TISUĆU MILIJARDI RAZLOGA PROTIV ZAŠTITE OSOBNIH PODATAKA

Dileme europskog zakonodavstva

Visoka razina sigurnosti podataka bitan je uvjet za razvoj usluga informacijskog društva. Prošle je godine europski zakonodavac usvojio dva značajna propisa iz područja informacijske sigurnosti i zaštite osobnih podataka. No, smije li se zanemariti ključna gospodarska činjenica da će vrijednost poslova povezanih s prikupljanjem i obradom osobnih podataka do 2020. godine narasti na tisuću milijardi eura godišnje.

PIŠE: TIHOMIR KATULIĆ

Suvremene poslovne aktivnosti podrazumijevaju prikupljanje, analizu i upravljanje golemim količinama podataka. To je teško zamisliti bez široke upotrebe informacijskih tehnologija. Međutim, što se više oslanjamo na informacijske tehnologije sve više se izlažemo i  riziku da će nam podaci biti otuđeni, zloupotrebljeni, iskorišteni protivno namjeri zbog kojih smo ih prikupili, unijeli u informacijski sustav, upotrijebili ili podijelili u digitalnom okruženju.
To se ponajprije odnosi na osobne identifikacijske podatke, na naš izgled poput visine, težine, boje kose ili očiju, na podatke koji se odnose na spol, dob, zdravstveni status do podataka koji govore o našem rasnom ili etničkom podrijetlu, političkim i vjerskim stavovima, uvjerenjima, pripadnosti sindikatima, strankama itd.
Prikupljanje, obrada i pohrana osobnih podataka predmet je intenzivne zakonodavne i druge regulatorne aktivnosti. Na području Europske unije, osim zakonodavaca u tome sudjeluju i regulatorna tijela država članica odnosno tijela poput naše Agencije za zaštitu osobnih podataka. Iz pravne perspektive informacijska sigurnost i zaštita osobnih podataka dvije su srodne teme. Osnovni predmet interesa zaštite informacijske sigurnosti su opasnosti i pravci napada na informacijske sustave, na njihovu hardversku, softversku i organizacijsku osnovu. Informacijska sigurnost istražuje prevencijske mjere, smanjenje učinka i otklanjanje posljedica napada, ako se oni dogode te u tom smislu savjetuje efikasnu sigurnosnu politiku.
S druge strane zaštita osobnih podataka usmjerena je na status i sadržaj pojma osobni podatak, na kategorije ispitanika i voditelje zbirki osobnih podataka te na pravnu regulaciju uvjeta pristanka na njihovo prikupljanje i obradu te na pravni režim njihove ponovne upotrebe i izvoza.


Europski je parlament u protekle dvije godine usvojio nekoliko značajnih propisa poput Opće uredbe o zaštiti osobnih podataka i Direktive o mrežnoj i informacijskoj sigurnosti

Europski sustav zaštite osobnih podataka

Zaštita osobnih podataka kao temeljno pravo europskih građana nije nastala preko noći. Članice Unije potpisnice su Europske konvencije o ljudskim pravima, međunarodnog ugovora kojim su ratificirana temeljna i neotuđiva ljudska prava kojim je uspostavljen i Europski sud za ljudska prava koji u svojim odlukama već tradicionalno tumači vrlo široko odredbe o privatnosti pojedinca, njegovog obiteljskog života, doma i komunikacije.
Osim Konvencije o ljudskim pravima pri nastanku aktualnog pravnog okvira koji se smatra najrazvijenijim i najsnažnijim pravnim okvirom zaštite osobnih podataka u modernom zakonodavstvu, važnu su ulogu odigrale i smjernice OECD-a iz 1980. kao i Konvencija o zaštiti pojedinaca u pogledu automatske obrade osobnih podataka Vijeća Europe, usvojena 1981. godine.
Kako bi ujednačila pravne standarde i stala na kraj usvajanju različitih pravnih rješenja i zaštitnih mehanizama u zemljama članicama, Unija je na prijedlog Komisije 1995. godine usvojila Data Protection Directive - Direktivu o zaštiti pojedinaca u pogledu obrade osobnih podataka i njihovog slobodnog protoka (Direktiva 95/46/EC).

Današnje stanje tehnologije i s tim povezane društvene promjene poprilično se razlikuju od okolnosti u kojima je nastala Direktiva o zaštiti podataka. Osobni podaci su dobro kojim se trguje i gospodari. Stoga Europska komisija već više od pola desetljeća aktivno radi na reformi europskih pravila o zaštiti osobnih podataka. Komisija je primijetila kako sve zemlje članice Unije nisu bile dosljedne pri implementaciji odredbi Direktive pa postoje razlike koje su uzrokovale nepotrebnu kompleksnost, pravnu nesigurnost i stvorile dodatne administrativne troškove što negativno djeluje na razvoj inovativnih informacijskih usluga i hendikepira europska poduzeća u globalnoj tržišnoj utakmici posebno u odnosu na Sjedinjene Američke Države čiji pragmatični i partikularni pristup zaštiti osobnih podataka preferira interese velikih kompanija u odnosu na prava građana.

Od usvajanja Direktive proteklo je više od dvadeset godina, a na temelju nje su u proteklom razdoblju usvajani nacionalni zakoni diljem Unije, ali i susjednih zemalja. Tako je i Hrvatska je usvojila Zakon o zaštiti osobnih podataka cijelo desetljeće prije ulaska u Uniju, a europska je Direktiva utjecala i na zakonodavstva zemalja na drugim kontinentima, primjerice u Južnoj Americi i nekim azijskim zemljama.
Ipak, napredak informacijske tehnologije u proteklih dvadeset godina, novi proizvodi i usluge korjenito su promijenili okolnosti u kojima se treba štititi sigurnost korisnika i osobnih podataka.

Društvene mreže, mobilne tehnologije visoke propusnosti, eksponencijalan rast procesorske moći i kapaciteta za pohranu podataka rezultirali su kompleksnim povezanim informacijskim sustavima i uslugama. Današnje stanje tehnologije uz povezane društvene promjene poprilično se razlikuje od okolnosti u kojima je nastala Direktiva. Osobni podaci su dobro kojim se trguje i gospodari. Stoga Europska komisija već više od pola desetljeća aktivno radi na reformi europskih pravila o zaštiti osobnih podataka. Komisija je primijetila kako sve zemlje članice Unije nisu bile dosljedne pri implementaciji odredbi Direktive pa postoje razlike.

Andrus Ansip, potpredsjednik Europske komisije zadužen za europsko digitalno tržište

Te razlike su uzrokovale nepotrebnu kompleksnost, pravnu nesigurnost i stvorile dodatne administrativne troškove što negativno djeluje na razvoj inovativnih informacijskih usluga i hendikepira europska poduzeća u globalnoj tržišnoj utakmici i to posebno u odnosu na Sjedinjene Američke Države čiji pragmatični i partikularni pristup zaštiti osobnih podataka preferira interese velikih kompanija u odnosu na prava građana. Europski zakonodavac je proveo vlastite i neovisne analize primjene Direktive kako bi dodatno zaštitio pravo na zaštitu osobnih podataka koje svoj aktualni izričaj vuče iz čl. 8 Europske povelje o temeljnim pravima. Tako interesi građana Unije u pogledu zaštite osobnih podataka još imaju prednost barem na formalnoj normativnoj razini. U prilog tome ide i aktivnost Europskog suda koji je svojom judikaturom afirmirao pravo na zaborav te ukinuo Safe Harbour sporazum o mogućnosti izvoza osobnih podataka u Sjedinjene Američke Države.
Međutim, nije racionalno ignorirati  gospodarske interese - osim ekonomskog zaostajanja dolazit će i do raznih oblika sabotiranja normativnog okvira. Zbog toga, kako bi se ovaj put  izbjeglo prolongirano razdoblje asimilacije i donošenja nacionalnih zakona koji ponekad kreativno reinterpretiraju ideje iz europskih direktiva, Komisija predlaže Uredbu - zakonodavni mehanizam koji će se izravno primjenjivati u državama članicama.

Kako bi se građanima osigurala mogućnost da upravljaju vlastitim osobnim podacima u skladu s važećim europskim pravnim standardima i njihovom zaštitom kao temeljnim pravom, nova pravila trebaju im osigurati efikasno pravo na zaborav, lakši pristup i prijenos podataka, pravo na obavijest u slučaju neovlaštenog pristupa njihovim podacima ili pri počinjenju nekog drugog kibernetičko-kriminalnoga djela te snažniji i sveobuhvatniji zaštitni okvir.

Proklamirani ciljevi Uredbe su snažniji okvir zaštite prava građana koji će imati veću kontrolu nad upotrebom vlastitih osobnih podataka, zatim jačanje zajedničkog europskog tržišta te razvijanje pouzdanog sustava izvoza osobnih podataka i kontrole njihove naknadne upotrebe za što će biti potrebno utjecati na globalne standarde zaštite. U tom smislu, osim sa Sjedinjenim Američkim Državama Unija pregovara i s drugim utjecajnim blokovima i zemljama poput Japana i Južne Koreje. Kako bi se građanima osigurala mogućnost da upravljaju vlastitim osobnim podacima u skladu s važećim europskim pravnim standardima i zaštitom kao temeljnim pravom, nova pravila trebaju im osigurati efikasno pravo na zaborav, lakši pristup i prijenos podataka, pravo na obavijest u slučaju neovlaštenog pristupa njihovim podacima ili pri počinjenju nekog drugog kibernetičko-kriminalnoga djela te snažniji i sveobuhvatniji zaštitni okvir.
Konačno, jedan od glavnih ciljeva nove uredbe jest potaknuti stvaranje novih usluga po načelu data protection by design and by default i ugraditi u njih razmišljanje o tome kako osigurati osobne podatke od zloupotrebe. Europska komisija želi potaknuti razvoj novih ideja, metodologija i tehnologija za sigurnost i zaštitu osobnih podataka te time stvoriti tehnološke i organizacijske prednosti za europska poduzeća u odnosu na ostatak svijeta. Zbog toga se promiče anonimizacija, odnosno uklanjanje osobnih podataka iz procesa gdje zaista nisu nužni, pseudoanonimizacija (zamjena osobnih identifikatora sintetičkim, izvedenim podacima) te enkripcija.
U međuvremenu Komisija će u suradnji s državama članicama i nacionalnim tijelima za zaštitu osobnih podataka ustrojiti novo regulatorno tijelo kako bi se osigurala jedinstvena i konzistentna primjena novih pravila.



Roadmap usvajanja i primjene GDPR-a

Pravo na brisanje podataka

Nakon presude Europskog suda u slučaju Costeja postojeći europski pravni okvir omogućuje pojedincima da od voditelja zbirki u poduzećima i organizacijama koje prikupljaju i obrađuju osobne podatke zatraže uklanjanje osobnih podataka, pogotovo kad ti podaci više nisu potrebni ili nisu aktualni.
Dakako, to ne znači da će građani moći ukloniti sve svoje osobne podatke na temelju jednog zahtjeva. Podaci će se zadržati ako su potrebni zbog ispunjenja nekog ugovora ili uslijed obveze koja postoji na temelju neke zakonske norme. Pravo na brisanje podataka trpi i neka ograničenja, ponajprije zbog zaštite drugih prava poput prava na slobodu izražavanja, zakonskih ograničenja u slučaju kaznenih i drugih postupaka, propisa koji reguliraju djelovanje financijskih institucija zbog sprečavanja pranja novca i drugih razloga te kad ih treba zadržati u svrhu povijesnih i znanstvenih istraživanja. Nova uredba prepoznaje i djecu kao vrlo ranjive članove društva koji ne mogu adekvatno raspolagati svojim osobnim podacima i često nisu svjesni rizika i posljedica pri odavanju svojih podataka. Zato će novom uredbom biti propisana dob do koje se traži pristanak roditelja ili skrbnika za upotrebu njihovih osobnih podataka. Za građane je osobito važno novo pravo na prijenos osobnih podataka - data portability - čime se želi postići lakša migracija osobnih podataka ako netko poželi promijeniti davatelja usluge. Time će se indirektno pomoći i startupovima te malim i srednjim poduzećima koja će nuditi inovativne usluge, jer će pojedinci moći lakše napustiti dominantne digitalne ekosustave i prenijeti svoje podatke konkurenciji.

Viša razina pravne sigurnosti

Usluge temeljene na prikupljanju i obradi osobnih podataka važan su aspekt postindustrijske ekonomije i usluga informacijskog društva. Gubici podataka, zatim široko raširena praksa državnih tijela neovlaštenog pristupa podacima bez valjanog naloga i brojni drugi slučajevi koji su proteklih godina ukazivali na neadekvatnu zaštitu prava europskih građana ozbiljno su narušili njihovo povjerenje prema informacijskim uslugama.
Osobni podaci su temelj mnogih novih informacijskih usluga. Europska komisija predviđa da će vrijednost poslova povezanih s prikupljanjem i obradom osobnih podataka do 2020. godine narasti na tisuću milijardi eura godišnje.
Želi li Europska unija uhvatiti priključak sa Sjedinjenim Američkim Državama kao globalnim liderom u toj gospodarskoj grani tada novi okvir zaštite osobnih podataka treba jasno i dosljedno definirati pravila njihovog prikupljanja i upotrebe i tako povratiti povjerenje europskih građana. Nova uredba osigurat će jedinstveni, paneuropski pravni okvir zaštite osobnih podataka koji će zamijeniti postojeći i izbjeći opasnosti da pojedine zemlje različito interpretiraju Direktivu što je u prošlosti uzrokovalo pravnu nesigurnost i konfuziju. Uredbom će se ustrojiti i nadzorno tijelo koje će prema poduzećima djelovati kao one-stop-shop za područje Unije te koordinirati rad nacionalnih agencija.
Što se tiče malih i srednjih poduzeća Komisija želi potaknuti razvoj i rast novih usluga na europskom području i tako smanjiti dominaciju SAD-a. Reforma će omogućiti da mala i srednja poduzeća lakše nastupaju i na drugim, a ne samo na nacionalnim tržištima. Za njih će se Uredbom urediti fleksibilniji model, posebno ako im prikupljanje i obrada podataka nije redovita aktivnost ili se ne prikupljaju vrlo osjetljivi osobni podaci koji i danas uživaju posebnu razinu zaštite (podaci o rasnom i etničkom porijeklu, vjeri, politička uvjerenja itd.).

Prema europskom pravnom okviru informacijske sigurnosti

Drugi veliki zakonodavni iskorak Unije u 2016. godini bila je Direktiva o mrežnoj i informacijskoj sigurnosti (Network and Information Security Directive). Prema podacima Europske agencije za mrežnu i informacijsku sigurnost, u 2015. godini zabilježen je porast napada sofisticiranim malicioznim programima, osobito ransomwareom, koji poput računalnih virusa inficiraju informacijski sustav i šifriraju korisničke podatke snažnim enkripcijskim algoritmima tako da postaju nečitljivi.
Slično govore i podaci Europske komisije - više od osamdeset posto europskih poduzeća pretrpjelo je protekle godine barem jedan napad na informacijske sustave, a prema istom izvješću broj napada porastao je gotovo četrdeset posto u odnosu na 2015. godinu. Visoka razina sigurnosti podataka bitan je uvjet za razvoj usluga informacijskog društva. Zakonodavci država članica, pa tako i hrvatski, pokušavaju kroz proteklih dvadesetak godina na različite načine osigurati visoku razinu informacijske sigurnosti, ponajprije kroz normativnu intervenciju odnosno zakone te kroz zaštitu kritične informacijske infrastrukture i slično. Iako je normativan napor nužan  napredak onemogućuje neadekvatni institucionalni razvoj, nedostatni resursi i izostanak snažne i koordinirane međunarodne suradnje. Bez efikasne prekogranične suradnje između svih aktera teško je zamisliti efikasne mjere koje bi mogle spriječiti buduće incidente i napade.
Europska je komisija u proteklih nekoliko godina usvojila niz mjera čiji je cilj podići razinu zaštite europskih informacijskih sustava te otpornost na razne kategorije kibernetičkih napada.  U regulatornom smislu, središnje mjesto pripada novoj Direktivi o zaštiti mrežnih i informacijskih sustava (tzv. NIS Direktiva) koju je Europski parlament usvojio u srpnju prošle godine, a stupila je na snagu u kolovozu. Direktiva nalaže stvaranje efikasne mreže nacionalnih CSIRT (Computer Security Incident Response Team) timova kako bi se omogućila brza reakcija na kibernetičke napade.
Direktivom se osniva i koordinacijsko tijelo među državama članicama čiji je zadatak osigurati stratešku kooperaciju te efikasnu razmjenu podataka o potencijalnim ugrozama. Cilj takve suradnje jest stvoriti povjerenje među državama članicama te osigurati koordinacijske mehanizme bez kojih nije moguće adekvatno odgovoriti izazovima informacijske sigurnosti.
Jedan od ciljeva Direktive jest identifikacija tzv. bitnih (esencijalnih) usluga ključnih za održavanje redovitih društvenih i ekonomskih aktivnosti. Za adekvatno upravljanje rizicima i ispunjenje obveze prijave incidenata za davatelje ključnih i digitalnih usluga prvi je korak utvrđivanje što su to zapravo ključne odnosno bitne usluge (essential services) i što se točno očekuje od društava i drugih entiteta koji takve usluge pružaju na zajedničkom tržištu.


Europska agencija za mrežnu i informacijsku sigurnost

Direktiva definira davatelje bitnih usluga kao privatno-pravna tijela (razna trgovačka društva) i tijela javne vlasti koji imaju važnu ulogu u suvremenom društvu i gospodarstvu. Države članice će, svaka za sebe, identificirati koja su to tijela prema usvojenim kriterijima: da je riječ o tijelu koje pruža neku vrst usluge ključnu za održavanje kritičnih društvenih ili ekonomskih aktivnosti, da je riječ o usluzi koja ovisi o mrežnim i informacijskim sustavima i da je riječ o usluzi čija bi uskrata uslijed sigurnosnog incidenta imala značajne remetilačke ili razorne efekte za društvo ili gospodarstvo.
Direktivom nije definirano koji su to značajni remetilački efekti, odnosno koja je granica ispod koje se incidenti ne bi trebali prijavljivati, no ona daje kriterije koje treba razmotriti pri  procjeni karaktera incidenta. To je broj korisnika pogođenih napadom, trajanje i geografska raširenost napada. Očekuje se kako će Grupa za suradnju te nadležna nacionalna tijela usvojiti konkretnije tumačenje tih kriterija kao smjernica za postupanje.
Prema odredbama NIS Direktive identificirani davatelji bitnih usluga trebaju osigurati primjenu adekvatnih sigurnosnih mjera kako bi osigurali neometan rad i pristup svojim uslugama, kao i sustav prijave ozbiljnih incidenata relevantnom nacionalnom tijelu. Direktiva predviđa mjere za prevenciju rizika, za osiguranje mreže i informacijskih sustava te postupanje u slučaju incidenata. Poduzete mjere trebaju sprečavati i minimizirati utjecaj incidenata na informacijske sustave i redovit pristup bitnim uslugama. Što se tiče adresata direktiva o mrežnoj i informacijskoj sigurnosti osobitu pažnju posvećuje davateljima usluga iz sektora poput energetike, transporta, bankarstva, financijskih usluga i tržišta kapitala, zdravstva, pristupa i distribuciji vode te digitalnoj infrastrukturi, osobito točkama internetske razmjene (internet exchange points), davateljima usluga sustava domenskih imena (domain name system service providers), registrarima top level domena itd. U području energetike, odredbe Direktive odnosit će se na davatelje usluga iz područja opskrbe električnom energijom, naftom i prirodnim plinom.
U području transporta Direktiva pokriva zračni, željeznički, vodeni i cestovni promet te prijevoz. U području bankarstva, financijskih usluga i tržišta kapitala odredbe Direktive odnosit će se na rad kreditnih institucija, tržišta kapitala i s njima povezanih regulatornih tijela te službenih registrara.



Razlozi usvajanja NIS Direktive

Tko su davatelji digitalnih usluga i što se od njih očekuje

Prema odredbama Direktive, osim davatelja esencijalnih usluga posebno se reguliraju i obveze davatelja digitalnih usluga koji također trebaju poduzeti adekvatne sigurnosne mjere te izvještavati o značajnijim incidentima.
Uz već navedene sigurnosne mjere Direktiva za davatelje digitalnih usluga predviđa i dodatne poput osiguranja informacijskih sustava i objekata u kojima su smješteni, utvrđivanje postupka po otkrivanju sigurnosnog incidenta te aktivnosti usmjerene prema osiguranju nastavka davanja usluge (business continuity management), praćenju, testiranju i reviziji informacijske sigurnosti (auditing) te primjenu odgovarajućih međunarodnih standarda informacijske sigurnosti. Odredbe Direktive odnose se na regulaciju online dućana i tržišta koja omogućuju poduzetnicima otvaranje vlastitih dućana kako bi svoje proizvode učinili dostupnima na zajedničkom tržištu, zatim usluga računalstva u oblaku te regulaciju tražilica (search engines). Prema Preporuci EK 2003/361/EC od toga su izuzeta mikro i mala poduzeća.
 Kroz aktivnosti planirane Direktivom Unija će investirati gotovo pola milijarde eura u istraživačke i inovacijske programe dok će kompanije aktivne na tržištu proizvoda i usluga informacijske sigurnosti u istom razdoblju (do 2020. godine) investirati još tri puta toliko.
Direktiva i drugi propisi reafirmiraju politike osiguranja standardnih ciljeva informacijske sigurnosti i za stručnjake iz područja informacijske sigurnosti nisu osobita novost. Koncepti predloženi Direktivom vuku porijeklo iz industrijskih standarda kao što je ISO 27000 obitelj standarda ili PCI DSS. Ipak, kao prvi europski zakon koji regulira obveze osiguranja informacijske sigurnosti NIS Direktiva je značajni iskorak. Postojeća regulativa i institucijska infrastruktura nisu dovoljne za osiguranje visoke razine sigurnosti mrežnih i informacijskih sustava unutar Unije. Države članice nisu podjednako pripravne i otporne na sigurnosne incidente pa potrošači i poduzeća nisu jednako zaštićeni što narušava ukupnu razinu sigurnosti mrežnih i informacijskih sustava na zajedničkom tržištu. Komisija je prepoznala da nema zajedničkih zahtjeva za operatore ključnih usluga i pružatelje digitalnih usluga što otežava suradnju na razini Unije.
Za djelotvoran odgovor na izazove u pogledu sigurnosti mrežnih i informacijskih sustava potreban je jedinstveni pristup koji treba obuhvatiti zajedničke minimalne zahtjeve za izgradnju kapaciteta i planiranje, razmjenu informacija, suradnju te zajedničke sigurnosne zahtjeve za operatore ključnih usluga i pružatelje digitalnih usluga.