Šta je GDPR i šta znači za medije?

Nova uredba dodatno štiti lične podatke u EU, ali je opteretila pojedine medije.

Opšta uredba o zaštiti ličnih podataka ili General Data Protection Regulation, GDPR, stupila je na snagu prošle sedmice. Dok su pojedine kompanije već obavijestile svoje korisnike o novim praksama postupanja sa podacima, neki su mediji ograničili pristup korisnicima iz zemalja Evropske unije. I dalje postoji mnogo pitanja o tome šta nova regulacija zapravo predstavlja i koga se tiče.

Mnoge kompanije i organizacije često koriste lične podatke svojih klijenata kao besplatan resurs i koriste ih bez pitanja, prikupljaju bez ograničenja i mjera zaštite. GDPR je alat koji će natjerati kompanije da promisle o tome i da urede prikupljanje, analizu i čuvanje podataka.

Zaštita privatnosti podataka kao pravo pojedinca

GDPR uređuje način na koji privatne kompanije, državne institucije i druge organizacije postupaju u prikupljanju, pohranjivanju i dijeljenju podataka i nalaže da oni budu zaštićeni.  Kompanije i organizacije su dužne pojedincima da odgovore na upit o njihovim podacima, o razlozima zbog kojih su prikupljeni, koliko dugo će biti pohranjeni i s kim su podijeljeni.

Svaka država članica Evropske unije obavezna je da uspostavi neovisno tijelo koje će biti zaduženo za zaštitu podataka i koje će se baviti žalbama na kršenje pravila o sigurnosti podataka. Iako se GDPR ne odnosi direktno na Bosnu i Hercegovinu jer nije članica Evropske unije, nekoliko je razloga zbog kojih je BiH obavezna imati usaglašene prakse sa zakonodavstvom EU budući da mnoge kompanije i organizacije iz BiH prikupljaju podatke građana EU a i mnogi građani EU žive u BiH.

Ukoliko kompanija ili organizacija postupa sa ličnim podacima osoba koje žive u EU, mora da se prilagodi GDPR-u bez obzira na to gdje se ta kompanija ili organizacija nalaze. Djelimično su iz pravila izuzeta određena državna tijela, poput obavještajnih agencija, policije i sudova. Iako GDPR ne predstavlja nikakvu revolucionarnu promjenu u zaštiti podataka, osnovne razlike u odnosu na ranije zakone su davanje više prava pojedincima poput prava da zatraže od neke kompanije kopiju podataka koje ima o njima, zahtjev za većom transparentnošću kompanija i organizacija u smislu izvora informacija koje o nekome posjeduju kao i u koje svrhe ih prikupljaju, te obaveza da pojedince informišu o tome da ih profiliraju. Također, olakšan je zakonski put pojedincima za ostvarivanje prava sudskim putem u slučaju narušavanja sigurnosti podataka.

U smislu GDPR-a, lični podatak je svaka informacija pomoću koje može da se identifikuje neka osoba. Budući da se kombinacijom različitih informacija koje, naprimjer, nisu ime i prezime, može nekoga identifikovati, podaci poput fotografije, interesovanja, lokacije i slično, mogu da budu povjerljivi dijelovi informacija ukoliko se njihovom kombinacijom može identifikovati neki pojedinac.

Za prijavu kršenja pravila o zaštiti ličnih podataka u Bosni i Hercegovini je, neovisno od GDPR-a, od ranije zadužena Agencija za zaštitu ličnih podataka BiH.

Šta možete uraditi da zaštitite podatke?

Ukoliko ste pojedinac, treba da znate da imate pravo na informacije o tome da li neka organizacija ili kompanija ima vaš profil i zašto, a ako podaci o vama nisu više potrebni imate pravo da tražite da budu izbrisani.

Ukoliko ste kompanija ili organizacija, vaš plan da zaštitite lične podatke može zavisiti od nekoliko faktora poput nivoa osjetljivosti i količine podataka ili složenosti vaše digitalne infrastrukture. Minimum koji u svakom slučaju trebate poduzeti je da sagledate kakve lične podatke imate i mapirate gdje ih čuvate, napravite procjenu rizika, određujući najlakše moguće izvore nedozvoljenog pristupa ili curenja informacija, provedete plan zaštite podataka u odnosu na vašu procjenu rizika što uključuje minimiziranje podataka koje prikupljate, limitirate ko ima pristup podacima, provjerite da li su podaci na sigurnom i da li su enkriptovani, držite podatke urednima, ažurirate ih, kao i da testirate sigurnosne sisteme koji sadrže lične podatke poput servera, emailova, arhiva i slično.

GDPR propisuje i kazne za kršenje sigurnosti ličnih podataka, ali je zasigurno još veći rizik gubljenje povjerenja korisnika budući da većina ljudi ne želi da se njihovi podaci iskorištavaju u različite svrhe bez njihovog pristanka.

Prema GDPR-u, svaka javna institucija poput ministarstva, škole ili bolnice, svaka kompanija čija djelatnost ima veze sa podacima poput tehnoloških kompanija ili kompanija koje se bave video nadzorom, ili privatnih kompanija poput zdravstvenih ustanova ili banaka, treba da imenuju službenika za zaštitu ličnih podataka. Prema ovoj uredbi moguće je tužiti kompaniju, organizaciju ili instituciju zbog kršenja prava na zaštitu ličnih podataka i tražiti finansijsku nadoknadu. Kazne mogu da budu do četiri posto godišnjeg obrta ili do 20 miliona eura.

Izdavačke kuće su imale dvije godine da se prilagode ali su i nakon 25. maja mnogi bili nespremni i imali su pitanja o tome šta je potrebno uraditi. Za mnoge medijske izdavače to predstavlja komplikovane procedure budući da su se oslanjali na prikupljanje i analiziranje podataka o čitaocima i gledaocima godinama. Pojedine medijske organizacije već su blokirale pristup korisnicima iz Evropske unije, a neke pitaju svoje posjetioce da li žele pristupiti sadržaju i prihvataju li kolačiće koji prikupljaju podatke o čitanosti i profilu čitatelja.

Washington Post je promijenio cijene pristupa sadržaju pa će tako korisnici iz Evropske unije plaćati 30 dolara više zbog toga što im neće biti prikazivane reklame. Istovremeno, Facebook i Google se već suočavaju sa tužbama po novoj regulaciji