Nakon dosta rada na konsultacijama i razradi predloga EU Data Protection Acta, on se pojavio na nekim web sajtovima pred kraj 2011. godine i potvrdio različite spekulacije, koje su prethodno cirkulisale u javnosti.
Već se sada vidi da ovakav konsolidovani European Data Protection Act, može da podeli i polarizuje ljude u nekoliko grupa:
1. Oni koji su zabrinuti za privatnost stanovnika i žele više ograničenja i strožije sankcije.
2. Oni koji su zabrinuti zbog uticaja i cene koštanja za firme i organizacije i koji žele manje ograničenja i niže sankcije.
3. Oni koji treba da prevedu i sprovedu ovaj zakon i ne žele da on postane još jedan zakon o ljudskim pravima. Oni žele jednostavan i koherentan akt koji može lako da se sprovede "bez stalne magle koju proizvode advokati koji mute vodu." (Napomena: ovo je citat izjave jednog kolege). :)
4. Oni stanovnici - građani koji uglavnom nemaju pojma šta se dešava u njihovo ime i njih je preko 500 miliona.
Ipak, iako će mnogima zadati povelike glavobolje, pogotovu onima nesvesnim problematike privatnosti i osetljivosti curenja ličnih podataka, ovaj zakon ide u dobrom smeru.
Neke od ključnih odredbi
Evo nekoliko značajnih i zanimljivih odredbi ovog zakona:
• Sve firme i organizacije sa preko 250 zaposlenih treba da imaju službenika zaduženog za zaštitu podataka (engl. Data Protection Officer).
• Obavezno obaveštavanje o curenju podataka tj. upadu koji je narušio sigurnost i privatnost i to u roku od 24 sata.
• Kazne koje mogu biti i do 2% od ukupnog godišnjeg obrta (pazite: ne prihoda nego ukupnog globalnog obrta) firme za određene propuste i prekršaje
• Ako se lični podaci tj. Personally Identifiable Information (PII), koji se odnose na stanovnika EU, šalju izvan granica EU, lokalni Data Protection Authority (DPA) mora da bude informisan. U slučaju naše zemlje i da smo u EU, to bi verovatno bio naš blogokolega Šabić tj. institucija Poverenika.
Mnoge odredbe će sigurno biti i dalje predmet analiza i možda sporova, kao što su „pravo da bude zaboravljen (engl. right to be forgotten)" i „svako preduzeće koje ima preko 250 zaposlenih treba da ima službenika zaduženog za zaštitu podataka (engl. Data Protection Officer)".
Lični podaci (Personally Identifiable Information, PII) će najverovatnije uključivati i:
• Lične podatke kao što su datumi rođenja, lični brojevi, podaci o adresama i slično već poznato
• Podatke o bankovnim računima i detalje vezane za njih
• Podatke o kreditnim karticama i vlasnicima
• IP adrese
Firme će morati da se pobrinu da:
• Imaju tj. poštuju i slede „Privacy / Data Protection by Design" što znači da, u vreme projektovanja i izgradnje tj. razvoja, privatnost i zaštita treba da budu na listi obaveznih zahteva i traženih ishoda.
• „Data Protection by default" - što bi značilo da svi sistemi treba da budu u startu postavljeni tako da budu što je moguće bezbedniji i zaštićeniji u svojoj osnovnoj konfiguraciji, a parametri sistema da to obezbede.
• Sve firme moraju da sprovedu „Privacy / Data Protection Impact Assessment", što znači da imaju dokumentovan proces za procenu rizika i uticaja na lične podatke (PII) i da budu sposobne da pokažu da su najmanje jednom godišnje uradile procenu i korake da umanje rizik.
Razvija se prilična debata u stručnim krugovima o problemu Privacy by Design. Ovo će verovatno biti jasnije precizirano, sa pravne strane, jednom kada finalni predlog zakona dođe na usvajanje. Međutim, jasno je da organizacije i firme moraju da razumeju i budu odgovorne u obrazloženju i primeni:
• Zašto im trebaju određeni podaci
• Šta će da urade sa tim podacima
• Kako nameravaju da ih obrađuju
• Koje mere zaštite se zahtevaju
• Ko upravlja procesom
Firme će morati da se pobrinu i o problemima čuvanja, obrade i prenosa podataka, tj. da veoma razmišljaju o stvarima kao što su:
• Šta se radi sa podacima, kako se čuvaju, obrađuju i prenose
• Kako su obezbeđeni
• Kako se sprečavaju prevare (engl. fraud) i krađa identiteta (engl. identity theft)
Definisani su i neki od propusta koji mogu dovesti do kazne. Primera radi, to mogu biti:
• Propuštanje da se imenuje službenik odgovoran za zaštitu (engl. Data Protection Officer)
• Neautorizovan internacionalni prenos podataka
• Propuštanje da se sprovede Privacy / Data Protection Impact Assessment
Kazne su na sledećoj skali:
• 0.5% globalnog obrta ili €250,000
• 1.0% globalnog obrta ili €500,000
• 2% of globalnog obrta ili €1 million
Minimalna cifra trenutno nije poznata.
Novi EU Data Protection Act je obavezan za sve organizacije. U dodatku se kaže: "The new EU Data Protection Act will be compulsory for all organisations except for Law Enforcement, who will operate under a European Commission "directive". The Directive is designed to allow for faster and easier transfer of data and joined up policing across the member states." - Ovaj deo ne bih prevodio jer nisam baš siguran da ću biti precizan.
Nekoliko dilema
Već se pojavio priličan broj dilema u pogledu odredbi i sprovođenja ovog evropskog zakona. U stručnim krugovima ima dosta rasprava. Nabrojaću neke od njih i dati malo detalja.
Rok od 24 sata za obaveštavanje. Predlog zakona zahteva da službenici za zaštitu podataka u firmama i organizacijama moraju da obaveste DPA (Data Protection Authority) u roku od 24 sata u slučaju curenja ili provale u podatke. Međutim, to ponekad može biti teško sprovodivo u praksi. Naime, nekad podaci mogu da budu ugroženi, provaljeni i cure mesecima, pa čak i godinama, pre nego se to otkrije. Kada se otkrije i uradi forenzička analiza, pa se sazna kada je curenje nastupilo, onda sledi dokazivanje da li je organizacija bila svesna toga i prikrivala ili ne.
Pravo da neko bude „zaboravljen". Pod određenim uslovima neko može tražiti da bude zaboravljen, tj. da njegovi podaci budu uklonjeni iz baze i sa svih sistema odrešene firme ili organizacije. Međutim, ponekad to pravo može biti upitno. Primera radi:
• Ima li neko sa lošom kreditnom istorijom pravo da „poništi" tu prošlost?
• Ako neko izazove štetu koja je naplaćena od njegovog osiguranja, ima li pravo da to „obriše" i traži bonus kao da se ništa nije desilo
• U slučaju zaposlenih u firmi, šta od njihovih podataka iz prošlosti mora biti sačuvano, a za šta mogu tražiti da se briše
• Itd.
Uticaj na Data Protection Authority (DPA). U različitim zemljama ova funkcija se različito zove. U Velikoj Britaniji to je Information Commissioner i njegova kancelarija je imala 30.000 različitih žalbi prošle godine. Ove izmene bi broj žalbi i problema mogle višestruko uvećati. To znači da će biti puno više posla i potrebno mnogo više službenika.
Sigurno je i kod nas takav slučaj, a gospodin Šabić i njegova institucija su veoma zaposleni brojnim slučajevima kod nas. Tekstovi koje on piše na ovom blogu su dragoceni sa više aspekata, kao i posao koji on radi.
Problem velikih internacionalnih firmi i organizacija. Postoje firme koje rade u mnogim jurisdikcijama i čiji je to prirodni način poslovanja. Primera radi, da li firma locirana u EU, koja ima svoj centar za pomoć kosrinicima na Filipinima ili u Indiji može da funkcioniše, kada ljudi zaposleni na u tom centru gledaju stalno podatke njenih klijenata kojima pomažu kroz različite vrste CRM softvera. Slično važi i za softverske firme koje imaju svoju podršku u Srbiji. Broj ovakvih varijanti je veliki.
Prihodi i troškovi. U pratećim materijalima i analizama efekata ovog zakona, zagovornici se ne libe da pomenu da će kazne pripomoći punjenju budžeta. U isto vreme se smatra da će firme imati koristi jer, poslujući na isti način u svim zemljama EU po istom propisu, mnoge stvari će biti lakše i efikasnije u pogledu utroška vremena i sredstava. Međutim, firmama koje rade u jednoj ili svega par zemalja ovo je dodatni teret, utrošak vremena i novca.
Nova radna mesta. Pominje se da će sprovođenje ovog zakona doneti nova radna mesta u EU. Frimama i organizacijama će trebati ljudi koji razumeju ovu oblast.
I moglo bi se nabrajati još...
Kada će zakon početi da važi?
Kako sada stvari stoje, velika je verovatnoća da će European wide Data Protection Act biti usvojen i proglašen zakonom tokom 2012. godine. Zahtev da firme usklade svoje poslovanje sa ovim zakonom bi, u tom slučaju važio od 2014. Kako god, firme i organizacije treba da budu ovoga svesne i da počnu razvoj planova i procedura za privatnost i zaštitu podataka što pre tj. odmah.
Koristan link:
Beleška na margini
Komesar EU za pravosuđe Vivijen Reding (Viviane Reding), je ovim povodom izjavila:
"17 years ago less than 1% of Europeans used the internet. Today, vast amounts of personal data are transferred and exchanged, across continents and around the globe in fractions of seconds,"
"The protection of personal data is a fundamental right for all Europeans, but citizens do not always feel in full control of their personal data. My proposals will help build trust in online services because people will be better informed about their rights and in more control of their information. The reform will accomplish this while making life easier and less costly for businesses. A strong, clear and uniform legal framework at EU level will help to unleash the potential of the Digital Single Market and foster economic growth, innovation and job creation."
Ostavljam njenu izjavu u originalu, da se nešto ne bi izgubilo u prevodu. Vivijen Reding je takođe izjavila da veruje da će ovaj novi zakon uštedeti evropskim firmama 2.3 biliona eura, dok će u isto vreme zaštititi privatnost stanovnika EU.