U prošlim vremenima podaci bi uglavnom putovali ‘usmenom predajom’. Eventualno bi u novinama osvanuo kratki članak, ali bi na kraju većina incidenata pala u zaborav. Danas slike s izlaska ili ostale neugodne vijesti lako mogu obići svijet zahvaljujući ‘blagodatima’ interneta.
Taj vrlo efikasan način prijenosa podataka može za posljedicu imati to da manji prekršaji ili društveni prijestupi godinama ostanu pod povećalom prijatelja, poslodavaca i šire javnosti. To po kvalitetu na život oštećene osobe može imati katastrofalan učinak.
Zakonodavac je predvidio tu situaciju i osmislio nekoliko mjera koje bi pojedince mogle zaštititi od takvog, nazovimo to tako, javnog sramoćenja. Jedna od tih mjera je i pravo na brisanje osobnih podataka, tj. pravo na zaborav.
O pravu na zaborav
Pravo na zaborav nije novotarija koju unosi GDPR. Ono je već do neke mjere ugrađeno u pravo EU-a, ali zanimljivo, postoji i u argentinskom pravu. Premda su sami zakonski propisi još relativno mladi, oni su plod stoljetnih ideja i prakse u pravnom sustavu, naime uvjerenja da se zapisi o prekršajima, a čak i nekim kaznenim djelima, nakon nekog roka trebaju brisati kako bi se osobama omogućio ‘novi početak’. U praksi, nakon proteka određenog razdoblja, ovisno o prekršaju, zapisi o prethodnom kažnjavanju više neće biti dostupni poslodavcima, osiguravateljima i javnosti i ne smiju se uzimati u obzir. Time se u suštini osigurava da se osobe zbog jedne pogreške ne osudi ‘za cijeli život’ – što se na Internetu zaista i može dogoditi na najgori mogući način.
Prava pojedinaca na upravljanje vlastitim podacima postala su relevantna tek u posljednjih dvadesetak godina, no nasreću na ovom polju zakonodavac se brzo snašao i sukladno tome ažurirao propise. Štoviše, pravo na raspolaganje osobnim podacima smatra se jednim od osnovnih ljudskih prava zahvaljujući sudskim odlukama.
Slučaj Costeja (C-131/12)
Pravo na zaborav ne smatra se ljudskim pravom zbog srcedrapajućih izjava premijera država članica ili glavešina EU-a, već je proizvod čvrste sudske prakse.
Najznačajniji slučaj koji je potvrdio pravo na zaborav vodio se pri Sudu Europske unije između španjolske podružnice Googlea protiv španjolskog nadzornog tijela AEPD-a i Maria Costeje Gonzaleza. U pozadini je slučaja ovrha nad nekretninama zbog dugovanja prema državi. To je bilo i medijski popraćeno u novinama, i to davne 1998 godine. Gospodin Costeja bio je jedan od onih čije su nekretnine ovršene, a googlanjem svoga imena 2009. godine naišao je na sporni novinski članak.
Zamolio je Google da te podatke ukloni zbog manjka relevantnosti jer je od tog događaja prošlo više od deset godina. Nakon toga je i uputio žalbu AEPD-u u kojoj je tražio uklanjanje članka i od Googlea i od novina. Agencija je naredila Googleu da ukloni poveznicu, ali iz Googlea to nisu htjeli napraviti. Novine nisu morale ukloniti sadržaj.
Google je smatrao da se tvrtku ne primjenjuje Direktiva 95/46/EZ jer ne obrađuje podatke, a k tome i da g. Costeja nema pravo brisanja tih podatka jer ih je izvor u ovome obradio na zakonit način.
Sud je utvrdio i da tražilice također obrađuju podatke u smislu zakona te da se Direktiva primjenjuje i na Google jer posluje u EU državama preko podružnice u Španjolskoj, što je i danas relevantno zbog GDPR-a. Sud je nadalje odlučio da podaci „koji se pokažu neprikladnima, kad nisu relevantni odnosno nisu više relevantni ili kad su pretjerani u odnosu na te svrhe i vrijeme koje je proteklo“ mogu postati nezakoniti za obradu čak i ako su isprva obrađeni na zakonit način. Tako se i rezultati pretraživanja moraju ukloniti na zahtjev ako zadovoljavaju prethodne uvjete.
To se pravo, doduše, nigdje dosad nije izričito navodilo, no izvodi se iz Povelje Europske unije o temeljnim pravima i Direktive 95/46/EZ.
GDPR: Ima li što novoga?
Pravo na zaborav definira se u čl. 12 Direktive 95/46/EZ, no u GDPR-u se izričito kodificira. Ono se primjenjuje i na tvrtke sa sjedištem izvan EU-a dok god nude svoje usluge klijentima unutar EU-a, tj. ako imaju poslovni nastan u EU-u.
GDPR ide korak dalje kako bi se osiguralo da teret dokazivanja zadržavanja podataka ostane na voditelju obrade, a ne pojedincu. Voditelj obrade mora dokazati da mu je neophodno zadržati podatke, u suprotnom ih mora obrisati.
Voditelji obrade koji su nečije osobne podatke učinili javno dostupnima moraju obavijestiti sve treće strane kojima su objavile podatke o zahtjevu za njihovim uklanjanjem, osim ako bi to uključivalo nesrazmjeran trud.
Pojedinci imaju pravo tražiti brisanje podataka kad njihovo zadržavanje više nije bitno za ispunjenje svrhe radi koje su prikupljeni. Privolu mogu povući u bilo kojem trenutku, kao i uložiti prigovor na obradu. U slučaju nezakonite obrade podaci se odmah moraju obrisati.
Kazne do 10 milijuna eura ili 2 % ukupnog godišnjeg prihoda na svjetskoj razini za prethodnu godinu, štogod je veće, može se izreći tvrtkama i organizacijama koje krše te odredbe.
Ograničenja brisanja
Pravo na zaborav nije neograničeno. Svi zahtjevi, kao onaj iz sudskog postupka, podliježu zasebnoj analizi. Na odjelu za privatnost tvrtke je da uz službenika za zaštitu podataka utvrdi smatra li zahtjeve opravdanima.
Pravo na zaborav široko je, ali ne i neograničeno.
Tvrtke mogu odbiti uvažiti zahtjev u sljedećim slučajevima:
- Ako smatraju da bi to prekršilo pravo na slobodu izričaja i informiranja
- Kad se moraju pridržavati sudskih zahtjeva
- U slučaju da je zadržavanje podataka neophodno za javno zdravstvo ili je u interesu javnosti
- Za korištenje podataka u znanstvene, povijesno-istraživačke i statističke svrhe.
To se razumno objašnjenje može ogledati i u sudskoj praksi. Naime, španjolsko nadzorno tijelo ipak nije od samih novina tražilo da uklone sadržaj, već samo da Google ne omogućuje lak pronalazak istoga. Na kraju krajeva, članci jesu istiniti i njihovo uklanjanje imalo bi negativan utjecaj na slobodu medija.
No uklanjanjem rezultata pretraživanja ti podaci neće više biti dostupni slučajnim namjernicima. To je u skladu s preporukama Europske komisije koja naglašava važnost određivanja balansa između osobnih sloboda i prava na slobodu izražavanja.
Praktična pitanja
Najjednostavniji način nošenja sa zahtjevima za brisanje bio bi uvažiti svaki zahtjev i ukloniti tražene podatke. Međutim, to nije uvijek ni praktično ni razumno. Potreban vam je službenik za zaštitu podataka kako biste odredili što činiti.
Prilikom utvrđivanja osnovanosti zahtjeva valja uzeti u obzir točnost, adekvatnost i relevantnost podataka. Imajte na umu da se relevantnost podataka smanjuje kako vrijeme odmiče. U svakom slučaju, GDPR ionako zabranjuje pohranu podataka dulje nego je to potrebno za trenutnu obradu, osim ako slučaj spada pod točke opisane u prethodnom odjeljku.
Iz službene komunikacije EU-a da se iščitati da javne osobe imaju manji opseg prava na zaborav jer je u većem interesu javnosti da ima pristup podacima koji se tiču njih (dok god su točni).
Istek podataka
Tvrtke bi također trebale usvojiti politike automatskog isteka podataka. Bez previše ljudske intervencije podaci koji se duže vrijeme ne koriste mogu se automatski brisati, čime se smanjuje rizik od povreda podataka. Ne zaboravite obrisati i podatke na odbačenim medijima za pohranu, jer bi se u suprotnom mogli opet pojaviti. Također, bitan je i nadzor pristupa. Zaposlenici često znaju gubiti podatke – jedna nenamjerna fotografija ili snimka slučajno snimljena u krivo vrijeme može vam zadati ogromne glavobolje. Razmislite o enkripciji i pseudonimizaciji, jer GDPR takve podatke tretira drugačije od običnih, tj. nisu potrebne velike mjere sigurnosti.
Očekujemo daljnje smjernice u vidu implementirajućih akata koji će pobliže pojasniti značaj prava na zaborav, a trebali bi se pozabaviti i tehničkim izazovima s kojima će se tvrtke susresti.
Tražilice pod povećalom
Ovi propisi najviše će pogoditi upravo tražilice, jer one obrađuju goleme količine podataka i olakšavaju pristup podacima koji bi pojedincima mogli naštetiti. Ipak, naglašavamo da se sve tvrtke koje pohranjuju velike količine osobnih podataka trebaju pripremiti.
U većini slučajeva, brisanje javno dostupnih poveznica na podatke bit će dovoljno da zadovolji zakonske propise vezane uz pravo na zaborav. Malo je vjerojatno da će se u slučajevima nalik onome gosp. Costeje zahtijevati potpuno brisanje podataka, osobito ako su točni. Čak i kad bi se to zahtijevalo, teško je provedivo jer je potrebno pronaći i uništiti sve kopije podataka.
No to vrijedi za otvorene sustave kao što je Internet. Za unutarnje sustave poput onih u tvrtkama, gdje podaci nisu dostupni javnosti i pohranjeni su prema politikama tvrtki, vrijede druga pravila. Takvi se podaci moraju moći u potpunosti obrisati ako to korisnik zahtijeva.
Najjeftiniji način da se to implementira već se primjenjuje u praksi u obliku kontrolne ploče gdje korisnik sam može izravno pristupiti podacima koje je podijelio s tvrtkom. To povećava povjerenje u tvrtku, smanjuje administrativni teret i omogućuje transparentnost i ispravno kategoriziranje podataka, čime su oni lako dostupni u svakom trenutku. Napominjemo da se podaci djece moraju osobito točno kategorizirati i dobro zaštititi.
Uklanjanje u cijelom svijetu
Velik broj IT tvrtki djeluje globalno i svoje usluge nudi korisnicima diljem svijeta. To je razumljivo jer na internetu ne postoje fizičke prepreke. No to je izvor dodatnih komplikacija: Europska unija propisuje da je pravo na zaborav osnovno ljudsko pravo. Što onda s državama koje ne dijele isto mišljenje?
Odgovor je jednostavan – tražilice, kao što je Google, nisu obavezne ukloniti rezultate pretraživanja za korisnike iz trećih zemalja. To u suštini znači da samo korisnici iz EU-a vide cenzurirane rezultate, a i to se lako može izbjeći korištenjem proxyja.
Francuska u zadnje vrijeme sve agresivnije prisiljava Google na ‘cenzuru’ rezultata diljem svijeta. Na Sudu EU-a je da donese odluku. Google je izričito protiv primjene prava na zaborav izvan granica EU-a. Njihov je stav da, ako kapituliraju protiv EU-a, i ostale zemlje mogu tražiti isto. Naprimjer, ništa ne bi priječilo Tajland da traži uklanjanje poveznica na sadržaj koji vrijeđa tajlandsku kraljevsku obitelj, što se tamo inače smatra kaznenim djelom. Zamislite da ne možete pristupiti satiričkom sadržaju o tome (uzmimo da vas zanima tajlandska kraljevska obitelj) jer se to u državi na drugom kraju svijeta kažnjava!?
Google trenutno plaća kaznu za svaki dan nepoštivanja odluke protiv koje se bori. Bit će to teška borba jer je nedavno kanadski sud potvrdio pravo naređivanja Googleu da ukloni poveznice za korisnike diljem svijeta.
Zaključak
Pojedincima će se GDPR svidjeti jer nudi jasniji okvir koji donosi razmjerno mnogo prava. Ipak, najbolji način za zaštitu podataka jest smanjiti količinu podataka koja se dijeli i pohranjuje gdje god je to moguće, a tu ulogu imaju i pojedinci i tvrtke. Ta strategija zauzima vrlo bitno mjesto u GDPR-u, no pitanje je u kojoj će mjeri zaživjeti u doba izrade profila i prikupljanja podataka.
Razumije se da je ove promjene teško implementirati. Što se GDPR-a tiče, tvrtke će snositi rizik od većih kazni, i to je neosporno. Ključno se početi prilagođavati što je prije moguće, jer GDPR stupa na snagu 25. svibnja 2018. Ako vam se postupak usklađivanja čini previše složen, konzultanti i savjetnici mogu vam pomoći odabrati što jednostavniji i praktičniji plan za prilagodbu.
