Prenosivost podataka često se opisuje kao jedan od načina za poboljšanje tržišnog natjecanja koji će koristiti i tvrtkama i osobama. No nepristranija izvješća upozoravaju na potencijalne negativne učinke za male tvrtke. Pogledajmo o čemu se radi.
Što je prenosivost podataka?
Prenosivost podataka novo je pravo ispitanika, a shodno tome i obaveza voditelja obrade koji će na zahtjev ispitaniku morati pružiti primjerak svih njihovih podataka u standardiziranom, interoperabilnom formatu.
Ta je obaveza univerzalna i ne odnosi se samo na društvene mreže (koje će najviše i biti pogođene), već i na ostale tvrtke koje prikupljaju osobne podatke, npr. banke, online trgovine, medicinske ustanove, itd.
Ti se podaci mogu automatski prenijeti novom voditelju obrade po izboru ispitanika ili izravno ispitaniku koji će podatke prenijeti sam ako želi. To je u skladu s pravom na pristup podataka opisanom u čl. 15 GDPR-a pa možemo govoriti o međusobnom nadopunjavanju ova dva prava.
Zakonodavcu je na umu bilo stvaranje okruženja u kojem bi ispitanici mogli nesmetano seliti svoje podatke s usluge na uslugu, bez obaveze da nastave koristiti lošiju uslugu samo zato što im se tamo nalaze podaci. Trenutno je situacija takva da se korisnici teško odvažuju na promjenu računa e-pošte, kalendara i sličnih aplikacija zbog podataka koji se tamo nalaze. Cilj prenosivosti podataka jest doskočiti tom problemu.
Sprečavanje monopola
Ideja o prenosivosti podataka osmišljena je s ciljem poboljšavanja konkurentnosti i sprečavanja monopola. Time bi se trebala spriječiti dosadašnja praksa iskorištavanja dominantnog položaja na tržištu, što velike tvrtke itekako iskorištavaju.
U načelu je moguće da se monopoliste natjera na dijeljenje svojih podataka s novopridošlicama na tržištu ako je moguće dokazati da su ti podaci neophodni za poslovanje, ali za sada u sudskoj praksi nema takvih presedana. Inače, granica iznad koje tvrtke podliježu strožem nadzoru zbog dominantnog položaja na tržištu EU-a iznosi 40 %.
Važna pitanja
Problematikom prenosivosti podataka bavi se čl. 20 GDPR-a, no na neke stavke ipak nisu dovoljno jasne. Stoga je Radna skupina iz čl. 29 (WP29) nedavno objavila nove službene smjernice koje odgovaraju na nejasnoće i objašnjavaju moguće nelogičnosti.
Podaci koji su pokriveni
Pravo na prenosivost podataka tiče se podataka koje je ispitanik dao, ali i podataka koji se tiču ispitanika. Anonimni i anonimizirani podaci ne podliježu ovom pravu.
Pobliže gledano, prenosivost podataka koji se tiču ispitanika pomalo je sporna. Takve je podatke, naprimjer, mogao stvoriti netko drugi, pa samim time oni ne pripadaju ispitaniku koji zahtijeva prenosivost. Uzmimo povijest poslanih poruka na društvenim mrežama – one sadrže djeliće podataka od raznih osoba.
Što trebam učiniti?
Radna skupina preporučuje da zauzmete nešto širi stav oko interpretacije pojma ‘podataka koji se tiču ispitanika’. Drugim riječima, podaci drugih osoba koji se tiču tog pojedinca smiju se prenositi. Ipak, podatke ne biste trebali obrađivati na način koji bi negativno utjecao na slobode i prava tih trećih osoba.
Koji se podaci smatraju danima od strane ispitanika?
Osim podataka koje ispitanici izravno unesu, tu spadaju i podaci nastali praćenjem njihovih aktivnosti. To su, među ostalim, zapisi o korištenju, povijest pretraživanja te podaci sa senzore (pametni satovi i narukvice).
Dakle, podaci koji nastanu praćenjem aktivnosti korisnika uključeni su u pravo na prenosivost, ali podaci nastali od naknadne analize (izrada profila, personalizacija) nisu obuhvaćeni ovim pravom.
Trošak za mala i srednja poduzeća
Pravo na prenosivost podataka moglo bi negativno utjecati na mala i srednja poduzeća, koja će morati uložiti u nove platforme za automatizirano rješavanje zahtjeva za prenosivošću. Ili to, ili će ih rješavati ručno, što opet košta – ali za sada nisu poznati točni iznosi.
Glavni problem leži u proporcionalnosti troškova koji su vjerojatno velikim djelom fiksni, što znači da za manje tvrtke to predstavlja veći relativni izdatak nego što je to slučaj kod velikih igrača.
Novi će propisi za prenosivost otežati poslovanje manjim tvrtkama.
Intelektualno vlasništvo
Smjernice Radne skupine nalažu da se intelektualno vlasništvo ne može smatrati valjanim razlogom za uskraćivanje prenosivosti podataka. Umjesto toga preporučuje se da se podaci prenose na način koji neće ‘otkriti poslovne tajne ili naštetiti intelektualnom vlasništvu’.
To bi nekim tvrtkama moglo posebno teško pasti, pa bi mogle prestati prikupljati osobne podatke iz straha da konkurenciji ne olakšaju posao. Za primjer se navodi britanska tvrtka True Fit, koja prikuplja mjere osoba i onda ih prodaje online trgovcima kako bi se smanjila stopa povrata i povećalo zadovoljstvo kupaca. Kad bi morali dijeliti svoje podatke, čitav poslovni model bi im pao u vodu.
Pokrivenost
Pravo na prenosivost podataka pripada samo fizičkim osobama. Tvrtke nisu pokrivene odredbom, što stvara poteškoće u interpretaciji, jer pitanje je u kojoj će to mjeri negativno utjecati na obrte, slobodna zanimanja i sl. O tome će najvjerojatnije odlučiti sudovi u državama članicama kad do spora dođe. Razlog nedefiniranosti u GDPR-u vjerojatno treba tražiti u velikim razlikama unutar svake zemlje članice koje se tiču oblika tvrtki i obrta.
Praktični savjeti
Uz prijeporne točke obrađene u odjeljku iznad, smjernice Radne skupine sadrže općenite savjete koje vrijedi navesti:
Vremenski rokovi
Tvrtke imaju mjesec dana da odgovore na zahtjeve za prijenos podataka. Rok se može povećati na tri mjeseca u slučaju složenih zahtjeva, ali to morate javiti ispitaniku unutar mjesec dana. U svakom slučaju morate odgovoriti na zahtjev; čak i ako ga namjeravate odbiti, tu odluku morate dostaviti ispitaniku.
Kompatibilnost
Radna skupina preporučuje da se za prijenos podataka koriste kompatibilni formati poput CSV, JSON ili XML formata, ovisno o vrsti podataka. Zajedno s podacima trebali biste, kadgod je moguće ili potrebno, pružiti i odgovarajuće metapodatke.
Ipak, službenih propisa što se oblika podataka koje prenosite – nema. U GDPR se spominju interoperabilni formati i industrijski standardi, no u doba međusobnog tužakanja više se radi o pustim željama nego o stvarnoj mogućnosti.
Provjera identiteta
Voditelji obrade moraju ustrojiti pouzdani mehanizam kojim bi mogli utvrditi identitet osobe koja je zatražila prijenos podataka. U GDPR-u nema izričitih zahtjeva o tome, ali voditelj obrade ne bi trebao dati podatke osobama za koje sumnja da se lažno predstavljaju i ima pravo tražiti dodatne podatke.
U većini će slučajeva korisnička imena i lozinke koje se koriste za autentifikaciju na mrežni servis biti dovoljne, dok god se zahtjevi postavljaju kad je korisnik prijavljen. U drugim situacijama možete zahtijevati presliku osobne iskaznice, putovnice i sl. Međutim, te preslike ne smijete koristiti u druge svrhe.
Prekomjerni zahtjevi
Prema službenim smjernicama, na voditelju obrade jest da dokaže neosnovanost ili prekomjernost zahtjeva. Nakon toga kao voditelj smijete naplaćivati naknadu koja pokriva stvarne troškove ispunjenja zahtjeva.
No Radna skupina također drži da se naknade smiju naplaćivati samo u krajnjoj nuždi te da je prije toga uputno pokušati osigurati besplatne načine za dolazak do podataka koje vas neće administrativno iscrpiti – kao, na primjer, automatiziran pristup pomoću API-ja i sl., pa opetovani zahtjevi neće predstavljati problem.
Pojednostavljivanje podataka
Osoba koja primi podatke mora biti u mogućnosti razumjeti strukturu i shemu podataka. Zbog toga je dobro navesti kazalo ili kratki pregled koji će korisnicima olakšati snalaženje i razumijevanje podataka.
Sigurnost podataka
Ne treba napominjati da voditelj obrade mora zaštititi podatke tijekom pripreme i prijenosa. Zaštita lozinkama ili dodatna autentifikacija u tome mogu pomoći.
Pri tome možete iskoristiti priliku i korisnicima pružiti informacije o važnosti zaštite podataka u njihovom posjedu, ako ih namjeravaju držati kod sebe na računalu. Iako se radi o obavezi ispitanika samih, možda ne znaju dovoljno o tome.
Zaključak
Prenosivost podataka potencijalno je korisno načelo, no i dalje postoje određene poteškoće za koje se nadamo da će se riješiti prije nego što se počne s primjenom.
Problematika nerazmjernih troškova za male tvrtke najozbiljnija je poteškoća koja bi u praksi mogla stvarati probleme. Male i srednje tvrtke uglavnom nemaju dovoljno znanja o zaštiti podataka, a budžeti za IT su im prilično mali. Unatoč tome, od njih se očekuje jednaka razina prenosivosti kao i veće tvrtke. To je dobro iz perspektive korisnika, ali moglo bi biti pogubno za sve osim velikih igrača. Možda u budućnosti budemo svjedočili određenim olakšicama.
Nadalje, i dalje ne postoje stvarna jamstva da će se podaci prenositi u interoperabilnom, zajedničkom formatu. No tvrtke će se trebati potruditi to ostvari, a naravno ako nije obavezno, malo tko će zaista to i učiniti.
Kako stvari stoje, sve tvrtke koje prikupljaju osobne podatke moraju uspostaviti mehanizam prijenosa podataka do 25. svibnja 2018., i to bez iznimki. Zato se bacite na posao!
Cjeloviti dokument smjernica Radne skupine možete preuzeti ovdje.
