eGovernment

Novi standard zaštite

Ranije ove godine sud Europske unije donio je kontroverznu odluku kojom je na području EU uspostavljen novi standard zaštite osobnih podataka u digitalnom okruženju. Što ona znači za građane, a što za poduzeća?

Obrada osobnih podataka

PIŠE:: TIHOMIR KATULIĆ

Zahvaljujući dugogodišnjim naporima na području zaštite osobnih podataka, danas se sa sigurnošću može utvrditi kako su europski standardi zaštite osobnih podataka najviši u svijetu. EU područje je uz SAD, Japan i druge visokorazvijene zemlje u Jugoistočnoj Aziji gospodarski i tehnološki lider, no za razliku od ostalih, Europska unija u svoj pravni okvir sustavno ugrađuje pravne mehanizme za zaštitu pojedinca i njegovih osobnih prava od zloporaba kojima mogu biti izvrgnuti u digitalnom okruženju. Za razliku od Europske unije, SAD, a osobito azijske zemlje, zaostaju u zaštiti osobnih prava, posebice privatnosti. Uzroci toj pojavi su složeni i sadrže pravnu, ekonomsku i socijalnu komponentu.

Europski standardi


Googleov pravnik Drummond nazvao je presudu suda Europske unije nejasnom i subjektivnom

Europska direktiva o zaštiti podataka (Data Protection Directive) iz 1995. godine postavila je temelje suvremenoj zaštiti privatnosti. Tim je dokumentom osmišljen općeniti pravni okvir zaštite osobnih podataka koji je postupno implementiran u nacionalne pravne poretke zemalja članica Unije, kao i u zakonodavstva brojnih drugih zemalja. Budući da regulira sve aspekte zaštite osobnih podataka, sveobuhvatan je i zato ga zovemo općim sustavom zaštite osobnih podataka. U okviru postupka pridruženja Europskoj uniji Republika Hrvatska je 2003. godine svojim Zakonom o zaštiti osobnih podataka ustanovila građanima i svim drugim fizičkim osobama na području Republike Hrvatske istu razinu zaštite osobnih podataka kakva postoji i u ostalim zemljama članicama.


Europska komisija želi strože kazne

Rekli smo kako su europski standardi zaštite osobnih podataka vodeći u suvremenom društvu, no europski model je zamišljen iz perspektive zaštite privatnosti građana i zasad ne predstavlja široko prihvaćeni svjetski standard. Iz toga proizlazi da u internetskom okruženju osobni podaci neće uvijek biti u domašaju europskih institucija i propisa. Zbog prirode internetskih servisa i komunikacije, podaci će biti izloženi pravnim učincima pravnih poredaka koji ne priznaju europske standarde. Tako spomenute zemlje, svaka iz svojih razloga, odbijaju usvojiti sličnu razinu zaštite već reguliraju privatnost nizom partikularnih mjera. Konkretno - umjesto jednog sveobuhvatnog zakona privatnost se naprimjer štiti zakonima koji reguliraju medije, kaznene i druge postupke, kroz zakone koji reguliraju stvarnopravno uređenje, elektroničku trgovinu ili nešto treće.

Europska unija u svoj pravni okvir sustavno ugrađuje mehanizme za zaštitu osobnih prava pojedinca od zloporaba u digitalnom okruženju

Koji su razlozi takvog različitog tretmana privatnosti kao pravno zaštićene vrijednosti? S jedne strane, izvjesno je da azijski zakonodavci svjesno ignoriraju standarde zaštite osobnih podataka kako bi lakše prikupljali i obrađivali podatke o vlastitim građanima. Zapadni kriteriji o zaštiti nekih temeljnih osobnih i građanskih prava u takvim su zemljama nametnuti (Japan, Južna Koreja) ili nisu prisutni (Kina, Singapur itd.)

Lobiranjem protiv odgovornosti


Microsoft je godinama na udaru zbog povrede tržišnog natjecanja

S druge strane, američki zakonodavac također izbjegava unaprijediti pravni okvir zaštite privatnosti, no njegovi su interesi drukčiji. Gotovo sve socijalne mreže, mobilni operativni sustavi i druge suvremene usluge koje zauzvrat prikupljaju i obrađuju osobne podatke proizvod su američkih kompanija. Trgovina osobnim podacima lukrativni je biznis u kojemu američke kompanije imaju vodeću ulogu pa američki zakonodavac ne želi ugroziti njihove interese implementiranjem naprednijih pravnih standarda.
Facebook, Google i ostali nisu sami u lobiranju protiv već dobivaju i snažnu podršku američkih medija, koji snažno pritišću iz ekonomskih, ali i čisto pragmatičnih razloga. Naime, europski standardi privatnosti u koliziji su s američkim poimanjem slobode govora i slobode izvještavanja, što bi osim ekonomskih imalo i pravnih posljedica na rad američkih medija.

Za građane, tvrtke i institucije koje djeluju na europskom prostoru, presuda suda Europske unije ima važne posljedice pa se vrijedi podsjetiti konkretnih okolnosti slučaja. Zbog dostupnosti podataka o ranijem postupku ovrhe nad njegovom imovinom, španjolski je građanin pokrenuo postupak protiv španjolskih dnevnih novina, Googleove španjolske podružnice i samog Googlea pri španjolskoj agenciji za zaštitu osobnih podataka. Tužitelj je smatrao kako kontinuirana prisutnost podataka o njemu u rezultatima tražilice, kao i na stranicama dnevnih novina predstavlja povredu privatnosti pa je od nadležnog tijela zatražio pokretanje postupka nadzora.



Sud Europske unije u Luksemburgu

Hrvatska je 2003. Zakonom o zaštiti osobnih podataka građanima i svim drugim fizičkim subjektima ustanovila istu razinu zaštite osobnih podataka kakva postoji i u ostalim zemljama

Sudska odluka

U kasnijem postupku španjolski je sud proslijedio slučaj sudu Europske unije uz tri postavljena pitanja: prvo, odnosi li se europska Direktiva iz 1995. i na tražilice poput Googlea, odnosno predstavlja li Googleova djelatnost obradu osobnih podataka; drugo, primjenjuje li se pravo Europske unije na Googleovu španjolsku podružnicu, s obzirom na to da se podaci obrađuju na serverima koji se nalaze u SAD-u; treće, ima li fizička osoba pravo zatražiti od tražilice da ukloni pristup njenim osobnim podacima (odnosno, postoji li tzv. pravo na zaborav).

Europski model zamišljen iz perspektive zaštite građana zasad nije široko prihvaćeni svjetski standard zaštite privatnosti

Odluku i odgovore sud Europske unije donio je u svibnju ove godine. Što se tiče prvog pitanja, odnosno teritorijalne primjene pravila Europske unije, sud je zaključio kako se, čak i u slučaju da se fizički serveri tvrtke koja obrađuje osobne podatke nalaze izvan područja Europske unije, europska pravila primjenjuju na tražilice ako imaju u nekoj od država članica podružnicu ili povezano trgovačko društvo koje se bavi prodajom oglasnog prostora koji nudi tražilica. Drugim riječima, Google i ostale tražilice koje fizički obrađuju podatke u SAD-u, Kini, Rusiji ili bilo gdje drugdje, bit će podložne europskom pravnom okviru zaštite osobnih podataka ako na području neke od država članica EU imaju podružnicu ili trgovačko društvo u svom vlasništvu koje u njihovo ime prodaje oglasni prostor u okviru usluge koju daje tražilica. Zapravo, sud je poručio kako ekonomsko iskorištavanje osobnih podataka europskih građana treba biti kontrolirano te barem djelomično podvrgnuto i kontroli europskih sudova. Dakle, ako poduzetnici povređuju europska pravila o zaštiti osobnih podataka, europski pravni sustavi mogu protiv njih poduzeti konkretne mjere, kako protiv odgovornih osoba koje vode takva predstavništva, tako i protiv samih poduzeća.


Joaqin Almunia, novi povjerenik za tržišno natjecanje Europske komisije

Što se tiče drugog pitanja sud je ustanovio kako su tražilice, prema odredbama europskih propisa, zaista controlleri, odnosno, prema terminologiji hrvatskog zakona o zaštiti osobnih podataka - voditelji zbirke osobnih podataka. Hrvatski zakon ih definira kao fizičku ili pravnu osobu, državno ili drugo tijelo koje utvrđuje svrhu i način obrade osobnih podataka.
Konačno, što se tiče prava na zaborav, sud EU je ustanovio kako fizičke osobe, pod određenim uvjetima, imaju pravo zatražiti da se s tražilica uklone podaci o njima. Prema odluci suda to znači da su predmetni podaci netočni, neodgovarajući, nevažni ili pretjerani u pogledu obrade.

Strože kazne za tražilice?


Martine Reicherts, povjerenica Europske komisije za pravosuđe, temeljna prava i državljanstvo tražila je strože kazne za Google

Sredinom kolovoza o praksi primjene prava na zaborav očitovala se i povjerenica Europske komisije za pravosuđe, Martine Reicharts koja je posebno izdvojila Google kao primjer operatora koji pokušava u praksi potkopati odluku suda Europske unije, izjavivši da tražilice poput Googlea i drugih glasno prosvjeduju protiv odluke suda no zaboravljaju da im upotreba osobnih podataka korisnika donosi golemu ekonomsku korist.
Osvrnuvši se na medijske pokušaje da se unaprijed diskreditira predstojeća reforma europskog okvira zaštite osobnih podataka koja će ići još dalje u zaštiti građana, Reicharts je kazala da iskrivljavanje prava na zaborav i konteksta njegove upotrebe ne smije naići na plodno tlo. Tom se prilikom Reicharts pridružila ranijim izjavama dužnosnika Europske komisije o tome kako treba uvesti strože sankcije za poduzeća koja u svom poslovanju ignoriraju europske pravne standarde na području zaštite osobnih podataka. Predložena reforma sadržavala bi sankcije koje mogu doseći i do 2 % ukupnog prihoda poduzeća-počinitelja na globalnoj razini.

Sud Europske unije ustanovio je kako fizičke osobe imaju pravo tražiti da se s tražilica uklone njihovi podaci ako su obrađeni nevažno, netočno, neodgovarajuće ili pretjerano

Pravo na zaborav ili sloboda izražavanja?

Iz sudske je odluke jasno kako pravo na zaborav nije apsolutno - treba ga propitivati iz perspektive drugih osobnih i temeljnih prava, kao što je pravo na slobodu izražavanja. Jasniji kriteriji o karakteru informacija koje treba ukloniti razvit će se kroz sudsku praksu.

Azijski zakonodavci ignoriraju standarde zaštite osobnih podataka kako bi lakše prikupljali podatke o građanima. Zapadni kriteriji o zaštiti u takvim zemljama su nametnuti (Japan, Južna Koreja) ili ih nema (Kina, Singapur itd.). I američki zakonodavac izbjegava unaprijediti pravni okvir, ali on ima drukčije interese. Trgovina osobnim podacima lukrativni je biznis u kojemu američke kompanije imaju vodeću ulogu pa zakonodavac ne želi ugroziti njihove interese implementiranjem naprednijih pravnih standarda.

U međuvremenu, što prognozirati, hoće li se američke kompanije zaista podvrgnuti europskim pravilima? Vrijedi se prisjetiti pravnih teškoća koje su kroz posljednjih dvadeset godina na europskom tržištu imali drugi američki giganti poput Microsofta i Intela. Tako je Microsoft svojedobno platio oko 600 milijuna eura kazne zbog povrede tržišnog natjecanja, a Intel je nedavno izgubio priziv na odluku Europske komisije kojom treba platiti rekordnih 1,2 milijarde eura zbog slične opstrukcije. Iako je riječ o enormnim svotama, tim je kompanijama taj novac samo sitni operativni trošak u odnosu na prihode koje su ostvarili ignorirajući europska pravila.

Lobiranjem protiv odgovornosti

Može se očekivati da se pritisak američkih kompanija reflektira i na europske institucije - konačno, broj lobista u Bruxellesu sasvim je usporediv s onima u Washingtonu. Što se pak tiče argumenata pravnih zastupnika kompanija poput Googlea oni su uglavnom fokusirani na nejasne uvjete koje treba ispuniti kako bi tražilice uklonile linkove. Primjerice, Googleov zastupnik David Drummond smatra da je riječ o primjeni vrlo nejasnih i subjektivnih testova što znači da Google ima obvezu razmotriti svaki zahtjev na individualnoj bazi. Za Google i ostale tražilice te bilo koga tko putem interneta pribavlja i obrađuje osobne podatke – individualno razmatranje znači znatne troškove, organizacijske izazove i ljudske resurse. Poslovnim subjektima takvo rješenje smeta, kao što im smeta i svaki drugi namet odnosno dodatni trošak.
S druge strane, te iste tražilice zarađuju nevjerojatno mnogo novca iskorišćujući osobne podatke građana. Prema podacima o poslovanju u 2013. godini, Google je od oglasa uprihodio više od 50 milijardi dolara, velikim dijelom upravo na zajedničkom europskom tržištu koje obuhvaća gotovo petsto milijuna ljudi solidne platežne moći i koje je uz domicilno američko zapravo najsnažnije i Googleu najvažnije tržište - barem dok se kineska i indijska populacija ne izdigne iz siromaštva do ekvivalentne razine.
Kao i u slučaju raznih manevara za izbjegavanje poreza kojima se obilato koriste velikani iz Silicijske doline, njihova spremnost za izbjegavanje obveza je razumljiva, ali teško prihvatljiva. Osim toga, treba podsjetiti - zahvaljujući domicilnom američkom zakonu o autorskom pravu za tražilice, Digital Millenium Copyright Actu, Google i društvo već više od desetljeća uklanjaju linkove na sadržaje koji bi mogli predstavljati povredu autorskog prava. S jedne strane je prihvatljivo i opravdano uklanjati linkove na sadržaje za koje postoji sumnja da su zaštićena i protupravno distribuirana autorska djela, a isti postupak u slučaju povrede osobnih podataka je tegotan, nejasan i predstavlja nerazumljiv napad na njihove ekonomske interese.