c S
U središtu

Elektronička privatnost

28.05.2020 Europska komisija je 10. siječnja 2017. godine objavila prijedlog nove Uredbe o elektroničkoj privatnosti. Uredba je trebala zamijeniti dosadašnju Direktivu o elektroničkoj privatnosti 2002/58. Nakon skoro dvije godine pregovora i dalje nemamo novu Uredbu te u ovom trenutku nije jasno kako i kada će se regulirati elektronička privatnost. Europska unija će tijekom 2020., pod hrvatskim predsjedanjem, morati dati novi prijedlog uredbe.

Elektronička privatnost i zaštita podataka

Kada se govori o elektroničkoj privatnosti mnogi se zapravo pitaju koja je razlika između regulacije elektroničke privatnosti i Opće uredbe o zaštiti podataka (GDPR). Ono što je bitno razjasniti je da je regulativa o elektroničkoj privatnosti tzv. lex specialis, što znači da regulira jedno posebno područje. Tako je npr., u pogledu obrada podataka o radnicima, Zakon o radu poseban zakon u odnosu na GDPR. GDPR zapravo u svom tekstu ne sadrži termin privatnost, već se bazira na zaštiti osobnih podataka te nam nakon čitanja GDPR-a neće biti jasno što je sve dozvoljeno prikupljati u vezi s osobnim podacima, već ćemo kao odgovor na takva pitanja morati pročitati posebne zakone, primijeniti određena načela ili napraviti analize i procjene.

U području elektroničke privatnosti, poseban zakon je hrvatski Zakon o elektroničkim komunikacijama te svaka država članica Europske unije ima svoj zakon koji regulira to područje. Za diskusiju o elektroničkoj privatnosti nije bitno je li se radi o osobnim podacima ili ne, već je bitno razjasniti što zakoni o elektroničkim komunikacijama reguliraju. A radi se o jako značajnim podacima za poslovanje, kao što su: lokacijski podaci, prometni podaci, metapodaci, beacon-i, fingerprint-ovi, komuniciranje preko elektroničke pošte, sms-a, poziva te podaci prikupljeni kolačićima. Kada uzmemo u obzir trendove u tehnologiji koji se vrte oko interneta stvari, umjetne inteligencije, velikih podataka, blockchainu-u te profiliranju potrošača, jasno je zašto rasprava o novoj uredbi žestoka i traje godinama.

Opća uredba o zaštiti podataka

Iako su rasprave o novim tehnologijama jako zanimljive i aktualne, članci koji reguliraju takve tehnologije nisu nimalo popularni. GDPR je također godinama bio predmet rasprave i lobiranja te iako je stupio na snagu 2016. godine i dalje možemo primijetiti da odredbe nisu sasvim jasne te dosadašnje statistike pokazuje da je usklađivanje s GDPR-om za kompanije i državna tijela kompliciranije i složenije nego što se to prvotno mislilo.

Tekst GDPR-a je kompromis dugogodišnje rasprave te kao generalni pravni akt propisuje načela, mjere i upravne novčane kazne. Ono što je kod GDPR-a revolucionarno jest da nikad dosad u povijesti nismo imali jedan takav pravni akt koji regulira zaštitu osobnih podataka, kao temeljnog ljudskog prava, na razini da se propisuje milijunske kazne te daju veće ovlasti nadzornim tijelima.

Rasprava o ljudskim pravima obično je završavala na Europskom sudu za ljudska prava te nije bila toliko aktualna za medije i regulatore. Europska unija u zaštiti osobnih podataka predvodi, međutim sam GDPR je produkt dugogodišnje sudske prakse Europskog suda za ljudska prava, Europskog suda pravde te zakona, smjernica i načela koja su u praksi bila već usvojena.  Tako je primjerice, načelo tehničke i integrirane zaštite podataka (data protection by design/by default) najprije objašnjeno u Kanadi kao pojam privacy by design. Pojam procjene učinka na zaštitu podataka je također pojam koji smo mogli vidjeti u raznim analizama tehnoloških kompanija te su takvi dokumenti i javno objavljeni. Iako je GDPR u posljednje 2 godine proglašen glavnim krivcem za kočenje tehnološkog napretka Europske unije, priča je puno složenija od jednostavnog rješenja da ukinemo GDPR. Kao što je ranije objašnjeno, GDPR je generalan pravni tekst koji ne specificira obradu osobnih podataka, već je određene rokove i obveze obrade osobnih podataka potrebno naći u svim hrvatskim zakonima koji se odnose na određeno poslovanje. Samim ukidanjem GDPR-a ne bismo ništa postigli, jer bismo i dalje imali na snazi sve hrvatske zakone i podzakonske propise, a i prije samog GDPR-a smo imali Zakon o zaštiti osobnih podataka. Demokratski sustavi počivaju na zaštiti temeljnih ljudskih prava te su stoga temeljna ljudska prava propisana nizom zakona. Pravo na privatnost je zajamčeno hrvatskim Ustavom, a temeljna ljudska prava na privatnost i zaštitu osobnih podataka su zajamčena i tzv. EU Ustavom (Povelja EU o temeljnim pravima).

Digitalni program

Temeljna ljudska prava često ljudi poimaju kao nešto apstraktno i nezaštićeno jer su, kao što sama riječ kaže, temeljna. Temeljno ljudsko pravo u EU sustavu se razlikuje od apsolutnog prava, kao što je pravo na život, jer se balansira s drugim temeljnim pravima. Zato pravni tekstovi koji reguliraju temeljna ljudska prava mogu zvučati nedorečeno i nejasno. Cilj zaštite temeljnog ljudskog prava nije apsolutno, pod bilo kojim uvjetom zaštititi, već je cilj propisati određena načela, postići balans i uzimati temeljna ljudska prava u obzir. Tako, npr. u slučaju zaštite osobnih podataka u balans se mora staviti pravo pojedinca na zaštitu osobnih podataka, potrebu za tehnološkim napretkom, nacionalnu sigurnost i kontekst digitalne ekonomije u kojem živimo.

Primjerice, tehnologija kao što je enkripcija mora biti predmet kaznenih zakona, zaštite pojedinca, a ujedno se mora omogućiti policiji i sudstvu istražiti te procesuirati kaznena djela. Iako živimo u digitalnom društvu i razna tehnološka rješenja su nam dostupnija nego ikad, čini se da nam riješavanje pravnih pitanja još uvijek kaska. Kako bi se ovakva pravna pitanja riješila na način da se kompanijama olakšaju pravne muke, Europska unija je odlučila provesti digitalnu strategiju na način da se područja digitalnog poslovanja urede jedinstveno na cijelom području Europske unije kroz uredbe i time bi se postiglo da nemamo preko 20 različitih zakona koji poduzetnici moraju poštovati. Tako su dosad kroz uredbe riješena područja zaštite osobnih podataka te elektroničke identifikacije i uslugama povjerenja za elektroničke transakcije.

Regulacija kolačića

Dok pričamo o brzom razvoju strojnog učenja, umjetne inteligencije, 5G mreži i tehnologijama koje se temelje na blockchain-u, izgleda da nismo još ni približno riješili regulaciju kolačića. Ova jednostavna tehnologija, izumljena devedesetih godina, pravnicima i poduzetnicima nije nešto što je lako shvatljivo. Tako smo najprije u Direktivi o elektroničkim komunikacijama imali tzv. opciju opt-out, što znači da kada bismo pretraživali internet, vidjeli bismo obavijest da određena stranica koristi kolačiće i ako želimo možemo ih sami odbiti ili izbrisati.

2011. godine priča se znatno promijenila te je u EU direktivu i hrvatski Zakon o elektroničkim komunikacijama uveden tzv. opt-in režim, značajna promjena da je potrebno tražiti privolu za sve kolačiće koji nisu nužni. Nužni kolačići su npr. oni koji su nužni za funkcioniranje internetske trgovine, međutim svako nadzorno tijelo unutar Europske unije ima svoje mišljenje o tome što je zapravo nužno za funkcioniranje stranice i pružanje usluge. U Hrvatskoj je uzbunu digao GDPR te je protumačeno da se zbog GDPR-a traži privola za kolačiće. Međutim, kao što je ranije objašnjeno, GDPR ne regulira pojedine tehnologije te ne propisuje privolu, već nudi šest pravnih temelja na kojima je dozvoljeno obrađivati osobne podatke te propisuje što je točno privola, a kao poseban zakon potrebno je primijeniti Zakon o elektroničkim komunikacijama.

U Hrvatskoj je nadzorno tijelo za nadzor primjene kolačića HAKOM koji je tek nedavno objavio prvo rješenje pod prijetnjom novčane kazne za korištenje kolačića bez privole. Sudska praksa nije poznata te zasad vlasnici internetskih stranica uglavnom protuzakonito stavljaju kolačiće i nadaju se da ih nitko neće sankcionirati.  Za Europsku uniju je nužan jedinstveni pravni tekst o kolačićima jer svaka država tumači tehnologiju na svoj način, a potrošači su zbunjeni oko toga što je kolačić i ilegalne obavijesti o kolačićima se svakodnevno postavljaju na internetskim stranicama. Prijedlog nove uredbe o elektroničkoj privatnosti je bio da se odustane od režima privole te da u postavkama uređaja korisnik sam odabire preferencije u vezi s kolačićima.

Marketinške aktivnosti

GDPR također nije razlog zbog kojeg su potrošači u 5. mjesecu 2018. godine dobivali niz poruka elektroničke pošte u kojima se pozivaju dati privolu. Zakon o elektroničkim komunikacijama također regulira neželjene elektroničke komunikacije i propisuje kada je potreba privola za slanje poruka i poziva u svrhu izravnog marketinga.

Kada se osvrnemo na to kako digitalna ekonomija funkcionira i na koji način se raznim tehnologijama komunicira s potrošačima, lako možemo shvatiti zašto je nova uredba o elektroničkoj privatnosti predmet mnogih lobiranja. Današnje marketinške strategije se baziraju na kolačićima, slanjima poruka elektroničke pošte, praćenju digitalnih tragova i profiliranju potrošača. Takve strategije donose profit dok se tradicionalne strategije i djelatnosti smatraju gubitašima. Na marketingu se temelji prodaja, od prodaje kompanije opstaju, stoga nitko nije ravnodušan prema tome kako će se ova područja regulirati. Nova regulacija će direktno utjecati na prihode poduzetnika koji se temelje na elektroničkim komunikacijama.

Hoće li Hrvatska odigrati ključnu odluku?

Iako su GDPR i nova uredba o elektroničkoj privatnosti trebale stupiti na snagu u približno isto vrijeme, konačan tekst uredbe o elektroničkoj privatnosti se još ne nazire. Krajem 2019. objavljeno je da prijedlog teksta uredbe nije prošao te je sad na Europskoj uniji da u 2020. godini pod predsjedanjem Hrvatske smisli novo rješenje koje će prihvatiti svi akteri.

U veljači 2020. godine, Europska unija je pod predsjedanjem Hrvatske predložila novi tekst Uredbe o elektroničkoj privatnosti. Prijedlog Uredbe je kritiziran zbog izmjena u članku 8. i 9. koje se tiču legitimnog interesa. Zbog navedenih izmjena legitimni interes bi mogao biti osnova za obradu metapodataka (podaci o podacima) te za pohranu na terminalnu opremu korisnika. Propisane su i situacije kada legitimni interes ne bi bio pravna osnova, primjerice za obradu posebnih kategorija podataka, za obrade podataka o djeci te za profiliranja.

Holistički pristup regulativi

Ono što je u ovom trenutku jasno da pravo treba nova rješenja i alate da se nosi s novim tehnologijama. Pravni tekstovi više ne mogu biti samo pravni. Digitalna ekonomija i napredak informacijsko-komunikacijske tehnologije zahtijevaju novi pristup i kreativna multidisciplinarna rješenja. Više nije moguće napisati pravni tekst koji će se lako poštovati, današnja tehnologija ne poznaje granice ni jurisdikcije, a podaci, kao nova vrijednost, samo rastu.

Regulaciji je potrebno pristupiti na način da se uzme u obzir svijest potrošača, koristi kod, odnosno tehnologija za samu regulaciju, uz razne tržišne i socijalne norme.

U ovom dinamičnom razdoblju, Europska unija će moći jedinstveno regulirati digitalno tržište ako pravnim temama pristupi na multidisciplinaran način te uspije pronaći toliko željeni kompromis između građana, industrije i politike.

Marija Bošković Batarelo, mag. iur. LL.M.