkom današnje informatike - kroničnim nedostatkom sigurnosti. Slučaj Cambridge Analytice u kojem je, prema najopsežnijim procjenama, kompromitirano oko 90 milijuna korisnika Facebooka sitnica je prema poznatim provalama u velike financijske sustave gdje su kompromitirani i ukradeni podaci više stotina milijuna korisnika. Iako GDPR propisuje da se morate brinuti o sigurnosti, čak i propisuje kazne u slučaju neprovođenja sigurnosnih procedura, on i dalje ima malo dodira sa sigurnošću. I to je lako uočiti: prvo, tek bih htio vidjeti firmu koja se u pripremi za GDPR bavila sigurnošću svojih IT sustava i svojih aplikacija, pogotovo onih na internetu, koje su poznato globalno nesigurne i lako provaljive. Drugo, kazne za neprovođenje sigurnosnih procedura dvostruko su manje od kazni na neuredno "isporučivanje" formulara.

Kritičari ističu da će se tehnološki giganti lako prilagoditi GDPR-u, dok će start upovi koji nemaju velike ljudske i financijske resurse zapravo biti na udaru. Hoće li GDPR imati negativne posljedice na tech industriju?

Neselektivnost je temeljni problem ove direktive. Ona jednako tretira one kojima je prikupljanje i trženje korisničkim podacima osnovni i praktično jedini posao, kao i one koji korisničke podatke moraju prikupljati isključivo zato da bi mogli odgovoriti zahtjevima korisnika u vezi svoje primarne djelatnosti.

Naravno, velike tvrtke tu gotovo i nemaju problema. Njima je lako platiti konzultante, pravne savjetnike i odvjetnike, a propisane kazne su im poput dječje pljuske profesionalnom boksaču. Male firme tu su u neusporedivo nepovoljnijem položaju jer je GDPR neselektivan.

Mislim da će gotovo sigurno biti negativnih ekonomskih posljedica, u mogućem smanjenju izbora za korisnike iz EU-a, zbog odustajanja tvrtki izvan EU-a od tržišta Unije. Osim toga, povećane troškove primjene uredbe netko će morati platiti, a poduzeća će ih jednostavno preliti na svoje korisnike.Također, moguće je da će usluge biti teže i kompliciranije dobiti.

Pored toga, ovakva direktiva može se, kreativnim tumačenjem, iskoristiti za punjenje proračuna i nasilje nad malim i slabima, za kažnjavanje pekarnica i frizeraja, za obračune s političkim protivnicima i neistomišljenicima, za smanjivanje transparentnosti političara i političkih procesa, za akcije protiv medija i novinara - koji su, usput rečeno, u Hrvatskoj potpali pod potpunu primjenu GDPR-a. Ako se pročita sama uredba i njena opširna preambula (recital), to nije bila njena namjera, već se pretpostavljalo da će države - u interesu prava na javno informiranje - predvidjeti izuzetke. O tim izuzecima i položaju medija i novinara dužne su izvijestiti Komisiju.

Zagovaratelji pak ističu da, između ostaloga, EU s GDPR-om postavlja ono što će s vremenom postati globalni standard zaštite osobnih podataka na internetu. Kako gledate na taj argument?

Da, tako su neki vjerovali da ćemo jednog dana živjeti u socijalizmu, odnosno komunizmu, idealnim i utopističkim društvima u kojima ima svega - osim toalet papira.

Jednostavno ne vidim mogućnost da SAD ovako puca u nogu vlastite informatičke industrije, i u krajnjoj liniji u nogu vlastitog gospodarstva, pogotovo kada se u obzir uzme postojeća konfuzija i negativni PR koji GDPR generira.

Stalno postavljam pitanje (nitko mi ne odgovara, naravno) - koliko je svijet bolji i sigurniji otkako EU webovi moraju ispisivati onu priglupu poruku da vas prate "kolačićima"? 

Sada te GDPR poruke idu u apsurd, vidite ih više nego samog sadržaja zbog kojeg ste na neku web-stranicu i došli. Koliko to ima smisla? A ako već "sitničarim", zašto EU nije propisala mogućnost da vas web-stranica ne prati? Zašto nemate opciju reći, ne, ne želim "kolačiće"? No, bez brige, cijela GDPR je takva, daje vam prava, super. No jednom kada ta prava budete trebali ostvariti, moguće je da će priča biti potpuno drugačija. Pravo na zaborav, super, ali znate li koliki je broj propisa koji određuju da se neki podaci čuvaju? Znate li koliki su rokovi zastare u kaznenim i drugim postupcima? Teorija i dobre namjere su jedna stvar, a praksa nešto sasvim drugo. Recimo, od vas se traži pristanak, ali nije baš jasno što se dešava ako pristanak ne date, štoviše uskrata pristanka uopće kao takva ne postoji u GDPR-u, postoji samo povlačenje pristanka.

I neizbježno pitanje - što nam je činiti sa svim mejlovima koje smo u kontekstu GDPR-a dobili ovih dana, možemo li ih ignorirati ili je pametnije ipak svaki otvoriti, pročitati te kliknuti na odobravanje novih uvjeta korištenja…?

U stvarnosti, ne trebate tražiti ponovni pristanak od onoga s kojim ste već u poslovnom odnosu i koji vam je već dao pristanak ili zatražio slanje nekih obavijesti. Nigdje ne piše da morate ispostavljati formulare, već da morate moći dokazati postojanje pristanka. No, čak i ako to ne možete direktno dokazati, opet stvari treba tumačiti iz konteksta, ali i iz toga koliku stvarnu štetu povrijeđena strana trpi.

S druge strane neželjeni mailovi, masiranje ljudi spamom, uključujući i telefonski spam, prilično je rašireno. No, GDPR ne nudi zaštitu od spama, to je iluzija, jer on je samo propis koji se u stvarnosti teško može primijeniti na anonimne spammere iz tko zna koje jurisdikcije.

Ako se radi o problemu "prekomjernog obavještavanja", koji je isto raširen, tu će GDPR ponešto skresati krila. No bilo bi suludo tumačiti ga kao apsolutnu zabranu iniciranja poslovnog kontakta.

Što se GDPR "formulara" tiče, ako ne želite primati daljnju komunikaciju od onih koji vam mailom šalju te potvrde privole, jednostavno ih ignorirajte i to je to.