Vjerojatno su vas proteklih tjedana prilično iznervirali silni upiti povodom stupanja na snagu famoznog GDPR-a. No, to vas ne bi trebalo spriječiti da saznate što sve ta Uredba nosi sa sobom. Donosimo pregled ključnih mjesta Uredbe, kao i potencijalnih rupa i nejasnoća.
Prošlog petka, 25. maja, na snagu je stupila dugo očekivana Opšta uredba o zaštiti podataka (GDPR) i time stavila van snage Direktivu o zaštiti podataka (Direktiva 95/46/EC), usvojenu 1995. godine, koja je do sada uređivala oblast obrade i zaštite podataka o ličnosti u Evropskoj uniji. Za razliku od Direktive, čiji se sadržaj mora usvojiti u okviru nacionalnog zakonodavstva da bi stekao pravno važenje, Uredba danom stupanja na snagu počinje da važi u svim zemljama članicama i stavlja van snage njihova dotadašnja nacionalna rešenja. U tom smislu, stepen njene obaveznosti je veći, a samim tim i obuhvat. No, za GDPR je bitno i to što donosi neke novine u tome kako se shvata i, što je ključno, primenjuje pravo o zaštiti podataka o ličnosti.
Ovo pravo garantovano je još članom 8. Povelje o osnovnim pravima Evropske unije iz 2000. godine, u kome se nazire ono što će postati okosnica GDPR-a, te i ono što je diglo najviše prašine u delovima privatnog sektora koji zavise od prikupljanja i obrade ovih podataka: da se 1) podaci moraju obrađivati “pravično” i za “određene svrhe”, 2) na osnovu pristanka osobe na koju se podaci odnose, te da 3) svako ima pravo na pristup tim podacima i pravo da ih “ispravi” (rectify). Tome je u GDPR-u dodato i “pravo na zaborav“, odnosno na zahtev za brisanjem podataka, iako postoje izuzeci od ovog pravila, te ovo pravo i dalje u znatnoj meri ostaje u sivoj zoni.
Pravila i panika
Do sada su, uprkos Direktivi iz 1995., tehnološke firme mogle da prikupljaju lične podatke kako su i koliko htele, bez obaveze da jasno i nedvosmisleno traže i dobiju pristanak. To se uglavnom radilo (a radi se i dalje) postavljanjem “kolačića” (cookies) na pretraživače korisnika koji pomažu identifikaciji individualnih korisnika i njihovom praćenju bilo na individualnim sajtovima, bilo širom interneta. Različiti “kolačići” i podaci prikupljeni pomoću njih mogu se kombinovati, uparivati i dopunjavati, čime se uvećava količina informacija o datom korisniku. Opšte pravilo bilo je da se pristanak za postavljanje kolačića ne traži, već se korisniku ispostavlja baner ili pop-up na kome se on ili ona prosto obaveštavaju o toj neizbežnoj činjenici digitalnog života.
Pod novim pravilima, ovo nije dovoljno – korisnici moraju pristati na to da se njihovi podaci ovako prikupljaju (opt-in), a to mogu i odbiti, u kojem su slučaju obrađivači njihovih podataka dužni da tu odluku poštuju. Štaviše, pitanje o pristanku ne sme više biti “zavijeno” u neki širi nerazumljiv i predugačak tekst (tipa End User License Agreement (EULA)) koji nikom nije jasan, već mora biti izdvojeno i eksplicitno formulisano, sve sa isticanjem i svrhe u koje će se ti podaci koristiti. U teoriji, korisnici bi trebalo da mogu da izaberu svrhe koje su im u redu i one koje to nisu. Nije teško dokučiti zašto je ovo pravilo izazvalo paniku u redovima “lešinara interneta” koji prave zaradu na prikupljanju podataka – šta ako ljudi počnu da odbijaju masovno praćenje njihove digitalne aktivnosti koje je postalo osnovica tolikih profita? Šta ako sada bude potpuno jasno za šta se sve koriste lični podaci? Prema nekim izvorima, svega 5% ljudi bi dalo pristanak da ih se prati na način na koji se to čini danas.
Od stupanja GDPR-a na snagu nije prošlo ni par sati, a najveće svetske društvene mreže – Fejsbuk, Gugl, Whatsapp i Instagram – počele su da korisnicima sa područja EU upućuju ultimatum da moraju pristati na prikupljanje podataka i njihovu upotrebu za ciljano oglašavanje. Ukoliko ne pristanu, mogu da zaborave na korišćenje usluga ovih mreža. I to sve uprkos svečanim saopštenjima da su se za GDPR pripremale mesecima i da su njihove platforme već po dizajnu prilagođene duhu Uredbe. Na sreću, ni silama svetlosti nije trebalo dugo da reaguju: aktivisti za zaštitu privatnosti odmah su podneli tužbe protiv ovih firmi za takav postupak, nezakonit po odredbama Uredbe. Pošto se pristanak mora odvojiti od ostatka “ugovornih obaveza” preuzetih upotrebom te usluge, pitanje obrade podataka takođe je odvojeno od pitanja upotrebe usluge i ne može je uslovljavati.
Sloboda izbora
Tužba po ovom osnovu više nije mala stvar – kazne za nepostupanje u skladu sa Uredbom u određenim slučajevima iznosi 20 miliona eura ili 4% godišnjeg prihoda, koji god iznos da je veći. Kao i uvek kada je u pitanju regulacija privatnog sektora, jedini efekat daje politika da se “govori tiho i nosi velika batina”, pošto tek ova poslednja stavka garantuje poštovanje regulative. Sve je to omogućeno ključnom novinom u Uredbi, a to je proširivanje obima zaštite ličnih podataka na sve firme koje rukuju podacima građana EU, bilo da su locirane u EU ili ne.
Pošto se ne radi o nekoj zemlji periferije, ucenjenoj kapitalom i sa nacionalnom regulativom koja je značajna taman koliko i reči njene himne, već o drugom najvećem jedinstvenom tržištu na svetu, to znači suštinski globalni obuhvat GDPR-a. Odnosno, bar u onoj meri u kojoj prikazivanje bar jedne digitalne reklame građanima EU znači obuhvaćenost Uredbom. Zato su pretnje nekih digitalnih firmi da će prekinuti ili smanjiti poslovanje u EU zbog Uredbe uglavnom prazne pretnje koje bi imale težinu da je u pitanju neka Srbija, Makedonija ili slična “potrošna” zemlja. Stoga su neke firme, koje sebi mogu da priušte dugoročno strateško delanje, najavile da će principe GDPR-a početi da primenjuju i van EU (poput Microsoft-a).
Kad smo već kod praznih pretnji, smešna je i tvrdnja firmi koje rukuju ličnim podacima za potrebe oglašavanja da GDPR – pazite sad – smanjuje slobodu izbora! Dakle, regulativa koja napokon omogućava da korisnici izaberu da li će im podaci biti prikupljani ili ne, smanjuje slobodu izbora. Logika je da će odbijanje pristanka kod većine korisnika (jer su elementarno racionalni) voditi manje personalizovanom marketingu i, samim tim, manjoj slobodi izbora njih kao potrošača. Tako kapital minimalno povećanje slobode izbora (i to čvrsto usidreno u njegovim okvirima) predstavlja kao njeno ukidanje.
Uredba pravi razliku između “rukovalaca podacima” (data controllers) i “obrađivača podataka” (data processors) i za njih predviđa različita prava i obaveze. Zanimljivo je da osnova razlikovanja nije vlasništvo nad podacima, već kontrola, pa su tako rukovaoci podacima oni koji određuju za šta se i kako koriste prikupljeni podaci, a obrađivači su oni koji te podatke obrađuju u ime i za račun rukovaoca u skladu sa tim svrhama. U Direktivi iz 1995. za nepoštovanje zakona odgovorni su samo rukovaoci – prema članu 28. Uredbe, od sada će odgovornost snositi i obrađivači, a rukovaoci su u obavezi da pristup podacima daju samo onim obrađivačima koji su implementirali određene standarde.1 Na opštijem planu, za poštovanje odredaba Uredbe sada postaju odgovorni svi – medijske agencije, posrednici, advertajzing firme, trgovci podacima (data brokers)2 , itd.
Niz nejasnoća i mogućih rupa
Glavno je pitanje: štiti li to Evropska unija naše podatke? Da li je moguća briselska regulativa koja ide u prilog nekom drugom osim samom Briselu i privatnom sektoru? U čemu je kvaka? Odgovor na to pitanje nije lako dati. S jedne strane, nesporno je da se Uredbom individualnom korisniku daje, u načelu, znatno veća kontrola nad sopstvenim podacima nego do sada, te da se i korisnik u suštini priznaje kao konačni vlasnik sopstvenih podataka koji, shodno tome, može upravljati tim podacima. To je nešto što su “lešinari interneta” do sada “zaboravljali”, pa su podatke o živim ljudima koristili kao podatke o neživim predmetima. Ako se uzme u obzir da je ovo jačanje prava korisnika podržano većom odgovornošću onih koji podacima rukuju, a zatim i ozbiljnim novčanim kaznama za nepoštovanje zakona, ima osnova da se tvrdi da ova regulativa zaista ide u prilog ljudima, a ne firmama.
Sa druge strane, svaka regulativa vredi onoliko koliko se sprovodi. Iako regulativa važi za čitavu Evropsku uniju, nadležnost njenog sprovođenja ostavlja se na organima država-članica koji mogu funkcionisati na različite načine i u skladu sa različitim ciljevima tih država. Naročito je neizvesna mogućnost utuženja neevropskih firmi od strane evropskih građana. Osim toga, postoji čitav niz nejasnoća i mogućih rupa u zakonu zbog kojih GDPR-u preti da ostane još jedan zvučan, ali ne tako bitan EU dokument.
Prvo, pristanak nije uvek obavezan da bi obrada podataka bila zakonita i u skladu sa Uredbom. Od niza ovakvih izuzetaka, najvažnija su dva: prvo, tamo gde je obrada podataka “neophodna” za ispunjavanje ugovornih obaveza koje je preuzeo korisnik i, drugo, tamo gde postoji “legitimni interes” rukovaoca ili čak i neke treće strane. Iako kreatori Uredbe nisu naivni, pa u pojašnjenjima člana podrobnije određuju šta je legitiman interes, ovaj pojam ostaje otvoren za kreativnu interpretaciju. No čak ni to nije potrebno, ako se može nešto “smandrljati”, što je neposredno pre stupanja za snagu pokušao Međunarodni biro za oglašavanje (International Advertising Bureau (IAB)).
Naime, IAB je, u saradnji sa drugim preduzećima iz te grane, predložio da se napravi kolačić (nazvan “daisybit“) koji bi beležio informacije o pristanku (ili odsustvu pristanka) korisnika za obradu podataka u određene svrhe i od strane određenih aktera. Svrha toga bila bi lakši i efikasniji prenos informacije o pristanku širom lanca firmi za koje je taj pristanak bitan, jer se pristanak dobija na prvom sajtu na koji korisnik dođe i nema potrebe da ga ovaj svaki put daje ili povlači. No, sa strane onlajn izdavača je odmah stigla kritika da takvo rešenje sav rizik svaljuje na sajtove, te da je u interesu najvećih firmi i advertajzing mreža. Pitanje je koliko bi ovakav kolačić, po prirodi, bio u skladu sa Uredbom, a naročito sa mogućnošću povlačenja pristanka i prava na zaborav.
Motivi Europske unije
Drugo, član 3. Uredbe, povodom teritorijalnog obuhvata, predviđa njeno važenje tamo gde su aktivnosti obrade u vezi ili sa “ponudom dobara i usluga” ili sa “praćenjem ponašanja” lica na koje se podaci odnose, pod uslovom da se to ponašanje odvija u EU. To ostavlja prostora za sledeći scenario: američka kompanija prikupi podatke prilikom nuđenja dobara i usluga uz pristanak korisnika, ali kasnije te podatke preproda drugoj kompaniji koja ne podleže GDPR-u jer njena obrada podataka nije u vezi sa “ponudom dobara i usluga”.
Treće, kako korisnik može znati kome tačno da se obrati za uvid u podatke ili njihovo brisanje? Lanac firmi koje trguju podacima je toliki da uopšte nije jednostavno ustanoviti odakle potiče prvobitni “data profil” i ko je odgovoran za njegovo uništenje, tim pre što su firme u obavezi da daju na uvid sve dostupne podatke. Kad bi ljudi bili svesni količine neznanja i diletantizma u ovom sektoru, znali bi i da često i same kompanije pojma nemaju odakle im podaci i koje sve podatke imaju, a tek ne znaju poreklo posebnih dimenzija tih podataka.
Naposletku, važno je razumeti i motive EU koje stoje iza donošenja ovako opsežne regulative. Jedan od njih je svakako dalji hod ka ujedinjenju i usklađivanju evropskog tržišta usklađivanjem nacionalnih zakona, što ide na ruku multinacionalnim korporacijama koji posluju u više zemalja-članica EU. Štaviše, i sama Evropska komisija ovo priznaje u dokumentu iz 2012. godine: “Dvostruki cilj Uredbe je jačanje prava na zaštitu podataka fizičkih lica i poboljšanje poslovnih prilika olakšavanjem slobodnog toka podataka o ličnosti u okviru jedinstvenog digitalnog tržišta.” U tom ključu se GDPR može shvatiti kao sastavni deo ove strategije, o kojoj Evropska komisija na svom sajtu tvrdi da treba da “sruši regulatorne zidove” i doprinese prelasku sa 28 nacionalnih na jedno tržište.
Osim toga, ovaj potez nije moguće ispravno shvatiti van okvira imperijalističkog nadmetanja ne samo sa SAD, već i sa sve jačim zemljama Istoka (najpre Kinom). Brisel, koji inače tako dosledno insistira na principima konkurencije i slobodnog tržišta (poslednja žrtva toga je italijanski izborni proces), bio je spreman da preko toga pređe kada su u pitanju kineske investicije, sve da bi se EU zaštitila od “bezbednosnog rizika” koji bi nastao ako bi Kinezi kupili evropske firme ili infrastrukturu od posebnog značaja. Opet se pokazuje da princip slobodnih investicija ima ograničeno važenje. U tom smislu se i GDPR može shvatiti kao pokušaj da se spreči gomilanje podataka o fizičkim i pravnim licima u EU (postignuto inače čisto komercijalnim putem) u cilju zaštite sopstvenog vojno-političkog i tržišnog položaja.
Pod pretpostavkom da je GDPR moguće smisleno primeniti – štiti li Evropska unija podatke svojih građana? Da, ali pukim sticajem okolnosti.
- Podrobniji spisak obaveza rukovaoca i obrađivača može se naći ovde. [↩]
- Data brokers su možda i najveći zlikovci na internetu – u pitanju su firme koje se bave isključivo prikupljanjem podataka iz najrazličitijih izvora (javnih i “privatnih“” koje onda preprodaju zainteresovanim akterima. U tom smislu su ove firme (najčešće američke) u stanju da formiraju ogromne baze podataka koje sadrže skoro sve podatke o datom korisniku. Problem nije samo u tome što ih one mogu prodavati drugima, već što ih često daju na uvid i policiji i drugim represivnim aparatima, čime ovi organi zaobilaze zakone o zaštiti podataka i lako dolaze do informacija tamo gde bi inače morali da prođu složenu sudsku proceduru. [↩]