KAKO INTEGRIRATI PRIVATNOST U TEHNOLOŠKE POSTAVKE SUKLADNO GDPR-u
Privacy by Default dio je Privacy by Design koncepta koji se sastoji od sedam temeljnih načela, razvijenih još u 90-ima. Privacy by Design podrazumijeva privatnost koja unaprijed uzima u obzir sve značajke privatnosti i promiče privatnost, ne samo zbog usklađenosti sa zakonodavstvom i regulatornim okvirom, već kao uobičajeni način poslovanja.[1] Tijekom posljednjih deset godina, Privacy by Design je široko prihvaćen diljem svijeta, a nedavno je uveden u Opću uredbu o zaštiti podataka (Uredba EU 2016/679, u daljnjem tekstu: GDPR) kao integrirana zaštita podataka (u daljnjem tekstu: data protection by design) i tehnička zaštita podataka (u daljnjem tekstu: data protection by default).
REGULACIJA PUTEM TEHNOLOGIJE
Budući da je Direktiva 95/46/EZ pokazala da pravo ne može uspješno pratiti brza tehnološka kretanja i promjene na globalnom digitalnom tržištu, implementirana su GDPR pravila u vezi s data protection by design/by default kao način reguliranja ponašanja putem tehnologije. Informatički kod je sustav pravila koji se koristi u informacijskim i komunikacijskim tehnologijama (u daljnjem tekstu: ICT) za pretvaranje informacija, a koji može poslužiti kao jedan od oblika regulacije putem tehnologije. Postavljanjem obveze da se privatnost integrira u ICT postavke i projekte, regulacija putem same tehnologije bi mogla omogućiti učinkovitije ostvarivanje prava ispitanika (fizičke osobe koju možemo izravno ili neizravno identificirati). Regulacija putem tehnologije se može promijeniti, bilo zbog toga što se razvija na drugačiji način ili zbog toga što određeni zakoni i tržišna kretanja vode u određenom pravcu. Na nacionalnim je zakonima odgovornost pronaći ravnotežu između privatnosti ispitanika s jedne strane te javnog sektora i gospodarskih interesa s druge strane. Postoji mogućnost razvoja kompetitivnosti između različitih dionika (ispitanici, poduzetnici, tijela javne vlasti) te autori informatičkih kodova mogu razviti kod koji zamjenjuje zakon, dok autori zakona mogu odgovoriti zakonom koji zamjenjuje kod.[2]
DATA PROTECTION BY DEFAULT PREMA GDPR-u
Osiguravanje privatnosti kroz zadane postavke nastoji zaštiti prava ispitanika i pružiti maksimalni stupanj zaštite osobnih podataka u bilo kojem ICT sustavu. Dakle, od strane pojedinca nije potrebno nikakvo poduzimanje radnji vezano za zaštitu privatnosti – privatnost je ugrađena u sustav prema zadanim postavkama.[3] GDPR u članku 25. stavak 2. propisuje: “Voditelj obrade provodi odgovarajuće tehničke i organizacijske mjere kojima se osigurava da integriranim načinom budu obrađeni samo osobni podaci koji su nužni za svaku posebnu svrhu obrade. Ta se obveza primjenjuje na količinu prikupljenih osobnih podataka, opseg njihove obrade, razdoblje pohrane i njihovu dostupnost. Točnije, takvim se mjerama osigurava da osobni podaci nisu automatski, bez intervencije pojedinca, dostupni neograničenom broju pojedinca.”
Takva opća odredba može otvoriti puno pitanja i možemo očekivati mnoge rasprave i tumačenja u narednih nekoliko godina. Očito pitanje koje se pojavljuje nakon čitanja ove odredbe jest mogu li se podaci prikupljati bez privole sukladno zadanim postavkama ili je li voditelji obrade mogu odlučiti o opsegu osobnih podataka koje je potrebno prikupiti prema zadanim postavkama za svaku konkretnu svrhu obrade? To je pitanje posebno zanimljivo s obzirom na pametne telefone, u čijem slučaju postoje mnoge aplikacije koje prikupljaju razne osobne podatke, a neki osobni podaci su neophodni za samo funkcioniranje aplikacije (na primjer, lokacija).
ZAVRŠNE NAPOMENE
Data protection by default predstavlja značajnu odgovornost za voditelje obrade i programere ICT platformi. U skladu s tim načelom, sve ICT-e projekte i proizvode treba razvijati i provoditi s mehanizmima data protection by default, na način da se definira minimum osobnih podataka koje je potrebno obraditi. Tehnologija bi trebala omogućiti davanje privole te ispitanik mora dobrovoljno pristati na obradu osobnih podataka van minimuma obrade osobnih podataka. Zakon određuje ograničenja i osnove za obradu podataka, a ugovori će odrediti točan opseg zadanih postavki. Međutim, u ovom trenutku nemamo jasne zakonske smjernice i mnoga ICT rješenja obično imaju samo opće uvjete korištenja i licence.
Ono što se može preporučiti kao dobru praksu jest da se ICT razvija u mehanizam koji, po početnim postavkama, omogućuje samo minimalno prikupljanje osobnih podataka zajedno sa ograničenim vremenom pohrane i definiranim krugom osoba ovlaštenih za pristup podacima. Samo uz suglasnost ispitanika, postavke bi se mogle mijenjati, dopuštajući veći opseg obrade osobnih podataka. To bi, na primjer, značilo da bi voditelji obrade u početku izvršavali obradu osobnih podataka neophodnu za izvršavanje ugovora i omogućavanje osnovnih funkcionalnosti aplikacije ili usluge. Također, obrada osobnih podataka koja je propisana zakonom, ili koja se provodi zbog ključnih interesa ispitanika ili je od javnog interesa, može se inicijalno opravdati. Dok bi za obradu osobnih podataka izvan ograničenog opsega, voditelj obrade trebao prikupiti privolu ispitanika te bi takva privola zatim promijenila zadane postavke.
[1] https://www.ipc.on.ca/wp-content/uploads/2013/09/pbd-primer.pdf.
[2] Lawrence Lessig “The Law of the Horse: What Cyberlaw Might Teach”, Research Publication No. 1999-05 12/1999, p. 532.
[3] A. Cavoukian, Ph.D., Comments on the European Commission’s Comprehensive Approach on personal Data Protection in the EU – Public Authority, 13 January 2011, p. 2.