GDPR
General Data Protection Regulation (GDPR) oz. prevedeno Splošna uredba EU o varstvu podatkov je s 25. Majem 2018 stopila v veljavo. Mnogi med vami ste po vsej verjetnosti kakšne informacije o dotični tematiki, katere pomembnosti se (pre)mnogi še ne zavedajo, že zasledili, vendar trenutno velja za dokaj nerazjasnjeno in novo območje. Torej, Evropska Unija ima trenutno 510 milijonov prebivalcev (za primerjavo; Združene Države Amerike imajo približno 320 milijonov), kar ob upoštevanju dejstva, da nas ima večina pametne telefone in računalnike, predstavlja precej znaten zalogaj uporabnikov spleta in seveda posledično zbranih podatkih.
Zavedati se moramo, da v današnjih časih, kjer se naš realni svet tesno prepleta z digitalnim, vrednost naših podatkov konstantno narašča. To je vsekakor logično, saj se lahko zbrane podatke uporabi za trgovanje, bolj učinkovit marketing , izrabljanje le-teh za doseganje raznih političnih ciljev (načrtna javna manipulacija itd.) ali pa preprečevanje ilegalnega delovanja in nadzor prebivalstva. Vsem znani spletni velikan Google in največje socialno omrežje Facebook sta s preprodajo podatkom raznim analitičnim podjetjem in ostalim zbiralcem podatkov zaslužila nepredstavljive vsote, ki se merijo v več deset miljardah. Letni profit Google-a je za leto 2017 znašal približno 109 miljard, od tega pa več kot 60% profita izhaja iz oglaševanja, kjer naši podatki predstavljajo najpomembnejši element dobrega oglaševanja…natančno in globoko poznavanje strank in posledično trga. Vsekakor nas zaradi tega težko preseneti dejstvo, da vrednost naših osebnih podatkov stalno narašča, kar pa za seboj potegne neprijetne posledice. Masovna kraja podatkov, njihovo izkoriščanje in ilegalno preprodajanje ter povečano število vdorov v podatkovne baze so le eni izmed problemov, ki pestijo naš digitalni svet.
V bran našim podatkom, je tako v letošnjem letu 2018 stopil GDPR. V današnjih časih je izjemno pomembno, da imamo kontrolo nad svojimi podatki, hkrati pa moramo imeti možnost popolne anonimnosti na spletu. Sicer regulacije na tem področju sicer niso nekaj novega, namreč, že leta 1995 je v veljavo stopila Data Protection Directive oz. direktiva o varovanju podatkov, a z mnogimi napakami in pomanjkljivostmi. Ohlapno napisana zakonodaja, precej omejeni zakoni in nizke kazni, so dotično direktivo naredili precej neuporabno, saj si jo je vsaka država interpretirala po svoje, mnoge luknje v zakonodaji pa so omogočale, da se vsa možna podjetja brez problema izognejo kazni. Za primer: Google je preko svojih avtomobilov , ki so snemali material za vsem poznani ”Street view” v obdobju 2008-2010 to izkoristil za zbiranje podatkov iz nezaščitenih javnih wi-fi omrežij (avtomobili so se na njih sproti prikapljali) in posledično dobil 7 milijonov evrov kazni. Za globalnega velikana, ki to vsoto zasluži v približno eni uri, je to že smešno nizka kazen, ki je na svojem proračunu ne bodo sploh opazili, posledično pa lahko sklepamo, da s svojim ilegalnim zbiranjem podatkov ne bodo prenehali.
Kaj torej GDPR predstavlja in katere spremembe nam prinaša?
- Od veljave GDPR naprej, bo vsako podjetje oz. organizacija, ki bo od nas zahtevala podatke, bila prisiljena točno in natančno opredeilit, za katero stvar se bo določen podatek uporabljal. To pomeni, da bodo v primeru, da želijo vaš email naslov in ime ter priimek, po zakonu morali povedati za katero dejavnost se bo to uporabljalo (novice, pošiljanje popustov, kontaktiranje itd.), hkrati pa bo to podano jasno in brez zank, kjer bomo vedno imeli možnost odkloniti.
- GDPR jasno in natančno opredeljuje kateri podatki se sploh smejo uporabiti (slike, email, ime, priimek, IP naslov itd.)
- Uporabnik bo imel pravico ”biti pozabljen” (ang. ”the right to be forgotten”). Ta izraz se je v angleškem jeziku znašel nedolgo nazaj, saj nam daje opcijo, da zahtevamo izbris vseh naših podatkov, ki jih določeno podjetje zadržuje. V nekaterih primerih sicer obstajajo izjeme, npr. v povezavi s svobodnim govorom in pravnimi procesi ter seveda javnimi raziskavami a načeloma ostaja pravilo, da ima vsak pravico do izbrisa svojih podatkov, tisti ki si jih lasti, pa nas mora obvestiti o uspešnem brisanju. To je ena od ključnih sprememb, ki jih novi zakon prinaša, saj je prav na tem področju stara direktiva zatajila.
- Določena podjetja in javni ograni, bodo prisiljeni imeti uradnika za varstvo podatkov (lahko je zunanji ali notranji sodelavec), ki bo skrbel za vso dokumentacijo in odgovarjal veji oblasti, ki bo odgovorna za nadzor podatkov. Delo odgovorne osebe, bo zahtevalo tudi spremljanje skladnosti z Uredbo, svetovanje uporavljacem in obdelovalcem o njihovih obveznostih ter ozaveščanje in svetovanje o varstvu podatkov. Pooblaščeno osebo bodo morala določiti vsa podjetja (večja in manjša), ki redno zbirajo večje količine podatkov in jih sistematično urejajo ter shranjujejo za potrebe delovanja (banke, IT, zavarovalnice, spletne trgovine, operaterji elektronskih komunikacij). Ta oseba prav tako, ne bo smela imeti položaja v podjetu, ki bi omogočalo opredelitev namenov ali storitev obdelave osebnih podatkov (načeloma so to položaji višjega vodstva; izvršni direktov, operativni direktor, finančni direktor itd). Pametno je, da vsako podjete poskrbi, da ne prihaja do nasprotja interesov in nezdružljivih položajev. Kontakt pooblaščene osebe mora biti jasno naveden, vključevati pa mora namensko telefonsko številko ali e-poštni naslov ter dejanski poštni naslov, saj je zahtevano, da lahko le-to osebo lastniki podatkov zlahka kontaktirajo. Primerno je, da se naredi namenski kontaktni obrazec na vašem spletnem mestu, ki je naslovljen na to osebo. Če želite, lahko za pooblaščeno osebo imenujeta katerega od svojih zaposlenih, brez tega, da bi naredili novo delovno mesto, ali pa (razen v nekaterih primerih, ki jih določajo nacionalni zakoni) tudi imenujete zunanjega pogodbenega izavajalca.
- Prihaja nova doba spletnih mest, kjer bo zasebnost vključena v sam design, saj bo direktno vplivalno na osnovno delovanje mnogo poslovnih modelov
Torej, kot lahko vidimo, novi zakon o varovanju podatkov prinaša številne nove korenite spremembe, katerih vsebina je relevantna prav za vse uporabnike spleta. Dejstvo je, da se v poplavi novih zakonov in pravil marsikdo popolnoma izgubi, te napake pa nas lahko v prihodnosti krepko stanejo.
Kaj mi GDPR, kot običajnemu vsakodnevnemu uporabniku/uporabnici, prinaša?
Kot je že zgoraj omenjeno, nam novi zakon prinaša mnoge prednosti in predvsem večji nadzor nad našimi podatki. Po vsej verjetnosti, ste se že večkrat spraševali o varnosti lastnih podatkov in količini njih, ki je na internetu. Svoje sledi puščamo po celotnem spletu, kjer so določene ljudi vredne zlata, kar na dan privleče vprašanje o naši navidezni zasebnosti. Mnogi med nami, zelo pogosto (če smo odkriti, skoraj nikoli J ) ne preberejo pogojev in pravil o zasebnosti, temveč kaj hitro kliknejo tisti že odkljukani ”Se strinjam” in po najhitrejši poti odpotujejo do želene vsebine. Podobno je tudi z razno programsko opremo na naših pametnih napravah, a je to tematika, ki si zasluži svoj, daljši prispevek. Če se vrnemo na naše pravilnike o zasebnosti, lahko s hitrim pregledom različnih spletnih mest ugotovite, da so na premnogih straneh zadeve spisane precej ohlapno in nenatančno, kar seveda pušča prostor za napake (iz strani hranilca podatkov) in nejasnosti glede tega, kje bodo te podatki sploh uporabljeni. GDPR bo temu stopil na prste, saj bo z veljavo novega zakona, katerakoli netransparentnost in nejasnost hitro in strogo kaznovana. Se spomnite tistih spletnih strani, ki vas niso spustile do vsebine, dokler niste vpisali e-mail naslova ali katerih drugih podatkov? To bo kmalu stvar preteklosti, saj je izbira glede tega, katere podatke puščamo, komu jih puščamo in zakaj jih puščamo, popolnoma prepuščena nam. Kdorkoli bo želel vaše podatke, bo moral točno in jasno opredeliti, za kateri namen jih potrebuje, brez nejasnosti. Kljub temu, bomo vedno imeli pravico odkloniti, hkrati smemo čutiti prisile oz. negativnih posledice, če te privolitve ne podamo. Od nas bodo posledično bili prisiljeni pridobiti ločene privolitve in soglasja, vsako za svoj namen. Zgoraj omenjena možnost ”biti pozabljen” je tukaj ključnega pomena, saj imamo pravico, da se kakršnekoli privolitve na našo zahtevo umakne, o izbrisu privolitve pa bomo tudi v določem časovnem obdobju obveščeni, vse to pa mora biti brezplačno in brez zniževanja nivoja storitve. Jasno je, da GDPR služi zaščiti podatkov, kar nam kot splošnim uporabnikom precej olajša celotno izkušnjo, hkrati pa bo poskrbel, da ne bo prišlo do izkoriščanja informacij…A težko trdimo, da bo podjetjem poslovanje olajšal, saj gre v tem primeru za nasprotno situacijo.
Torej, kakšne spremembe GDPR uvaja za podjetja?
Dejstvo je, da bo skrb za natančno evidentiranje in shranjevanje vse dokumentacije ključnega pomena. Vse privolitve, ki so bile pridobljene do sedaj, brez ustrezno napisane dokumentacije in točno določenih pogojev strinjanja, veljajo za neuporabne in jih bo potrebno ponovno pridobiti. Prav tako bo potrebno znova napisati splošne pogoje poslovanja in politiko zaupnosti ter varnosti podatkov. Implementacija tega sistema ne bo lahka, saj prinaša mnogo novih načinov obdelovanja podatkov, ki pa bo hkrati zahteval prilagoditev celotnega sistema in principa delovanja že obstoječih delovnih praks. Ker je ta tema precej obsežna, vam bolj podrobno vse spremembe in ovire, ki čakajo podjetnike opišemo v naslednjem, bolj poglobljenem prispevku, hkrati pa svarimo, da gre za precej resno stvar, ki se ji bomo stežka izognili in ob neupoštevanjuhudobili za to precej kaznovani.
Lahko bi rekli, da prihaja nova doba spletnega delovanja, saj bo za uspešno implentiran GDPR potrebno popolnoma zamenjati ustaljene načine delovanja, a je hkrati vredno omeniti, da bo za tiste, ki premorejo dovolj inovativnosti, to prineslo mnogo novih poslovnih priložnosti, saj se bodo odprli popolnoma novi in trenutno še neznani načini poslovanja. Prihodnost je lahko dobra za tiste, ki bodo na spremembe pripravljeni in se jim bodo uspeli prilagoditi, ste med njimi?