{"id":23872,"date":"2018-05-30T01:00:47","date_gmt":"2018-05-30T00:00:47","guid":{"rendered":"http:\/\/www.bilten.org\/?p=23872"},"modified":"2021-02-25T10:54:43","modified_gmt":"2021-02-25T09:54:43","slug":"stiti-li-evropska-unija-nase-podatke","status":"publish","type":"post","link":"https:\/\/www.bilten.org\/?p=23872","title":{"rendered":"\u0160titi li Evropska unija na\u0161e podatke?"},"content":{"rendered":"

Vjerojatno su vas proteklih tjedana prili\u010dno iznervirali silni upiti povodom stupanja na snagu famoznog GDPR-a. No, to vas ne bi trebalo sprije\u010diti da saznate \u0161to sve ta Uredba nosi sa sobom. Donosimo pregled klju\u010dnih mjesta Uredbe, kao i potencijalnih rupa i nejasno\u0107a.<\/strong><\/p>\n

Pro\u0161log petka, 25. maja, na snagu je stupila dugo o\u010dekivana Op\u0161ta uredba o za\u0161titi podataka (GDPR) i time stavila van snage Direktivu o za\u0161titi podataka (Direktiva 95\/46\/EC), usvojenu 1995. godine, koja je do sada ure\u0111ivala oblast obrade i za\u0161tite podataka o li\u010dnosti u Evropskoj uniji. Za razliku od Direktive, \u010diji se sadr\u017eaj mora usvojiti u okviru nacionalnog zakonodavstva da bi stekao pravno va\u017eenje, Uredba danom stupanja na snagu po\u010dinje da va\u017ei u svim zemljama \u010dlanicama i stavlja van snage njihova dotada\u0161nja nacionalna re\u0161enja. U tom smislu, stepen njene obaveznosti je ve\u0107i, a samim tim i obuhvat. No, za GDPR je bitno i to \u0161to donosi neke novine u tome kako se shvata i, \u0161to je klju\u010dno, primenjuje pravo o za\u0161titi podataka o li\u010dnosti.<\/p>\n

Ovo pravo garantovano je jo\u0161 \u010dlanom 8. Povelje<\/a> o osnovnim pravima Evropske unije iz 2000. godine, u kome se nazire ono \u0161to \u0107e postati okosnica GDPR-a, te i ono \u0161to je diglo najvi\u0161e pra\u0161ine u delovima privatnog sektora koji zavise od prikupljanja i obrade ovih podataka: da se 1) podaci moraju obra\u0111ivati “pravi\u010dno” i za “odre\u0111ene svrhe”, 2) na osnovu pristanka osobe na koju se podaci odnose, te da 3) svako ima pravo na pristup tim podacima i pravo da ih “ispravi” (rectify<\/em>). Tome je u GDPR-u dodato i “pravo na zaborav<\/a>“, odnosno na zahtev za brisanjem podataka, iako postoje izuzeci od ovog pravila, te ovo pravo i dalje u znatnoj meri ostaje u sivoj zoni.<\/p>\n

Pravila i panika<\/strong><\/p>\n

Do sada su, uprkos Direktivi iz 1995., tehnolo\u0161ke firme mogle da prikupljaju li\u010dne podatke kako su i koliko htele, bez obaveze da jasno i nedvosmisleno tra\u017ee i dobiju pristanak. To se uglavnom radilo (a radi se i dalje) postavljanjem “kola\u010di\u0107a” (cookies<\/em>) na pretra\u017eiva\u010de korisnika koji poma\u017eu identifikaciji individualnih korisnika i njihovom pra\u0107enju bilo na individualnim sajtovima, bilo \u0161irom interneta. Razli\u010diti “kola\u010di\u0107i” i podaci prikupljeni pomo\u0107u njih mogu se kombinovati, uparivati i dopunjavati, \u010dime se uve\u0107ava koli\u010dina informacija o datom korisniku. Op\u0161te pravilo bilo je da se pristanak za postavljanje kola\u010di\u0107a ne tra\u017ei, ve\u0107 se korisniku ispostavlja baner ili pop-up na kome se on ili ona prosto obave\u0161tavaju o toj neizbe\u017enoj \u010dinjenici digitalnog \u017eivota.<\/p>\n

Pod novim pravilima, ovo nije dovoljno \u2013 korisnici moraju pristati na to da se njihovi podaci ovako prikupljaju (opt-in<\/em>), a to mogu i odbiti, u kojem su slu\u010daju obra\u0111iva\u010di njihovih podataka du\u017eni da tu odluku po\u0161tuju. \u0160tavi\u0161e, pitanje o pristanku ne sme vi\u0161e biti “zavijeno” u neki \u0161iri nerazumljiv i preduga\u010dak tekst (tipa End User License Agreement <\/em>(EULA)) koji nikom nije jasan, ve\u0107 mora biti izdvojeno i eksplicitno formulisano, sve sa isticanjem i svrhe u koje \u0107e se ti podaci koristiti. U teoriji, korisnici bi trebalo da mogu da izaberu svrhe koje su im u redu i one koje to nisu. Nije te\u0161ko doku\u010diti za\u0161to je ovo pravilo izazvalo paniku u redovima “le\u0161inara interneta” koji prave zaradu na prikupljanju podataka \u2013 \u0161ta ako ljudi po\u010dnu da odbijaju masovno pra\u0107enje njihove digitalne aktivnosti koje je postalo osnovica tolikih profita? \u0160ta ako sada bude potpuno jasno za \u0161ta se sve koriste li\u010dni podaci? Prema nekim izvorima<\/a>, svega 5% ljudi bi dalo pristanak da ih se prati na na\u010din na koji se to \u010dini danas.<\/p>\n

Od stupanja GDPR-a na snagu nije pro\u0161lo ni par sati, a najve\u0107e svetske dru\u0161tvene mre\u017ee \u2013 Fejsbuk, Gugl, Whatsapp i Instagram \u2013 po\u010dele su da korisnicima sa podru\u010dja EU upu\u0107uju ultimatum<\/a> da moraju pristati na prikupljanje podataka i njihovu upotrebu za ciljano ogla\u0161avanje. Ukoliko ne pristanu, mogu da zaborave na kori\u0161\u0107enje usluga ovih mre\u017ea. I to sve uprkos sve\u010danim saop\u0161tenjima da su se za GDPR pripremale mesecima i da su njihove platforme ve\u0107 po dizajnu prilago\u0111ene duhu Uredbe. Na sre\u0107u, ni silama svetlosti nije trebalo dugo da reaguju: aktivisti za za\u0161titu privatnosti odmah su podneli tu\u017ebe<\/a> protiv ovih firmi za takav postupak, nezakonit po odredbama Uredbe. Po\u0161to se pristanak mora odvojiti od ostatka “ugovornih obaveza” preuzetih upotrebom te usluge, pitanje obrade podataka tako\u0111e je odvojeno od pitanja upotrebe usluge i ne mo\u017ee je uslovljavati.<\/p>\n

Sloboda izbora<\/strong><\/p>\n

Tu\u017eba po ovom osnovu vi\u0161e nije mala stvar \u2013 kazne za nepostupanje u skladu sa Uredbom u odre\u0111enim slu\u010dajevima iznosi 20 miliona eura ili 4% godi\u0161njeg prihoda, koji god iznos da je ve\u0107i. Kao i uvek kada je u pitanju regulacija privatnog sektora, jedini efekat daje politika da se “govori tiho i nosi velika batina”, po\u0161to tek ova poslednja stavka garantuje po\u0161tovanje regulative. Sve je to omogu\u0107eno klju\u010dnom novinom u Uredbi, a to je pro\u0161irivanje obima za\u0161tite li\u010dnih podataka na sve firme koje rukuju podacima gra\u0111ana EU, bilo da su locirane u EU ili ne.<\/p>\n

Po\u0161to se ne radi o nekoj zemlji periferije, ucenjenoj kapitalom i sa nacionalnom regulativom koja je zna\u010dajna taman koliko i re\u010di njene himne, ve\u0107 o drugom najve\u0107em jedinstvenom tr\u017ei\u0161tu na svetu, to zna\u010di su\u0161tinski globalni obuhvat GDPR-a. Odnosno, bar u onoj meri u kojoj prikazivanje bar jedne digitalne reklame gra\u0111anima EU zna\u010di obuhva\u0107enost Uredbom. Zato su pretnje<\/a> nekih digitalnih firmi da \u0107e prekinuti ili smanjiti poslovanje u EU zbog Uredbe uglavnom prazne pretnje koje bi imale te\u017einu da je u pitanju neka Srbija, Makedonija ili sli\u010dna “potro\u0161na” zemlja. Stoga su neke firme, koje sebi mogu da priu\u0161te dugoro\u010dno strate\u0161ko delanje, najavile da \u0107e principe GDPR-a po\u010deti da primenjuju i van EU (poput Microsoft-a<\/a>).<\/p>\n

Kad smo ve\u0107 kod praznih pretnji, sme\u0161na je i tvrdnja firmi koje rukuju li\u010dnim podacima za potrebe ogla\u0161avanja da GDPR \u2013 pazite sad \u2013 smanjuje slobodu izbora! Dakle, regulativa koja napokon omogu\u0107ava da korisnici izaberu da li \u0107e im podaci biti prikupljani ili ne, smanjuje slobodu izbora. Logika je da \u0107e odbijanje pristanka kod ve\u0107ine korisnika (jer su elementarno racionalni) voditi manje personalizovanom marketingu i, samim tim, manjoj slobodi izbora njih kao potro\u0161a\u010da. Tako kapital minimalno pove\u0107anje slobode izbora (i to \u010dvrsto usidreno u njegovim okvirima) predstavlja kao njeno ukidanje.<\/p>\n

Uredba pravi razliku izme\u0111u “rukovalaca podacima” (data controllers<\/em>) i “obra\u0111iva\u010da podataka” (data processors<\/em>) i za njih predvi\u0111a razli\u010dita prava i obaveze. Zanimljivo je da osnova razlikovanja nije vlasni\u0161tvo nad podacima, ve\u0107 kontrola, pa su tako rukovaoci podacima oni koji odre\u0111uju za \u0161ta se i kako koriste prikupljeni podaci, a obra\u0111iva\u010di su oni koji te podatke obra\u0111uju u ime i za ra\u010dun rukovaoca u skladu sa tim svrhama. U Direktivi iz 1995. za nepo\u0161tovanje zakona odgovorni su samo rukovaoci \u2013 prema \u010dlanu 28. Uredbe<\/a>, od sada \u0107e odgovornost snositi i obra\u0111iva\u010di, a rukovaoci su u obavezi da pristup podacima daju samo onim obra\u0111iva\u010dima koji su implementirali odre\u0111ene standarde. 1<\/a><\/sup> Na op\u0161tijem planu, za po\u0161tovanje odredaba Uredbe sada postaju odgovorni svi \u2013 medijske agencije, posrednici, advertajzing firme, trgovci podacima (data brokers<\/em>) 2<\/a><\/sup>\u00a0<\/span>, itd.<\/p>\n

Niz nejasno\u0107a i mogu\u0107ih rupa<\/strong><\/p>\n

Glavno je pitanje: \u0161titi li to Evropska unija na\u0161e podatke? Da li je mogu\u0107a briselska regulativa koja ide u prilog nekom drugom osim samom Briselu i privatnom sektoru? U \u010demu je kvaka? Odgovor na to pitanje nije lako dati. S jedne strane, nesporno je da se Uredbom individualnom korisniku daje, u na\u010delu, znatno ve\u0107a kontrola nad sopstvenim podacima nego do sada, te da se i korisnik u su\u0161tini priznaje kao kona\u010dni vlasnik sopstvenih podataka koji, shodno tome, mo\u017ee upravljati tim podacima. To je ne\u0161to \u0161to su “le\u0161inari interneta” do sada “zaboravljali”, pa su podatke o \u017eivim ljudima koristili kao podatke o ne\u017eivim predmetima. Ako se uzme u obzir da je ovo ja\u010danje prava korisnika podr\u017eano ve\u0107om odgovorno\u0161\u0107u onih koji podacima rukuju, a zatim i ozbiljnim nov\u010danim kaznama za nepo\u0161tovanje zakona, ima osnova da se tvrdi da ova regulativa zaista ide u prilog ljudima, a ne firmama.<\/p>\n

Sa druge strane, svaka regulativa vredi onoliko koliko se sprovodi. Iako regulativa va\u017ei za \u010ditavu Evropsku uniju, nadle\u017enost njenog sprovo\u0111enja ostavlja se na organima dr\u017eava-\u010dlanica koji mogu funkcionisati na razli\u010dite na\u010dine i u skladu sa razli\u010ditim ciljevima tih dr\u017eava. Naro\u010dito je neizvesna mogu\u0107nost utu\u017eenja neevropskih firmi od strane evropskih gra\u0111ana. Osim toga, postoji \u010ditav niz nejasno\u0107a i mogu\u0107ih rupa u zakonu zbog kojih GDPR-u preti da ostane jo\u0161 jedan zvu\u010dan, ali ne tako bitan EU dokument.<\/p>\n

Prvo, pristanak nije uvek obavezan da bi obrada podataka bila zakonita i u skladu sa Uredbom. Od niza ovakvih izuzetaka<\/a>, najva\u017enija su dva: prvo, tamo gde je obrada podataka “neophodna” za ispunjavanje ugovornih obaveza koje je preuzeo korisnik i, drugo, tamo gde postoji “legitimni interes” rukovaoca ili \u010dak i neke tre\u0107e strane. Iako kreatori Uredbe nisu naivni, pa u poja\u0161njenjima \u010dlana podrobnije odre\u0111uju \u0161ta je legitiman interes, ovaj pojam ostaje otvoren za kreativnu interpretaciju. No \u010dak ni to nije potrebno, ako se mo\u017ee ne\u0161to “smandrljati”, \u0161to je neposredno pre stupanja za snagu poku\u0161ao Me\u0111unarodni biro za ogla\u0161avanje (International Advertising Bureau<\/em> (IAB)).<\/p>\n

Naime, IAB je, u saradnji sa drugim preduze\u0107ima iz te grane, predlo\u017eio da se napravi kola\u010di\u0107 (nazvan “daisybit<\/a>“) koji bi bele\u017eio informacije o pristanku (ili odsustvu pristanka) korisnika za obradu podataka u odre\u0111ene svrhe i od strane odre\u0111enih aktera. Svrha toga bila bi lak\u0161i i efikasniji prenos informacije o pristanku \u0161irom lanca firmi za koje je taj pristanak bitan, jer se pristanak dobija na prvom sajtu na koji korisnik do\u0111e i nema potrebe da ga ovaj svaki put daje ili povla\u010di. No, sa strane onlajn izdava\u010da je odmah stigla kritika<\/a> da takvo re\u0161enje sav rizik svaljuje na sajtove, te da je u interesu najve\u0107ih firmi i advertajzing mre\u017ea. Pitanje je koliko bi ovakav kola\u010di\u0107, po prirodi, bio u skladu sa Uredbom, a naro\u010dito sa mogu\u0107no\u0161\u0107u povla\u010denja pristanka i prava na zaborav.<\/p>\n

Motivi Europske unije<\/strong><\/p>\n

Drugo, \u010dlan 3. Uredbe, povodom teritorijalnog obuhvata, predvi\u0111a njeno va\u017eenje tamo gde su aktivnosti obrade u vezi ili sa “ponudom dobara i usluga” ili sa “pra\u0107enjem pona\u0161anja” lica na koje se podaci odnose, pod uslovom da se to pona\u0161anje odvija u EU. To ostavlja prostora za slede\u0107i scenario: ameri\u010dka kompanija prikupi podatke prilikom nu\u0111enja dobara i usluga uz pristanak korisnika, ali kasnije te podatke preproda drugoj kompaniji koja ne podle\u017ee GDPR-u jer njena obrada podataka nije u vezi sa “ponudom dobara i usluga”.<\/p>\n

Tre\u0107e, kako korisnik mo\u017ee znati kome ta\u010dno da se obrati za uvid u podatke ili njihovo brisanje? Lanac firmi koje trguju podacima je toliki da uop\u0161te nije jednostavno ustanoviti odakle poti\u010de prvobitni “data profil<\/em>” i ko je odgovoran za njegovo uni\u0161tenje, tim pre \u0161to su firme u obavezi da daju na uvid sve dostupne podatke. Kad bi ljudi bili svesni koli\u010dine neznanja i diletantizma u ovom sektoru, znali bi i da \u010desto i same kompanije pojma nemaju odakle im podaci i koje sve podatke imaju, a tek ne znaju poreklo posebnih dimenzija tih podataka.<\/p>\n

Naposletku, va\u017eno je razumeti i motive EU koje stoje iza dono\u0161enja ovako opse\u017ene regulative. Jedan od njih je svakako dalji hod ka ujedinjenju i uskla\u0111ivanju evropskog tr\u017ei\u0161ta uskla\u0111ivanjem nacionalnih zakona, \u0161to ide na ruku multinacionalnim korporacijama koji posluju u vi\u0161e zemalja-\u010dlanica EU. \u0160tavi\u0161e, i sama Evropska komisija ovo priznaje u dokumentu<\/a> iz 2012. godine: “Dvostruki cilj Uredbe je ja\u010danje prava na za\u0161titu podataka fizi\u010dkih lica i pobolj\u0161anje poslovnih prilika olak\u0161avanjem slobodnog toka podataka o li\u010dnosti u okviru jedinstvenog digitalnog tr\u017ei\u0161ta.” U tom klju\u010du se GDPR mo\u017ee shvatiti kao sastavni deo ove strategije, o kojoj Evropska komisija na svom sajtu<\/a> tvrdi da treba da “sru\u0161i regulatorne zidove” i doprinese prelasku sa 28 nacionalnih na jedno tr\u017ei\u0161te.<\/p>\n

Osim toga, ovaj potez nije mogu\u0107e ispravno shvatiti van okvira imperijalisti\u010dkog nadmetanja ne samo sa SAD, ve\u0107 i sa sve ja\u010dim zemljama Istoka (najpre Kinom). Brisel, koji ina\u010de tako dosledno insistira na principima konkurencije i slobodnog tr\u017ei\u0161ta (poslednja \u017ertva toga je italijanski izborni proces), bio je spreman da preko toga pre\u0111e kada su u pitanju kineske investicije, sve da bi se EU za\u0161titila od “bezbednosnog rizika<\/a>” koji bi nastao ako bi Kinezi kupili evropske firme ili infrastrukturu od posebnog zna\u010daja. Opet se pokazuje da princip slobodnih investicija ima ograni\u010deno va\u017eenje. U tom smislu se i GDPR mo\u017ee shvatiti kao poku\u0161aj da se spre\u010di gomilanje podataka o fizi\u010dkim i pravnim licima u EU (postignuto ina\u010de \u010disto komercijalnim putem) u cilju za\u0161tite sopstvenog vojno-politi\u010dkog i tr\u017ei\u0161nog polo\u017eaja.<\/p>\n

Pod pretpostavkom da je GDPR mogu\u0107e smisleno primeniti \u2013 \u0161titi li Evropska unija podatke svojih gra\u0111ana? Da, ali pukim sticajem okolnosti.<\/p>\n

  1. Podrobniji spisak obaveza rukovaoca i obra\u0111iva\u010da mo\u017ee se na\u0107i ovde<\/a>.[↩<\/a>]<\/span><\/li>
  2. Data brokers<\/i><\/span> su mo\u017eda i najve\u0107i zlikovci na internetu \u2013 u pitanju su firme koje se bave isklju\u010divo prikupljanjem podataka iz najrazli\u010ditijih izvora (javnih i “privatnih\u201c” koje onda preprodaju zainteresovanim akterima. U tom smislu su ove firme (naj\u010de\u0161\u0107e ameri\u010dke) u stanju da formiraju ogromne baze podataka koje sadr\u017ee skoro sve podatke o datom korisniku. Problem nije samo u tome \u0161to ih one mogu prodavati drugima, ve\u0107 \u0161to ih \u010desto daju na uvid i policiji i drugim represivnim aparatima, \u010dime ovi organi zaobilaze zakone o za\u0161titi podataka i lako dolaze do informacija tamo gde bi ina\u010de morali da pro\u0111u slo\u017eenu sudsku proceduru.[↩<\/a>]<\/span><\/li><\/ol>","protected":false},"excerpt":{"rendered":"

    Pro\u0161log petka, 25. maja, na snagu je stupila dugo o\u010dekivana Op\u0161ta uredba o za\u0161titi podataka (GDPR) i time stavila van snage Direktivu o za\u0161titi podataka (Direktiva 95\/46\/EC), usvojenu 1995. godine…<\/p>\n","protected":false},"author":5,"featured_media":23875,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[454,1],"tags":[228,243,244],"theme":[456,455],"country":[],"articleformat":[450],"coauthors":[14],"class_list":["post-23872","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-naslovnica","category-uncategorized","tag-ekonomija","tag-eu","tag-tehnologija","theme-politika","theme-rad","articleformat-tema"],"_links":{"self":[{"href":"https:\/\/www.bilten.org\/index.php?rest_route=\/wp\/v2\/posts\/23872","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.bilten.org\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.bilten.org\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.bilten.org\/index.php?rest_route=\/wp\/v2\/users\/5"}],"replies":[{"embeddable":true,"href":"https:\/\/www.bilten.org\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=23872"}],"version-history":[{"count":5,"href":"https:\/\/www.bilten.org\/index.php?rest_route=\/wp\/v2\/posts\/23872\/revisions"}],"predecessor-version":[{"id":23882,"href":"https:\/\/www.bilten.org\/index.php?rest_route=\/wp\/v2\/posts\/23872\/revisions\/23882"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.bilten.org\/index.php?rest_route=\/wp\/v2\/media\/23875"}],"wp:attachment":[{"href":"https:\/\/www.bilten.org\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=23872"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.bilten.org\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=23872"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.bilten.org\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=23872"},{"taxonomy":"theme","embeddable":true,"href":"https:\/\/www.bilten.org\/index.php?rest_route=%2Fwp%2Fv2%2Ftheme&post=23872"},{"taxonomy":"country","embeddable":true,"href":"https:\/\/www.bilten.org\/index.php?rest_route=%2Fwp%2Fv2%2Fcountry&post=23872"},{"taxonomy":"articleformat","embeddable":true,"href":"https:\/\/www.bilten.org\/index.php?rest_route=%2Fwp%2Fv2%2Farticleformat&post=23872"},{"taxonomy":"author","embeddable":true,"href":"https:\/\/www.bilten.org\/index.php?rest_route=%2Fwp%2Fv2%2Fcoauthors&post=23872"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}