Ostalo

Prošla je godina dana od primjene GDPR-a, no većina još ne zna čemu Uredba služi

Prije godinu dana kad je donesena, Uredba Europske unije o zaštiti osobnih podataka poznata kao GDPR, slavljena je kao revolucionarna promjena koja će unaprijediti sigurnost na internetu. Međutim, pokazalo se kako je umjesto sigurnosti dosad uglavnom donijela frustracije korisnicima, tvrtkama, a i samim regulatorima.

Najveći dio kazni nije naplaćen, stvorena je nova birokracija, a oko najsitnijih banalnosti vode se rasprave o tome spadaju li one u sferu GDPR-a ili ne. Obični ljudi ni godinu dana od uvođenja ne znaju čemu to služi, a ne zna ni dobar dio ustanova. Neke su škole tako zabranjivale roditeljima fotografiranje školskih priredbi, što nema nikakve veze s GDPR-om.

Sjetimo se samo skandala koji je izbio u HDZ-u kad su članovima poslali upute da potpišu izjave o povjerljivosti te naložili da po GDPR-u ne smiju ni na sudu svjedočiti ako ne dobiju pismeno odobrenje stranačkih tijela. Kasnije su to povukli i sve nazvali zabunom.


GDPR je većini internetskih korisnika najpoznatiji kao dosadan niz brzih pop-up obavijesti o privatnosti koje im iskaču dok surfaju po internetu i koje im idu beskrajno na živce. Pop-up obavijesti bile su zamišljene kao prva informacija nakon koje bi korisnici mogli sami shvatiti kako svaka aplikacija koju posjeduju i web stranica koju posjećuju koristi njihove podatke. No, u najvećoj mjeri su imale suprotan učinak i stvorile su zamor kod korisnika od te silne potrebe klikanja i davanja suglasnosti.

Europska uredba donesena je 25. svibnja 2018. godine kao reakcija na prikupljanje osobnih podataka od strane tehnoloških divova kao što su Facebook, Alphabet, Apple, a njome su propisane iznimno visoke kazne za povredu privatnosti – do 20 milijuna eura. U slučaju drastičnih kršenja zaštite privatnosti, one mogu iznositi i do četiri posto globalnog godišnjeg prihoda tvrtke za prethodnu godinu, što primjerice za Facebook, znači da bi takva stroža kazna mogla biti teška čak do 1,6 milijardi dolara.

Iz analize koju je napravio CNBC vidljivo je kako upravo najveći divovi kojima su izrečene kazne uspješno odugovlače s plaćanjem i vode duge pravne bitke kako ne bi morali odriješiti kesu.

Google je u siječnju dobio kaznu od 57 milijuna dolara zbog načina na koji koristi podatke za ciljanje oglase, ali se tvrtka još uvijek svim pravnim sredstvima bori da kaznu ne plati. Isto je i s Facebookom kojem je izrečena novčana kazna u iznosu od 645.000 američkih dolara zbog skandala u Cambridgeu Analytica, koji je uključivao navodnu zlouporabu osobnih podataka za izborno istraživanje koje je provela predsjednička kampanja Donalda Trumpa.

– Provedba tek počinje – tumači sporost naplate Odia Kagan, predsjednica programa za usklađivanje s GDPR-om u odvjetničkoj tvrtki Fox Rothschild. Postoje i drugi alati osim kazne.

– U nekim slučajevima, EU regulatori mogu reći tvrtkama: “Imate 90 dana da ispravite ovo što radite krivo s podacima, ili nakon 90 dana ne možete koristiti navedene podatke.” Ponekad ih, čak ni velike novčane kazne neće slomiti, ali korišteni podaci hoće, ako je to ključna komponenta njihovog poslovanja – objašnjava Kagan.

Uvođenje GDPR-a donijelo je brojne zabune oko toga što se smije, a što ne.

Regulatorima na ruku nisu išla širenja panike po društvenim mrežama i u medijima, gdje se pogrešno tumačilo kako se uredba odnosi i na događaje iz svakodnevnog života.

– Mnoge stvari koje se govore o tome što pokriva GDPR su mitovi. Postoji tonu zabluda – upozorava Odia Kagan.

Nedavni članak irske Komisije za zaštitu podataka koji raspravlja o događajima u školama graniči s apsurdom, a odnosi se na snimanje djece na školskom sportskom natjecanju. Školi su savjetovali da napravi scenarij gdje će se i kako djeca fotografirati, kako bi o tome mogli unaprijed obavijestiti roditelje i od njih dobiti suglasnost za snimanje. Djecu su označili različitim naljepnicama, zavisno o tome jesu li roditelji dali ili odbili odobrenje za snimanje. Sve apsolutno nepotrebno.

GDPR stvorio je također i novu birokracije unutar korporacija. I tvrtke u SAD-u koje posluju s EU-om, da bi bile u skladu s pravilima GDPR-a morale su angažirati vlastitog ili vanjskog suradnika koji će voditi ured za zaštitu podataka. Ta se pozicija često preklapa s postojećim izvršnim funkcijama, kao što su cybersecurity i druge pa dolazi do nesuglasja.

– GDPR je uveo novu 72-satnu smjernicu za izvještavanje o kršenju, što je daleko kraće vrijeme nego što propisuju ostali pravilnici. To je dovelo do panike u tvrtkama koje su primjerice u rujna 2018. godine preplavile i potpuno preopteretile U.K. regulatore privatnosti podataka. Ured UK-a tada je izdao SOS poziv upomoć govoreći: “Pretjerujete, mi se ovdje utapamo!“ – prisjeća se Laura Jehl, partnerica za privatnost i zaštitu podataka odvjetničke tvrtke BakerHostetler.

Problem s GDPR-om je, tvrdi CNBC i taj što i većina regulatornih agencija u EU nema dovoljno osposobljenog kadra pa i tu dolazi do zagušenja.

Slobodna Dalmacija