U prvoj polovici 2018. godine, na snagu je stupila druga Direktiva o platnim uslugama (Payment Service Directive 2 – PSD2 ili „Direktiva“, 13.1.2018.), a nakon nekoliko mjeseci počela je primjena Opće uredbe o zaštiti podataka (GDPR, 25.5. 2018). U ovom članku se raspravlja odnos između Direktive i GDPR-a i na koji način tzv. fintech poslovanje utječe na obradu osobnih podataka korisnika platnih usluga.

Direktiva o platnim uslugama (Payment Service Directive 2)

Svrha Direktive je uključiti treće strane u dosad uobičajeni okvir platnih usluga te time stvoriti regulatorni okvir koji bi omogućio nove usluge na tržištu. Njome je stvorena obveza pružatelja platnih usluga da trećim stranama (Third Party Providers – TPP-ovi) omogući pristup podacima računa za plaćanje koji pripadaju korisnicima platnih usluga. Treće strane o kojima je ovdje riječ, odnosno TPP-ovi, su: a) pružatelji usluga pružanja informacija o računu te b) pružatelji usluge iniciranja plaćanja. U Hrvatskoj je Direktiva transponirana u Zakon o elektroničkom novcu, Zakon o platnom prometu, Odluci i zaštiti novčanih sredstava korisnika platnih usluga, Odluci o regulatornom kapitalu institucija za platni promet te u Odluci o regulatornom kapitalu institucija za elektronički novac.

Pristup osobnim podacima

Takvo omogućavanje pristupa podacima računa za plaćanje omogućava i pristup osobnim podacima, stoga se uz Direktivu primjenjuje i GDPR. Dok je svrha GDPR-a zaštita osobnih podataka, PSD2 je donesen kako bi se stvorio regulirani pristup osobnim podacima u okviru platnih usluga. Svrha PSD2 je bila jačanje konkurencije i inovacije na europskom tržištu platnih usluga na način da omogući TPP-ovima da uđu na platno tržište pružanjem usluga pružanja informacija o računu i usluga iniciranja plaćanja. Zbog činjenice razilaženja u njihovim svrhama, postavila su se mnoga pitanja u vezi s primjenom Direktive i GDPR-a u odnosu na osobne podatke korisnika.

Pismo Europskog odbora za zaštitu osobnih podataka

Europski odbor za zaštitu podataka (Odbor) je u svom pismu, kao odgovor na upit člana Europskog parlamenta u vezi nekih nejasnoća iz PSD2, pružio određene smjernice oko toga kako tumačiti Direktivu na način koji se ne kosi s odredbama GDPR-a.

Odbor napominje da se, među odredbama koje se posebno tiču obrade osobnih podataka, u članku 94. PSD2, propisuje da obrada osobnih podataka mora biti u skladu s europskim zakonima o zaštiti podataka. Direktiva također određuje da je potrebno navesti točnu svrhu obrade, poštovati sigurnosne zahtjeve navedene u GDPR-u te poštovati načela nužnosti, razmjernosti, ograničenja svrhe i razmjernog razdoblja čuvanja podataka. Uz sve to, tehnička i integrirana zaštita osobnih podataka trebala bi biti ugrađena u sve sustave za obradu podataka koji se razvijaju i koriste u okviru PSD2.

Suglasnost i privola

U članku 94. točka 2., PSD2 propisuje da „pružatelji platnih usluga isključivo pristupaju osobnim podacima, obrađuju i čuvaju osobne podatke koji su im potrebni za pružanje platnih usluga uz izričitu suglasnost korisnika platnih usluga“.

Budući da PSD2 i Zakon o platnom prometu, ne definiraju „izričitu suglasnost“, pitanje privole je potrebno promatrati u kontekstu GDPR-a. U GDPR-u je privola jedan od šest pravnih temelja za obradu osobnih podataka, dok je u PSD2 privola neophodna za obradu osobnih podataka. Također, u skladu s GDPR-om, privola se može povući i ispitanik može zatražiti da se podaci koji su se obrađivali na temelju privole trajno izbrišu. Navedeno, u okviru platnih usluga, nije uvijek izvedivo zbog propisa u vezi sa platnim prometom i propisa o sprječavanju pranja novca i financiranja terorizma.

Međutim, Odbor je u svojem pismu razložio ovo pitanje i jasno naveo da se značenje privole u Direktivi i GDPR-u znatno razlikuje. Izričita suglasnost iz PSD2 odnosi se na ugovornu suglasnost, odnosno suglasnost strana koja je potrebna da bi se ugovor sklopio. Kako to i sama Direktiva propisuje, platne usluge se pružaju uvijek na temelju ugovora između korisnika platnih usluga i pružatelja platnih usluga. Što se tiče pravne osnove obrade osobnih podataka kako ih određuje GDPR, pri pružanju platnih usluga ona će uvijek biti izvršenje ugovora. Odbor smatra da se članak 94. točka 2. treba tumačiti u skladu s GDPR-om, ali na način da zadrži svoj koristan učinak. To znači da, pri sklapanju ugovora s pružateljima platnih usluga, ispitanici trebaju biti u potpunosti svjesni svrha u koje će se njihovi osobni podaci obrađivati. To će se postići jasnim izdvajanjem takvih odredbi od ostatka ugovora i takve odredbe korisnici platnih usluga trebaju izričitim očitovanjem volje prihvatiti. Izričita suglasnost po PSD2 je dakle dodatna pretpostavka ugovorne prirode i nije isto što i (izričita) privola iz GDPR-a.

Silent party data

Ovdje se također javlja i pitanje „silent party data“, npr. kada ispitanik koristi usluge pružatelja usluge iniciranjem plaćanja kako bi prenio novac nekoj drugoj fizičkoj osobi, tada pružatelj usluge nužno mora obrađivati i podatke te druge osobe da bi mogao izvršiti uslugu. Postavlja se pitanje ima li TPP tada pravni temelj za obradu osobnih podataka i koji bi taj temelj bio. Odbor je izrazio mišljenje da se osobni podaci te druge fizičke osobe mogu zakonito obrađivati na temelju legitimnog interesa. Pri tome se, naravno, mora paziti da se tom obradom ne nadvladaju interesi ili temeljna prava i slobode ispitanika koji zahtijevaju zaštitu osobnih podataka. Obrada također mora biti nužna i razmjerna te u skladu s ostalim načelima GDPR-a. Ako se takvi podaci obrađuju na temelju legitimnog interesa, ne smiju se koristiti u druge svrhe od onih zbog kojih su prikupljeni.

Način prijenosa podataka

Nadalje, pružatelji platnih usluga i TPP-ovi međusobno moraju uspostaviti platformu, odnosno sučelje, preko kojega će se pružati platne usluge. U pogledu zaštite podataka, PSD2 uvodi standarde kao što su djelotvorni postupci upravljanja incidentima i jači postupci autentifikacije.

Nadzorna tijela su nadležna izvršiti procjenu primjenjuju li voditelj i izvršitelj obrade sve tehničke i organizacijske mjere potrebne da bi osigurali odgovarajuću razinu sigurnosti te provodi li se tehnička i integrirana zaštita podataka.

U vezi s time, Europsko nadzorno tijelo za bankarstvo (EBA) je još 27.11.2017. je donijelo regulatorne tehničke standarde za pouzdanu autentifikaciju klijenta i zajedničke sigurne otvorene standarde komunikacije u obliku dopune Direktive (EU) 2015/2366. Time se potiče inovacija i poboljšava sigurnost platnih usluga.

Osjetljivi podaci o plaćanju

Što se tiče osobnih podataka, PSD2 spominje posebnu skupinu osobnih podataka pod nazivom „osjetljivi podaci o plaćanju”. Te podatke definira kao sve podatke, uključujući personalizirane sigurnosne podatke, koji se mogu koristiti za izvršenje prijevare. Iako se radi o sličnoj terminologiji, važno je napomenuti da se ne radi o podacima koji bi pripadali posebnoj kategoriji podataka koje uređuje GDPR.

PSD2 daje posebnu zaštitu osjetljivim podacima o plaćanju te određuje da pružatelji usluga iniciranja plaćanja ne smiju pohranjivati osjetljive podatke o plaćanjima korisnika platnih usluga. Što se tiče pružatelja usluga pružanja informacijama o računu, određeno je da oni pri pružanju svoje usluge ne zahtijevaju osjetljive podatke o računima za plaćanje. Osjetljivi podaci o plaćanju su dakle osobni podaci koji uživaju dodatnu zaštitu pod PSD2.

Tko je voditelj, a tko izvršitelj obrade?

Što se tiče uloga koje GDPR definira u vezi s obradom osobnih podataka, pružatelji platnih usluga i TPP-ovi će morati procijeniti svoj međusobni odnos od slučaja do slučaja i zatim utvrditi hoće li se TPP-ovi smatrati voditeljima ili izvršiteljima obrade. Za slučaj da i TPP-ovi određuju način i sredstva obrade (što će vjerojatno biti u većini slučajeva), bit će potrebno procijeniti jesu li oni odvojeni voditelji ili zajednički voditelji obrade s pružateljima platnih usluga. Međutim, članci 66. i 67. PSD2 određuju da pružanje usluga iniciranja plaćanja i pružanja informacija o računu ne ovise o postojanju ugovornog odnosa za tu namjenu između TPP-a i pružatelja platnih usluga koji vode račun. To znači da pružatelji platnih usluga ne mogu odbiti TPP-ovima omogućiti pristup podacima klijenata ako oni ne žele sklopiti ugovor.

Navedeno nepostojanje obveze sklapanja ugovora otežava pružateljima platnih usluga raspodjelu odgovornosti u vezi s obvezama koje postavlja GDPR i onemogućava im pružanje jamstva u vezi sa sigurnošću obrade osobnih podataka.

Opća uredba o zaštiti podataka (GDPR-Uredba) u članku 28., točka 8. određuje da nacionalno nadzorno tijelo može donijeti standardne ugovorne klauzule za pitanja koja se tiču ugovora o obradi podataka između voditelja i izvršitelja obrade. U slučaju da se nacionalno nadzorno tijelo namjerava poslužiti tom mogućnošću, ono treba sastaviti nacrt odluke o donošenju standardnih ugovornih klauzula te zatim o tome obavijestiti Europski odbor za zaštitu podataka (Odbor). Odbor zatim daje svoje mišljenje o tome. Svrha ovog mišljenja je da se doprinese harmoniziranom pristupu što se tiče prekogranične obrade ili obrade koja bi mogla utjecati na slobodan protok osobnih podataka te na dosljednu primjenu Uredbe.

Ovdje je potrebno napomenuti da se standardne ugovorne klauzule iz članka 28. Uredbe, koje služe u svrhu sastavljanja ugovora o obradi podataka, razlikuju od standardnih klauzula o zaštiti podataka iz članka 46. Uredbe, koje voditelj ili izvršitelj obrade mogu predvidjeti kao odgovarajuće zaštitne mjere za prijenos podataka izvan EU.

Mogućnost da donese standardne ugovorne klauzule za ugovor o obradi podataka iskoristilo je dansko nadzorno tijelo Datatilsynet te je Odbor 9.7.2019. donio svoje mišljenje.

Odbor u svom mišljenju navodi kako bilo koji skup standardnih ugovornih klauzula koji im se podnese mora konkretnije razraditi odredbe Uredbe koje se odnose na ugovor o obradi podataka (prvenstveno čl. 28. Uredbe) te koristiti precizne termine iz Uredbe (instruct, document, notify, transfer, state of art). U Mišljenju je objašnjeno da predložene klauzule, koje jednostavno ponavljaju ili na drugi način izražavaju odredbe Uredbe, nisu prikladne da čine standardne ugovorne klauzule. Ugovor o obradi podataka trebao bi detaljnije odrediti i razjasniti kako će se odredbe Uredbe o ugovoru o obradi podataka provoditi (npr. razraditi rokove, obveze voditelja i izvršitelja obrade, obveze kod angažiranja pod-izvršitelja i prijenosa osobnih podataka izvan EU).

Odbor također podsjeća da, u skladu s člankom 28. točkom 6. Uredbe, upotreba standardnih ugovornih klauzula koje je usvojilo nacionalno nadzorno tijelo ne sprječava ugovorne strane da koriste druge klauzule ili dodatne mjere, pod uvjetom da ne protuslove, izravno ili neizravno, usvojenim ugovornim klauzulama ili štete temeljnim pravima i slobodama ispitanika.

Mišljenje Odbora također je pružilo sljedeće napomene za ugovore o obradi podataka:

1. Ugovor o obradi podataka upućuje, ovisno o okolnostima, na glavni ugovor između ugovornih strana (npr. utvrđuje da je glavni ugovor sklopljen ili nije sklopljen, utvrđuje je li ugovor o obradi može biti raskinut neovisno o glavnom ugovoru).
2. Voditelj obrade može davati izvršitelju obrade dodatne upute izvan ugovora o obradi, ali takve upute moraju biti dokumentirane.
3. U ugovoru o obradi podataka se mora ugovoriti jedan od dva izbora u odnosu na podizvršitelje – opće odobrenje za angažiranje podizvršitelja ili angažiranje podizvršitelja samo uz pisano odobrenje voditelja obrade te se preporuča navesti rokove za obavijest voditelju obrade o angažiranju podizvršitelja.
4. Ugovor o obradi podataka mora sadržavati obvezu izvršitelja obrade da obavijesti voditelja obrade o povredi osobnih podataka te se ugovora rok u kojem je to obvezno napraviti.
5. Vrste osobnih podataka, koje se obrađuju na temelju ugovora o obradi podataka, moraju biti što je detaljnije moguće opisane, nije dovoljno samo se pozvati na određeni članak glavnog ugovora ili Uredbe ili navesti kategorije osobnih podataka (npr. nije dovoljno samo navesti da se obrađuju posebne kategorije osobnih podataka, već navesti vrste osobnih podataka o kojima je riječ, kao što su ozljede na radu, politička i vjerska uvjerenja i sl.)

U studenome 2018. godine, na temelju prijedloga Europske komisije, Europski parlament i Vijeće su donijeli Uredbu (EU) 2018/1807 o okviru za slobodan protok neosobnih podataka u Europskoj uniji („Uredba o slobodnom protoku neosobnih podataka“, odnosno, u daljnjem teksu: „Uredba“). Uredba se primjenjuje od 28. svibnja 2019. Kako je GDPR-om reguliran protok osobnih podataka, ovim dvjema uredbama uspostavljen je sveobuhvatan okvir za zajednički europski podatkovni prostor i slobodno kretanje svih podataka u Europskoj uniji. Uredba je nastala kao rezultat potrebe poslovanja novog vremena za brzim i nesmetanim protokom podataka koji je omogućio veliki napredak tehnologije.

NEOSOBNI PODACI

Uredba o slobodnom protoku neosobnih podataka daje definiciju neosobnih podataka. Definicija glasi: „podaci koji nisu osobni podaci kako su definirani u članku 4. točki 1. Uredbe (EU) 2016/679 [Opća uredba o zaštiti podataka]”. Stoga, neosobni podaci su svi podaci koji se NE odnose na pojedinca čiji je identitet utvrđen ili se može utvrditi. U to su uključeni podaci koji se nikad nisu odnosili na neku fizičku osobu, kao i podaci koji su se nekad odnosili na fizičku osobu, ali su u uspješnom i potpunom postupku anonimizacije izgubili značajku osobnih podataka.

Uredba u svom prvom članku kao svoj cilj navodi osiguranje slobodnog protoka podataka koji nisu osobni podaci unutar EU. I GDPR ima odredbu o slobodnom kretanju podatka. Odredbom je određeno da se slobodno kretanje osobnih podataka unutar EU ne ograničava ni zabranjuje iz razloga povezanih sa zaštitom pojedinaca u pogledu obrade osobnih podataka. Dakle, ove uredbe zajedno obuhvaćaju slobodan protok svih vrsta podataka unutar EU.

Područje primjene Uredbe je osiguravanje slobodnog protoka neosobnih podataka „u Uniji“. Uredba se primjenjuje u slučaju obrade elektroničkih neosobnih podataka u EU: a) koja se pruža kao usluga korisnicima s boravištem ili poslovnim nastanom u EU, bez obzira na to ima li pružatelj usluga poslovni nastan u EU ili nema; ili b) koju provodi fizička ili pravna osoba s boravištem odnosno poslovnim nastanom u EU za vlastite potrebe.

Razlika u odnosu na GDPR je ta da dok se Uredba ne primjenjuje ako se sve aktivnosti obrade neosobnih podataka odvijaju izvan EU, GDPR se mora poštivati ako su u skup podataka uključeni osobni podaci. Također se moraju poštivati sve odredbe GDPR-a koje se primjenjuju na prijenos osobnih podataka trećim zemljama ili međunarodnim organizacijama.

MIJEŠANI PODACI

Postavlja se pitanje što je s miješanim skupovima podataka, odnosno skupovima podataka koji uključuju osobne i neosobne podatke. Uredbom i GDPR-om se zajedno omogućuje slobodno kretanje svih podataka u EU. Uredba određuje da se ona primjenjuje samo na neosobne podatke koji su dio miješanih skupova. To znači da će se u tom slučaju, a contrario, GDPR primjenjivati na dio skupa koji sadrži osobne podatke. Ako su osobni i neosobni podaci u skupu neraskidivo povezani, prava na zaštitu podataka i obveze koje proizlaze iz GDPR-a u potpunosti se primjenjuju na cijeli miješani skup podataka.

LOKALIZACIJA PODATAKA

Jedna od glavnih značajki Uredbe je zabrana zahtjeva u pogledu lokalizacije podataka. Zahtjevi za lokalizacijom podataka definirani su kao „bilo koja obveza, zabrana, uvjet, ograničenje ili drugi zahtjev koji je utvrđen zakonima ili drugim propisima država članica ili koji je rezultat općih i dosljednih administrativnih praksi u državi članici i u javnopravnim tijelima, među ostalim u području javne nabave[…]“. Zabrana zahtjeva za lokalizacijom može se odnositi na izravne (npr. obveza pohranjivanja podataka na određenom zemljopisnom području) i neizravne mjere, koje su usmjerene na ometanje obrade neosobnih podataka u drugim državama članicama (npr. zahtjev obvezne upotrebe postrojenja koja su certificirana ili odobrena u određenoj državi članici).

Iznimno, zabrana zahtjeva za lokalizacijom ne obuhvaća one zahtjeve koji su u skladu s načelom proporcionalnosti opravdani iz razloga javne sigurnosti. Međutim, Uredbom se ne dovode u pitanje zakoni i drugi propisi koji se odnose na unutarnju organizaciju država i koji dodjeljuju ovlasti i odgovornosti tijelima javne vlasti i javnopravnim tijelima. Zabrana zahtjeva za lokalizacijom se, dakle, ne smije se shvatiti kao obveza država članica za eksternalizacijom usluga u vezi s neosobnim podacima koje same žele pružati ili organizirati na način koji ne uključuje javnu nabavu. Uredbom se potiče razmatranje gospodarske učinkovitosti i druge dobrobiti korištenja vanjskih pružatelja usluga.

CERTIFIKACIJA

Druga važna značajka Uredbe je da potiče industriju da provodi sigurnosnu certifikaciju te izradi samoregulatorne kodekse ponašanja koji se odnose na promjenu pružatelja usluga i prijenos podataka. Samoregulacija doprinosi inovaciji i povjerenju među subjektima na tržištu i omogućuje bržu reakciju na tržišne promjene. Samoregulacijom bi se trebala izbjeći praksa ovisnosti o određenom pružatelju usluga (npr. zbog toga jer su podaci blokirani u sustavu određenog pružatelja usluga ili zbog specifičnog formata podataka i odredaba ugovora). Pri izradi samoregulatnornih kodeksa, odnosno „kodeksa ponašanja“, potrebno je uzeti u obzir:

1. najbolje prakse za olakšavanje promjene pružatelja usluga i prijenosa podataka u strukturiranom, uobičajenom i strojno čitljivom formatu;
2. minimalne zahtjeve za informacijama u vezi s postupcima, tehničkim zahtjevima, rokovima i naknadama koje se primjenjuju kad korisnik poželi promijeniti pružatelja usluga,
3. pristupe programima certifikacije radi bolje usporedivosti usluga u oblaku (cloud),
4. planove komunikacije namijenjene jačanju osviještenosti o kodeksima ponašanja.

RADNE SKUPINE

Komisija je već potaknula osnivanje radnih skupina relevantnih dionika industrije cloud usluga. Radne skupine okupljaju stručnjake cloud tehnologije te profesionalne korisnike tih tehnologija, a među njima se nalaze i mala i srednja poduzeća. Dobro je spomenuti radnu skupinu imenom SWIPO, koja radi na samoregulatornim kodeksima ponašanja, te radnu skupinu CSPCERT, koja se bavi sigurnosnom certifikacijom.

SURADNJA DRŽAVA ČLANICA

Treća glavna značajka Uredbe je uspostavljanje mehanizma suradnje državnih tijela država članica. Svaka država članica uspostavlja jedinstvenu kontaktnu točku koja se povezuje s jedinstvenim kontaktnim točkama ostalih država članica i Europskom komisijom u pogledu primjene Uredbe. Jedinstvene kontaktne točke dakle služe kao čvorišta komunikacije nadležnih tijela država članica.

Uredbom se stvara pravna sigurnost kojom se povećava povjerenje u usluge obrade podataka i sprječava ovisnost o određenom pružatelju usluga. Korisnicima će se na taj način povećati izbor pružatelja usluga, a kvaliteta usluge će porasti te će se tako omogućiti primjena novih tehnologija. Sve to sa sobom može pridonijeti nižim troškovima poslovanja.

Posljednjih nekoliko godina, sve više odvjetnika koristi neku vrstu cloud usluga. Istraživanje u Sjedinjenim Američkim Državama Am Law 200 pokazalo je da preko 50% odvjetničkih društava koristi cloud.

Softver ili tehnologija koji se koriste za svakodnevni rad, a koji su u potpunosti smješteni unutar fizičkih prostorija u kojem odvjetnik ili odvjetničko društvo djeluju, nazivaju se on-premises softver i tehnologija. Takva organizacija je zastarjela i pripada devedesetim godinama. Iako ona ima svoje prednosti u vidu potpune kontrole sustava, ona ipak sa sobom nosi smanjenu efikasnost, brzinu i povećane troškove – sve ono što si moderna pravna praksa ne može priuštiti.

Tehnologija koja stoji nasuprot on-premises tehnologiji naziva se cloud i ona je sve više primijenjena od strane nove generacije odvjetnika.

Što je cloud i osnovne vrste

Cloud, odnosno cloud computing, okvirni je naziv za eksternalizirano pružanje raznih informatičkih usluga putem interneta. Ovo uključuje širok spektar usluga kao što su korištenje servera, usluge pohrane podataka, aplikacije, softveri, alati i sl.

Cloud ima osnovne tri karakteristike:

1. uslugu u potpunosti vodi i nadgleda pružatelj cloud usluge,
2. usluga je elastična, skalabilna, što znači da se opseg usluge u potpunosti prilagođava željama i potrebama korisnika u svako doba,
3. korisnik plaća samo onaj dio usluge koji stvarno i koristi.

Postoje 3 glavne kategorije cloud usluga: Infrastructure as a Service (IaaS), Software as a service (SaaS) i Platform as a Service (PaaS).

Određeni broj odvjetnika zapravo već koristi cloud usluge u IaaS modelu. U IaaS modelu, pružatelj priskrbljuje korisnicima pristup sredstvima računanja kao što su serveri i mjesta za pohranu podataka (npr. Google Drive, OneDrive). Korisnici upotrebljavaju vlastite platforme i aplikacije, a kao računalnu podlogu koriste infrastrukturu pružatelja cloud-a. Umjesto da ga kupuju, dobar dio hardvera zamjenjuje Iaas cloud usluga (npr. hard disk i serveri), koja se onda plaća poput režija – ovisno o potrošnji.

SaaS model je nadogradnja IaaS modela i on daje korisnicima pristup softveru, odnosno aplikacijama izgrađenima na cloud-u. Korisnik ne mora instalirati aplikaciju lokalno, na vlastitom uređaju, već se u potpunosti funkcionalna aplikacija nalazi na udaljenoj cloud mreži. Takav software nije potrebno instalirati, održavati i nadograđivati. Pružatelj SaaS-a čini sve to. Kada govorimo o prelasku na cloud, razumno je razmišljati o modelu koji pruža najširi skup usluga i to je upravo Saas.

Odvjetnici na ovaj način mogu s lakoćom koristiti aplikacije visoko specijalizirane za njihovo područje. Postoje već mnogi cloud servisi izgrađeni isključivo za odvjetnike, kao npr. Clio, u kojem se upisuju klijenti, vode dokumenti, upisuju radni sati, izdavaju računi te izrađuju izvješća o radu pojedinog odvjetnika.

Prednosti i nedostaci cloud-a

Valja razmotriti prednosti i nedostatke korištenja cloud usluge naspram on-premises modela poslovanja. Počnimo od prikaza samo malog dijela prednosti koje pruža cloud:

Manji troškovi. Ova prednost često je i prva koja pobuđuje interes odvjetnika koji razmatraju prelazak na cloud. Cloud tehnologija otklanja potrebu za kupovanjem skupih servera, hard diskova, plaćanjem IT podrške i sl. Ekonomičnost ove opcije još je više naglašena uzme li se u obzir da se usluga plaća samo u onom opsegu u kojem se i koristi. Troškovi se u potpunosti prilagođavaju potrebama korisnika.

Pristupačnost. Vrlo važna značajka cloud usluga je brz i lak pristup s bilo kojeg mjesta na svijetu. Uz uvjet da je uspostavljena veza s internetom, pristup datotekama i aplikacijama omogućen je u nekoliko sekundi. Uz to, njima se može pristupiti i putem bilo kojeg nezastarjelog uređaja. Na ovaj način, posao se može obavljati izvan ureda i bez službenih uređaja, bilo kada i bilo gdje.

Pouzdanost. Svaki cloud servis ima grupu stručnjaka koji ga održavaju, nadograđuju i štite. Korisnik ne mora brinuti oko redovitog ažuriranja softvera. Antivirusna zaštita je cijelo vrijeme aktivna i ažurirana. Podaci se automatski spremaju i redovito se stvara njihova sigurnosna kopija. Ovo otklanja potrebu za brigom oko sitnica koje odvjetnicima zadaju glavobolju i omogućava im nesmetan rad na stvarima važnima za posao.

Neograničen prostor. Ograničeni kapacitet hard diskova i servera prestaje biti briga. Prostor za pohranu podataka u potpunosti je prilagodljiv potrebama ureda.
Brza uspostava. Dragocjeno vrijeme odvjetnika značajno se štedi vrlo brzom i jednostavnom uspostavom cloud servisa. I sam prelazak s on-premises poslovanja na cloud je veoma bezbolan. Pošto je user-friendly, rad na novom softveru na SaaS modelu usvaja se u toku jednog dana.

Efektivni timski rad. Krajnji korisnici mogu putem cloud-a vrlo jednostavno komunicirati. Oni na primjer mogu trenutačno dijeliti datoteke, nadzirati rad na pojedinom klijentu, dopisivati se, dobiti uvid u kalendare i rasporede drugih, stavljati podsjetnike, dogovarati sastanke i mnogo sličnih mogućnosti.

Negativne strane također postoje, a one se svode na nedostatke koji su svojstveni većini modernih tehnologija. Prvi i očiti nedostatak je ovisnost o postojanju internetske veze. Ostali se mogu svrstati u kategorije rizika za zaštitu osobnih podataka i informacijsku sigurnost. Naime, svaka digitalna tehnologija može biti meta zlonamjernih napada te može doživjeti neki kvar ili neispravnost; uređaji koji podržavaju digitalni svijet mogu biti oštećeni; pružatelj cloud usluge može učiniti grešku ili biti nemaran. Svi navedeni rizici mogu utjecati na zaštitu osobnih podataka, čuvanje poslovnih tajni te informacijsku sigurnost.

Izbor pružatelja usluge

Nakon procjene rizika, odvjetnici koji se odluče koristiti SaaS model clouda mogu krenuti u potragu za pružateljem cloud usluga. Kako bi se odabrao odgovarajući pružatelj usluge, uzimaju se u obzir sljedeći kriteriji:
• Pružatelj cloud usluge – trenutak osnivanja pružatelja, njegova reputacija, opseg baze korisnika, ostale usluge.
• Mjesto pohrane – postrojenje, grad, država i vlasnik servera na kojima su podaci pohranjeni.
• Certifikati – posjeduje li pružatelj pojedini certifikat informacijske sigurnosti i kada ga je stekao (npr. ISO standard).
• Enkripcija – jesu li podaci enkriptirani, tko ima pristup enkripcijskim ključevima, što u slučaju gubitka ključeva.
• Testiranje – testira li se redovito sigurnost sustava, provodi li treća neovisna strana pregled sustava.
• Pristup podacima – tko sve i zašto ima pristup kojim podacima.
• Politika čuvanja podataka – vraćaju li se podaci prilikom prekida auradnje i koliko dugo se čuvaju.
• Praćenje podataka – prati li se aktivnost pristupa i obrade podataka (zapisi/log-ovi).

Smiju li odvjetnici koristiti cloud?

Iako Hrvatska odvjetnička komora nije izdala nikakvo službeno mišljenje niti izrazila svoj stav, korištenje cloud-a mora se obavljati na način koji je u skladu sa Zakonom o odvjetništvu i Kodeksom odvjetničke etike. Ovo se posebno odnosi na obvezu čuvanja odvjetničke tajne i na odnos prema stranci. Adekvatna zaštita odvjetničke tajne i osobnih podataka zahtijevaju da se pružatelji cloud usluga, njihova sposobnost i tehnička potpora trebaju redovito ispitivati.

Prilikom odabira cloud usluga najprije je potrebno proučiti Pravila privatnosti pružatelja cloud usluga. Za zaštitu osobnih podataka te čuvanje poslovne i odvjetničke tajne od iznimne je važnosti da je pružatelj cloud usluga izvršitelj obrade (kako je definirano Općom uredbom o zaštiti podataka) te da pružatelj ne koristi podatke u cloud u svoje svrhe i da postupa s podacima u cloud-u po uputi odvjetnika.

Također je bitno utvrditi gdje se nalazi server za cloud te, u slučaju prijenosa podataka izvan Europske unije, bitno je imati zaštitne mjere za izvoz podataka, kao npr. da je pružatelj certificiran u sklopu sporazuma Privacy Shield ili da se sklapaju standardne klauzule za zaštitu podataka koje je odobrila Europska komisija.

Nadalje, čitanjem Uvjeta korištenja pružatelja usluge utvrđuju se tehničke i organizacijske mjere pružatelja te je li Uvjeti korištenja sadrže sve nužne odredbe iz čl. 28. Opće uredbe o zaštiti podataka. Npr. da odvjetnik može izvršiti nadzor i da je pružatelj usluge dužan odmah obavijestiti odvjetnika ako se dogodio sigurnosni incident, odnosno ako određeni podaci izbrisani, hakirani i sl. Ako Uvjeti korištenja ne sadrže sve nužne odredbe tada je potrebno sklopiti ugovor o obradi podataka kojim će se regulirati obveze u pogledu zaštite podataka te zatražiti od pružatelja usluge opis tehničkih i organizacijskih mjera.

Možemo zaključiti da će u današnjem svijetu, u kojem su informacije najveći pokretač društva i u kojem tehnologija suvereno diktira način života i razmišljanja, odvjetnici također biti primorani prilagoditi načine svog rada i pružanja usluga te, uzevši u obzir sve rizike, usvojiti na odgovarajući način prednosti koje razvoj tehnologije omogućava.

Želite u svoje poslovanje uvesti novu tehnologiju? Prijeći na cloud, analizirati podatke, profilirati klijente? Opća uredba o zaštiti podataka (GDPR) u članku 35. propisuje dužnost voditelja obrade da prije predviđenih postupaka obrade provede procjenu njezina učinka na zaštitu osobnih podataka ako je vjerojatno da će neka vrsta obrade prouzročiti visok rizik za prava i slobode pojedinaca. Uredba u istom članku navodi tri slučaja u kojima je procjena učinka na zaštitu podataka obvezna, a to su:

1. slučajevi sustavne i opsežne procjene osobnih aspekata u vezi s pojedincima koja se temelji na automatiziranoj obradi,
2. opsežne obrade posebnih kategorija osobnih podataka ili podataka u vezi s kaznenim osudama i kažnjivim djelima,
3. te slučajevi sustavnog praćenja javno dostupnog područja u velikoj mjeri.

Međutim, ovaj popis nije iscrpan. Dužnost provedbe procjene učinka obrade generalno je formulirana te se odnosi na svaku obradu ako je vjerojatno da će prouzročiti visoki rizik za prava i slobode pojedinca.

Kako bi se voditeljima obrade olakšala odluka za koju obradu će biti potrebno raditi procjenu učinka, propisana je dužnost nadzornog tijela svake države da uspostavi i javno objavi popis vrste postupka obrade koji obavezno podliježu zahtjevu za procjenu učinka na zaštitu podataka. No, javna objava takvog popisa ne smije se obaviti bez prethodnog mišljenja Europskog odbora za zaštitu podataka. Glavna zadaća navedenog odbora je da osigura dosljednu primjenu Uredbe u cijeloj Europskoj uniji. Ova dužnost nastala je u okviru mehanizma konzistentnosti koji Uredba uspostavlja te je iz tog razloga hrvatska Agencija za zaštitu osobnih podataka (AZOP, hrvatsko nadležno nadzorno tijelo) podnijela nacrt popisa Odboru u listopadu 2018. godine.

Razmotrivši nacrt popisa koji je AZOP predala, Odbor je sastavio mišljenje o nacrtu popisa. Mišljenje se sastoji od četiri glavne točke:

1. Odbor smatra da je analiza izvršena u Smjernicama Radne skupine 29. (Radna skupina koja je sada formirana u Europski odbor za zaštitu podataka) temeljni element za osiguranje dosljednosti diljem Europske unije. Stoga Odbor zahtjeva da nadzorna tijela u dokument koji sadrži popis dodaju izjavu kojom se objašnjava da je ta lista temeljena na navedenim Smjernicama. U svom dokumentu u kojem se nalazi popis, AZOP je naveo da je popis sastavljen uz analizu „Smjernica o procjeni učinka na zaštitu podataka“, što je odviše nejasno. Odbor preporuča AZOP-u da u svom dokumentu razjasni da se radi o Smjernicama o procjeni učinka na zaštitu podataka (WP 248) koje je sastavila Radna skupina 29. Također, Odbor zahtjeva da AZOP razjasni da je njihov popis temeljen na tim smjernicama i da ih on upotpunjuje i dodatno određuje.
2. AZOP u svom popisu navodi da obrada biometrijskih podataka sama po sebi potpada pod obvezu provođenja procjene učinka na zaštitu podataka. Odbor je mišljenja da obrada biometrijskih podataka ne predstavlja nužno visoki rizik sama za sebe. Međutim, obrada biometrijskih podatka radi jedinstvene identifikacije pojedinca zajedno s još nekim drugim kriterijem zahtjeva procjenu učinka na zaštitu podataka. Stoga, Odbor traži od AZOP-a da se: a) točka koja se odnosi na obradu biometrijskih podataka primjenjuje gdje je svrha obrade jedinstvena identifikacija pojedinca; b) da se procjena učinka na zaštitu podataka mora provoditi samo ako se obrada biometrijskih podataka obavlja zajedno s još barem jednim kriterijem iz Smjernica o procjeni učinka na zaštitu podataka (WP 248 rev. 01).
3. Zahtjevi Odbora koji se tiču genetskih podataka jednaki su kao i oni koje je Odbor dao u vezi s biometrijskim podacima. Od AZOP-a se zahtjeva da se kod liste koja se tiče genetskih podataka navede da se odnosi na obradu podataka kojoj je svrha jedinstvena identifikacija pojedinca te da se procjena učinka mora provoditi samo ako je uz obradu genetskih podataka ispunjen još barem jedan kriterij iz Smjernica.
4. Što se tiče obrade osobnih podataka koje stvaraju senzorni uređaji odašiljajući podatke preko Interneta ili neke druge tehnologije prijenosa informacija, Odbor je mišljenja da ona ne bi trebala biti kriterij koji vodi do obveze izvršavanja procjene učinka na zaštitu podataka. Nije vjerojatno da ovaj kriterij, sam ili uz neki drugi kriterij predstavlja visoki rizik za prava i slobode pojedinca.

AZOP je zahtjeve Odbora prihvatio, ugradio u svoju listu te je revidiranu listu objavio 21. prosinca 2018. na svojim internetskim stranicama https://azop.hr/aktualno/detaljnije/odluka-o-uspostavi-i-javnoj-objavi-popisa-vrsta-postupaka-obrade-koje-podli.

Navedena lista, između ostalog, navodi da je obvezno procijeniti učinak na zaštitu podataka ako se radi o uporabi novih tehnologija ili tehnoloških rješenja za obradu osobnih podatka ili sa mogućnošću obrade osobnih podataka (npr. primjena „interneta stvari“, poput pametnih televizora, pametnih kućanskih aparata, komunikacijski povezanih igračaka, sustava „pametni gradovi“, pametnih mjerača energije, itd.) koji služe za analizu ili predviđanje ekonomske situacije, zdravlja, osobnih preferencija ili interesa, pouzdanosti ili ponašanja, lokacije ili kretanja fizičkih osoba.

Na zahtjev nizozemskog Ministarstva sigurnosti i pravde, društvo Privacy Company provelo je procjenu učinka na zaštitu podataka u skladu s Općom uredbom o zaštiti podataka – GDPR, u odnosu na Microsoft Office ProPlus Enterprise (Office 2016 MSI i Office 365 CTR).

Procjena je pokazala da Microsoft sistematično i prikriveno prikuplja podatke velikog razmjera o pojedinačnoj upotrebi Worda, Excela, PowerPointa i Outlooka. Sličnu praksu pronalazimo kod Windowsa 10. Pritom ne nudi nikakav izbor u vezi količine podataka, mogućnosti prestanka prikupljanja i uvida u podatke koji se prikupljaju, budući da je tok podataka kodiran. Na navedenu procjenu učinka, Microsoft je promptno reagirao dajući obećanje da će napraviti sve bitne prilagodbe kako bi smanjio rizike.

Microsoft je u veljači ove godine obznanio da planira ažurirati svoj Office Pro Plus. Microsoft i nizozemsko Ministarstvo sigurnosti i pravde dogovorili su se oko spomenutih promjena kao dijela „plana poboljšanja“ čiji je krajnji rok provedbe određen za travanj.

U međuvremenu, Europsko nadzorno tijelo za zaštitu podataka već je počelo nadzirati daljnje ponašanje Microsofta te je od Microsofta zatražilo informacije o obradi telemetrijskih podataka.

Microsoft tvrdi da u svoje nove proizvode ugrađuje brojne elemente koji služe uspješnijoj zaštiti privatnosti korisnika, što bi odgovaralo zahtjevu za integriranom zaštitom podataka (privacy by design) u skladu s GDPR-om. Vodstvo Microsofta redovito naglašava da kompanija vodi proaktivnu brigu o privatnosti. Hoće li održati svoju riječ i učiniti promjene na svojim proizvodima nužne za bolju zaštitu privatnosti, saznat ćemo uskoro.

“Kako se vlast ne bi mogla zlorabiti, potrebno je da, rasporedom samih stvari, jedna vlast obuzdava drugu.”

MONTESQUIEU (O duhu zakona)

„Zviždač“ je popularan naziv za osobu koja javno upozorava na ilegalne aktivnosti kojima svjedoči. U javnosti je možda najviše kontroverze u posljednjih nekoliko godina, izazvao slučaj američkog zviždača Edwarda Snowdena koji je učinio dostupnima javnosti dokumente iz kojih su vidljive mjere nadzora diljem svijeta putem softvera koje su razvile američke obavještajne službe.

Hrvatska dosad nije imala cjeloviti zakon koji bi na jedinstven način uređivao problematiku zviždača, odnosno, „prijavitelja nepravilnosti“. Hrvatsko zakonodavstvo je, što se tiče navedenih osoba, dosad osiguravalo npr. kaznenopravnu zaštitu, zaštitu od otkaza na radu, zaštitu od diskriminacije nakon prijave, zaštitu od zlostavljanja od poslodavca, zaštita od prijetnje otkazom, obrnuti teret dokaza u radnim sporovima, anonimnost zviždača i sl. širokim spektrom raznih zakona (npr. Kazneni zakon, Zakon o radu, Zakon o državnim službenicima, Zakon o zaštiti tajnosti podataka itd.). Difuzno smještene odredbe kojima se štite zviždači, zajedno s pritiskom koje postavljaju međunarodni ugovori i međunarodna sudska praksa, stvorile su potrebu za donošenjem posebnog zakona. Uz to je dobro spomenuti i rezultate ankete provedene 2010. u sklopu IPA 2007 projekta „Jačanje kapaciteta USKOK-a“. Naime, 43% ispitanika je izjavilo da ne bi prijavilo korupciju. Od njih 35% ne bi prijavilo korupciju zbog straha od negativnih posljedica, a 27% ne bi prijavilo korupciju jer prijava ima negativnu konotaciju u društvu (posebno u obliku društvene stigme – „štakor“, „cinker“, „druker“ i sl.). Uz to, 60% ispitanika je izjavilo da ne zna kojim putem bi trebalo obaviti takvu prijavu.

Uzevši u obzir navedeno, u veljači je donesen Zakon o zaštiti prijavitelja nepravilnosti koji stupa na snagu 1. srpnja 2019. Ovim zakonom se objedinjuju svi standardi za zaštitu prijavitelja nepravilnosti u jedan poseban zakon (lex specialis) i to: prijavljivanje nepravilnosti, postupak prijavljivanja nepravilnosti, prava osoba koje prijavljuju nepravilnosti, obveze tijela javne vlasti te pravnih i fizičkih osoba u vezi s prijavom nepravilnosti, kao i druga pitanja važna za prijavu nepravilnosti i zaštitu prijavitelja nepravilnosti. Cilj ovog zakona je pružiti učinkovitu zaštitu prijavitelja nepravilnosti koja uključuje i osiguravanje dostupnih i pouzdanih načina prijavljivanja nepravilnosti.

Zviždače zakon definira na sljedeći način:

„Prijavitelj nepravilnosti je fizička osoba koja prijavljuje nepravilnosti koje su povezane s obavljanjem poslova kod poslodavca.“

Izraz „nepravilnosti koje su povezane s obavljanjem poslova kod poslodavca“ znači da se ovdje ne radi samo o stalnom radnom odnosu zaposlenika i poslodavca, već o dosta širem krugu osoba poput volontera, studenata, osoba koje rade preko ugovora o djelu, osoba koje vrše dužnosti, kandidata za posao, odnosno osoba koje na drugi način sudjeluju u djelatnostima kod poslodavca. Nadalje, poslodavac može biti tijelo javne vlasti, fizička ili pravna osoba prema Zakonu o radu te fizička ili pravna osoba kod koje prijavitelj nepravilnosti obavlja poslove.

Međutim, nepravilnosti koje Zakon spominje ne odnose se samo na korupciju. Opseg pojma „nepravilnosti“ mnogo je širi te između ostaloga uključuje kršenje zakona i propisa, nesavjesno upravljanje javnim dobrima, javnim sredstvima i sredstvima Europske unije koje predstavlja ugrožavanje javnog interesa. Navedeni popis nije iscrpan pa se nepravilnost može ticati i npr. pranja novca, financiranja terorizma, zaštite potrošača, zaštite okoliša, sigurnosti prometa, zdravlja i dobrobiti životinja, itd.

Prijavitelji nepravilnosti imaju pravo na zaštitu koja se tiče postupaka za prijavljivanje nepravilnosti prema Zakonu, pravo na sudsku zaštitu, pravo na naknadu štete te na zaštitu identiteta i povjerljivosti. Zaštita je proširena i na osobe s kojima su prijavitelji nepravilnosti povezani, a to su fizičke ili pravne osobe koje se prema raznim osnovama i okolnostima opravdano mogu smatrati interesno povezanima s prijaviteljem nepravilnosti (npr. bračni i izvanbračni drug, životni partner ili neformalni životni partner, određeni krug srodnika, skrbnik, posvojitelj, posvojenik itd.).

Zakon propisuje postupak prijavljivanja nepravilnosti. S obzirom na kanal kojim se ono obavlja, prijavljivanje može biti: unutarnje, vanjsko ili razotkrivanje prema javnosti. Unutarnje prijavljivanje je redovan način prijavljivanja te Zakon u tu svrhu propisuje uspostavu određenog aparata unutar pojedinog poslodavca koji omogućuje nesmetano obavljanje postupaka prijavljivanja i zaštitu prijavitelja (npr. donošenje Pravilnika o prijavljivanju nepravilnosti). Takva prijava se predaje povjerljivoj osobi koju imenuje poslodavac. Međutim, uspostavljanje mehanizama unutarnjeg prijavljivanja nepravilnosti poslodavac je dužan uspostaviti samo ako zapošljava najmanje pedeset osoba. U ostalim slučajevima, poslodavac nema tu dužnost, ali ako želi uspostaviti mehanizam unutarnjeg prijavljivanja nepravilnosti slobodan je da to i učini. Pod određenim okolnostima koje bi se mogle opisati kao izvanredne (npr. ako postoji neka neposredna opasnost za život, zdravlje, sigurnost, ne postoji mogućnost unutarnjeg prijavljivanja, postoji bojazan da unutarnje prijavljivanje neće osigurati pravo na zaštitu ili da bi zbog nje prijavitelj mogao biti stavljen u nepovoljan položaj i sl.), prijavitelj može podnijeti prijavu pučkom pravobranitelju koji je tijelo nadležno za prijavu nepravilnosti. Na kraju postoji još i javno razotkrivanje nepravilnosti. Ono se može provesti iznimno, bez prethodnog prijavljivanja nepravilnosti kod poslodavca ili nadležnog tijela, ako postoji neposredna opasnost za život, zdravlje, sigurnost ili od nastanka štete velikih razmjera ili uništenja dokaza.

Što se tiče sudske zaštite prijavitelja nepravilnosti prema kojem je poduzeta štetna radnja u vezi s tom prijavom, ona se ostvaruje tužbom za zaštitu u vezi s prijavom nepravilnosti nadležnom sudu u roku od tri godine od saznanja za štetnu radnju, odnosno pet godina od dana kada je štetna radnja poduzeta. Ova zaštita se razlikuje od one koju Zakon o kaznenom postupku pruža ugroženom svjedoku.

Zakon o zaštiti prijavitelja nepravilnosti trebao bi pridonijeti jačanju pravne zaštite prijavitelja i podići javnu svijest građana o nužnosti podnošenja prijava nepravilnosti radi zaštite javnog interesa. Njime bi potencijalni prijavitelji nepravilnosti trebali biti potaknuti da podnesu prijavu. Navedeno bi trebalo rezultirati zaštitom financijskih interesa države, zaštitom ljudskih prava i temeljnih sloboda, zaštitom okoliša i općenito jačanju pravne sigurnosti.

Što je AI?

Vjerojatno već svatko ima neku osnovnu ideju o tome što bi umjetna inteligencija trebala biti. Postoje mnoge definicije, no mi ćemo bez kompliciranja i ulaska u prijeporna pitanja reći da je umjetna inteligencija (AI) inteligencija koju pokazuju uređaji pri obavljanju određene zadaće. Idealni inteligentni uređaj je prilagodljiv i ujedno poduzima radnje kako bi povećao vjerojatnost da ispuni neku zadaću.

Glavne značajke umjetne inteligencije su:

1. sposobnost pohranjivanja velike količine podataka i prikupljanja novih podataka iz okoline;
2. sposobnost da samostalno donosi odluke i zatim djeluje na temelju tih odluka.

Raširenost i primjena AI tehnologije raste iz minute u minutu. Vrlo značajan udio novih proizvoda na tržištu oslanja se na tu tehnologiju. S obzirom na jednu od njezinih glavnih karakteristika da prikuplja i pohranjuje veliku količinu podataka, već možemo naslutiti da se nameću razna pravna i etička pitanja.

AI i zaštita podataka

Moglo bi se reći da se pitanje zaštite podataka ističe pred svim drugim pitanjima kada raspravljamo o AI. Upotreba AI sustava zahtjeva svakodnevnu obradu podataka velikih razmjera. Naime, potrebna je velika količina podataka da bi složeni algoritmi AI-a mogli samostalno učiti i analizirati. Tu očekivano nastupaju izazovi usklađivanja s Općom uredbom o zaštiti podataka (GDPR).

Jedan od općih principa koje GDPR propisuje je i ograničavanje svrhe. Ograničavanje svrhe znači da osobni podaci moraju biti prikupljeni u posebne, izričite i zakonite svrhe te se dalje ne smiju obrađivati na način koji nije u skladu s tim svrhama. GDPR također određuje dužnost jamčenja transparentnosti obrade prema pojedincu čiji podaci se obrađuju. Među pravima koje daje ispitanicima je i pravo da se na njih ne odnosi odluka koja se temelji isključivo na automatiziranoj obradi. AI obrađuje velike količine podataka te se ta obrada uglavnom vrši automatski, bez utjecaja čovjeka, a sam proces obrade niti nije neposredno dostupan čovjeku (odvija se „iza kulisa, u pozadini“). Zbog takve prirode umjetne inteligencije, granice koje postavlja GDPR lako je prekoračiti. Važno je spomenuti i da se u postupku obrade moraju provoditi odgovarajuće tehničke i organizacijske mjere za omogućavanje učinkovite primjene načela zaštite podataka. Pri tome se trebaju uzeti u obzir i priroda, opseg, kontekst i svrhe obrade.

Od gore navedenih zahtjeva GDPR-a koji se tiču obrade osobnih podataka, važno je istaknuti pravo pojedinca da se na njega „ne odnosi odluka koja se temelji isključivo na automatiziranoj obradi, uključujući izradu profila, koja proizvodi pravne učinke koji se na njega odnose ili na sličan način značajno na njega utječu“. Spomenuto pravo ispitanika postoji ako se odluka donosi isključivo na automatiziranoj obradi, što znači da to pravo ne postoji ako je odluka donesena kombinacijom automatizirane i „ručne“ obrade osobnih podataka. Što se tiče učinaka automatizirane obrade, oni moraju biti pravni ili moraju na sličan način značajno utjecati na pojedinca. Pravni učinci će biti oni koji utječu na prava pojedinaca, npr. ako se pojedincu na temelju takve obrade zabrani prelazak preko granice ili mu se uskrati socijalna skrb. Učinci koji na sličan način značajno utječu na pojedinca su oni koji imaju jednak učinak kao i pravni učinci ili su im značajno slični. Utjecaj takvih učinaka ne smije biti beznačajan i mora postojati mogućnost da značajno utječu na okolnosti, ponašanje ili odluke pojedinca, npr. automatsko odbijanje e-zahtjeva za kredit ili recimo praksa donošenja odluke o zapošljavanju bez ljudskog utjecaja.

Za ovu temu također je od posebne važnosti izrada profila o određenoj fizičkoj osobi. Postoje mnogi sustavi koji vrše automatsku obradu podataka, međutim, veoma često AI izvršava profiliranje kao posebnu vrstu automatske obrade. Što je profiliranje? GDPR iznosi sljedeću definiciju:

„Izrada profila“ znači svaki oblik automatizirane obrade osobnih podataka koji se sastoji od uporabe osobnih podataka za ocjenu određenih osobnih aspekata povezanih s pojedincem, posebno za analizu ili predviđanje aspekata u vezi s radnim učinkom, ekonomskim stanjem, zdravljem, osobnim sklonostima, interesima, pouzdanošću, ponašanjem, lokacijom ili kretanjem tog pojedinca.“

AI je sposobna na temelju osobnih podataka donijeti zaključke u vezi pojedinca i to zovemo profiliranjem. Tako su organizacije koje usvoje AI sustav obrade podataka sposobne otkriti što pojedinac voli jesti te koje je spolne orijentacije ili npr. pretpostaviti dijagnozu o odnosu na navike određene osobe. Takva obrada podataka predstavlja znatno zadiranje u pravo privatnosti pojedinca.

Zbog svega navedenog, postoji vjerojatnost da će automatska obrada osobnih podataka prouzročiti visok rizik za prava i slobode pojedinca te dužnost organizacije, koja je voditelj obrade za obradu osobnih podataka koji su u pitanju, provesti procjenu učinka na zaštitu podataka. Ta procjena, uzimajući u obzir prirodu, opseg, kontekst i svrhe obrade, predviđa na koji način će obrada utjecati na pojedinca te također daje moguća rješenja, odnosno predlaže mjere predviđene za rješavanje problema rizika uzimajući u obzir prava i legitimne interese.

AI također obrađuje niz podataka koji nisu osobni. Obrada i prijenos takvih podataka uređuje Uredba Europskog parlamenta i vijeća od 14. studenoga 2018. o okviru za slobodan protok neosobnih podataka u Europskoj uniji (EU) 2018/1807. Ta uredba određuje načelo slobodnog protoka podataka koji nisu osobni podaci unutar Europske unije, osim kad je ograničenje ili zabrana opravdana razlozima javne sigurnosti.
Unutar AI sustava obrada podataka (osobnih i neosobnih) odvija se na način da se prikupljaju podaci iz cijeloga svijeta te se oni pohranjuju i prenose kroz mnogo različitih lokacija unutar i izvan Europske unije. Stoga je potrebno razmotriti obje navedene uredbe prilikom implementacije AI tehnologija.

U siječnju 2019. Vijeće Europe izdalo je Smjernice o umjetnoj inteligenciji i zaštiti podataka. Smjernice možemo sažeti na sljedeće:

1. Zaštita ljudskog dostojanstva, prava i temeljnih sloboda, a posebice prava na zaštitu osobnih podataka, je nužna pri razvoju i usvajanju AI aplikacija.
2. Razvoj AI tehnologija, koji se oslanja na obradu osobnih podataka, trebao bi biti temeljen na zakonitosti, poštenosti, određivanju svrhe, proporcionalnosti obrade podataka, tehničkoj i integriranoj zaštiti podataka, odgovornosti, transparentnosti, sigurnosti podataka i upravljanju rizicima.
3. Pristup usmjeren na izbjegavanje i ublažavanje potencijalnih rizika obrade osobnih podataka je nužan dio odgovornosti za inovaciju u području AI.
4. AI aplikacije moraju u svako doba potpuno poštovati prava ispitanika.

Cybersigurnost

Sve šira primjena AI donosi sa sobom razne rizike po pitanju informacijske sigurnosti. AI sustav je sposoban samostalno zaključivati i donositi odluke automatskim putem, što znači bez prekida i bez ljudskog uplitanja, stoga vanjski napad i uplitanje u rad AI-a može proći neotkriveno. Napadač na taj način može koristiti rad AI sustava za svoje svrhe, a može i ukrasti podatke koje AI prikuplja i obrađuje za svoj rad. Također, i sam napadač može koristiti AI da napadne slabe i ranjive sustave. Takvi napadi su često brzi, malih su troškova i ne privlače pozornost na sebe te zato dugo ostaju neotkriveni.

Korištenje AI-a u zlonamjerne svrhe već poprima široke razmjere i napadaču značajno olakšava posao. AI se može koristiti da istraži slabosti različitih sustava i da onda osmisli efikasnu metodu napada na te sustave. Zanimljivo je da rješenje protiv takvih napada leži upravo u AI tehnologiji. Specijalizirani AI sustav mogao bi predviđati takve napade i biti korak ispred napadača. Novi AI mogu biti izrađeni ne samo radi svoje posebne svrhe, već i da budu otporni na napade, da uče od napadača i adekvatno se zaštite.

Etička pravila

AI se ne bi smio koristiti bez razmatranja i primjena mjera čija svrha je izbjegavanje neželjenih posljedica. S tim na umu, neovisna Grupa stručnjaka visoke razine za umjetnu inteligenciju (High Level Expert Group on Artificial Intelligence - AI HLEG) je 8. travnja 2019. izdala konačnu verziju Etičkih smjernica za pouzdan AI. Cilj tih smjernica jest primijeniti antropocentrički pristup pri razvoju AI-a, odnosno pristup koji osigurava da stvaranje i razvoj AI-a ne budu svrha samima sebi, već da cilj bude povećanje ljudskog blagostanja.

Pouzdan AI bi uz važeće pravo trebao poštivati i niz ključnih zahtjeva koji trebaju biti zadovoljeni da bi se konkretan AI mogao smatrati pouzdanim:

• Ljudsko djelovanje i nadzor: AI sustavi bi trebali omogućiti pravedno društvo podupirući ljudsko djelovanje i temeljna prava, a ne smanjiti, ograničiti ili obmanjivati ljudsku autonomiju.
• Robusnost i sigurnost: pouzdan AI zahtjeva algoritme koji osiguravaju sigurnost, vjerodostojnost i robusnost u rukovanju s greškama i nedosljednostima tijekom svih faza životnog ciklusa AI sustava.
• Privatnost i upravljanje podacima: građani moraju imati potpunu kontrolu nad vlastitim podacima, dok podaci koji se tiču njih ne smiju biti korišteni da bi im se naudilo ili da bi ih se diskriminiralo.
• Transparentnost: trebala bi biti osigurana mogućnost utvrđivanja podrijetla.
• Raznolikost, nediskriminacija i poštenost: AI sistemi bi trebali razmotriti čitav spektar ljudskih sposobnosti, vještina i potreba te osigurati pristupačnost.
• Dobrobit društva i okoliša: AI sustavi bi trebali biti korišteni kako bi se unaprijedile pozitivne društvene promjene i kako bi se pojačala održivost i ekološka odgovornost.
• Odgovornost: trebali bi se ugraditi mehanizmi koji bi osigurali odgovornost za AI sustave i njihove učinke.

Ove smjernice su namijenjene za sve developere ili korisnike AI-a, međutim, i vlade će također imati ključnu ulogu u tom kontekstu. Štoviše, zakonodavci se pozivaju da osiguraju ispravno upravljanje ekonomskim i socijalnim učincima AI-a i da se etička pitanja ispravno uzimaju u obzir sa zakonodavnog stanovišta.

Navedene smjernice neodoljivo podsjećaju na „Tri zakona robotike“ kultnog pisca znanstvene fantastike Isaaca Asimova:

1. Robot ne smije naškoditi čovjeku ili svojom pasivnošću dopustiti da se čovjeku naškodi.
2. Robot mora slušati ljudske naredbe, osim kad su one u suprotnosti s prvim zakonom.
3. Robot treba štititi svoj integritet, osim kad je to u suprotnosti s prvim ili drugim zakonom.

Na kraju možemo zaključiti da je pri razvoju AI tehnologija potrebno uzeti u obzir navedene rizike za prava i slobode pojedinaca te razvijati sustav koji poštuje ljudska prava i etičke smjernice, ne samo radi mogućih kazni regulatora, već i radi šire prihvaćene primjene takvih sustava.

I.         Uvod

Prema Zakonu o energetskoj učinkovitosti, pametno brojilo definirano je kao elektronički sustav koji može mjeriti potrošnju energije pružajući više informacija od konvencionalnog brojila te prenositi i primati podatke koristeći se nekim oblikom elektroničke komunikacije[1]. Pametna brojila su uređaji koji uvode brojne nove mogućnosti poput pružanja detaljnih informacija o potrošnji energije, mogućnosti daljinskog čitanja mjerača, razvoja novih tarifnih i uslužnih usluga na energetskim profilima i mogućnost daljinskog isključivanja opskrbe. Osim toga, čine i dio strategije Europske unije u cilju postizanja održive opskrbe energijom do 2020. godine.[2]

Nadalje, omogućavaju stvaranje, prijenos i analizu podataka koji se odnose na potrošače, mnogo više nego je to moguće putem tradicionalnih brojila. U skladu s time, omogućuju i mrežnim operaterima, dobavljačima energije i ostalim sudionicima da na temelju tih podataka dobiju detaljne informacije o potrošnji energije i načinima korištenja, kao i da donesu odluke o pojedinim potrošačima na temelju njihovih „profila“ o uporabi.

Iako je sigurno da takve odluke mogu biti korisne za potrošača u smislu uštede energije, s druge strane može doći i do neovlaštenih upada u privatne živote građana koji imaju takve uređaje ugrađene u svoje domove. Nadalje, pametna brojila predstavljaju odmak od tradicionalnog odnosu koji je do sad postojao s dobavljačima energije pri čemu su potrošači inače plaćali dobavljačima za opskrbu električnom energijom i plinom, dok će s pojavom pametnih brojila proces postati složeniji tako da će subjekti podataka dobavljačima pružati uvide u svoje osobne navike.[3] Ono što je sigurno, pametna brojila mogu povećati učestalost komunikacije između potrošača i ostalih sudionika te povećati količinu podataka o potrošačima koja im je dostupna, neovisno jesu li to potrošači i htjeli.[4]

Radna skupina za zaštitu podataka iz čl. 29. je potvrdila u svom mišljenju iz 2011. godine da pametna brojila obrađuju osobne podatke te da se u tom slučaju primjenjuju sva relevantna pravila za zaštitu osobnih podataka.[5] S obzirom na to primjenjuje se na obradu podataka od strane pametnih brojila nova Opća uredba o zaštiti podataka (u daljnjem tekstu: Uredba)[6].[7]

Sukladno članku 4. Uredbe „osobni podatak” znači svaki podatak koji se odnosi na pojedinca čiji je identitet utvrđen ili se može utvrditi („ispitanik”) pri čemu, kada se govori o pametnim brojilima, osobni podatak mogu predstavljati različite kategorije podataka. Tako podatak može biti jedinstveni ID pametnog brojila i / ili jedinstveni referentni broj, opis poruke koja se prenosi (primjerice, radi li se o očitavanju brojila ili se radi o upozorenju na neovlašteno rukovanje), podatak o datumu i vremenu ili sam sadržaj poruke. Sadržaj poruke može nadalje uključivati sljedeće vrste podataka: očitovanje brojila, samo jedno očitovanje ili više njih ako se radi o složenijoj tarifi te razna upozorenja (primjerice mjerač može prenijeti poruku koja obavještava da je određeni događaj izazvao alarm brojila), informacije o naponu, nestanku struje i kvaliteti napajanja, ali može sadržavati i druge podatke. Ono što je bitno naglasiti jest, da se osobni podatak odnosi na fizičke osobe, pojedince te se oni smatraju ispitanicima u smislu Uredbe.

Sigurno je da će ugradnja pametnih brojila dovesti do složenih i novih postupaka obrade osobnih podataka pri čemu većina nije svjesna prirode takvih operacija te potencijalnog utjecaja koji bi ono moglo imati na privatnost. Iz tog razloga, članak u nastavku raspravlja moguće smjerove u kojima vodi regulacija pametnih brojila te analizira što bi to zapravo bilo uzimanje u obzir privatnosti, kao temeljnog ljudskog prava, prilikom razvoja i ugradnje pametnih brojila.

II.       Uzimanje privatnosti u obzir

1.         Uloge u obradi osobnih podataka

Za početak je bitno utvrditi uloge u obradi osobnih podataka te odgovornosti koje se vežu uz određenu ulogu. U pogledu Uredbe “voditelj obrade” je fizička ili pravna osoba, tijelo javne vlasti, agencija ili drugo tijelo koje samo ili zajedno s drugima određuje svrhe i sredstva obrade osobnih podataka, a “izvršitelj obrade” je fizička ili pravna osoba, tijelo javne vlasti, agencija ili drugo tijelo koje obrađuje osobne podatke u ime voditelja obrade.

Voditelj obrade je obično distributer koji sklapa ugovor s korisnikom usluge. Voditelj obrade je odgovoran za obrade osobnih podataka za koje je odredio svrhu i sredstva obrade te je dužan dokazati usklađenost s Uredbom. Stoga, u slučaju da su osobni podaci koji se odnose na ispitanika prikupljeni od ispitanika, voditelj obrade u trenutku prikupljanja osobnih podataka ispitaniku mora ispuniti kriterije Uredbe i ispitaniku pružiti sljedeće informacije: identitet i kontaktne podatke voditelja obrade, kontaktne podatke službenika za zaštitu podataka, svrhe obrade kao i pravnu osnovu za obradu; legitimne interese voditelja obrade ili treće strane, primatelje ili kategorije primatelja osobnih podataka. Osim tih informacija voditelj obrade u trenutku kada se osobni podaci prikupljaju mora ispitaniku pružiti i dodatne informacije poput roka čuvanja ili kriterija pomoću čega se određuje, prava na pristup, ispravak, brisanje, povlačenje privole, prava na prigovor nadzornom tijelu, informacije moraju li se osobni podaci dati i koje su posljedice uskrate, postoji li zakonska ili ugovorna obveza za to te informacije o izradi profila – o kojoj je logici riječ te važnost i posljedicu obrade za ispitanika. A ako bi voditelj obrade dodatno namjeravao obrađivati osobne podatke u svrhu koja je različita od one za koju su osobni podaci prikupljeni, voditelj obrade prije te dodatne obrade ispitaniku pruža informacije o toj drugoj svrsi te sve druge relevantne informacije ranije navedene.[8]

2.         Zakonitost obrade osobnih podataka

Uredba navodi kako je obrada osobnih podataka zakonita samo ako, i u onoj mjeri u kojoj je ispunjeno najmanje jedno od sljedećega: 1. ako je ispitanik dao privolu za obradu svojih osobnih podataka u jednu ili više posebnih svrha; 2. ako je obrada nužna za izvršavanje ugovora u kojem je ispitanik stranka ili kako bi se poduzele radnje na zahtjev ispitanika prije sklapanja ugovora, 3. nužna je radi poštovanja pravnih obveza voditelja obrade, 4. kako bi se zaštitili ključni interesi ispitanika ili druge fizičke osobe, 5. za izvršavanje zadaće od javnog interesa ili pri izvršavanju službene ovlasti voditelja obrade ili 6. za potrebe legitimnih interesa voditelja obrade ili treće strane, osim kada su od tih interesa jači interesi ili temeljna prava i slobode ispitanika koji zahtijevaju zaštitu osobnih podataka, osobito ako je ispitanik dijete.[9]

U Republici Hrvatskoj na temelju postojećih propisa nije utvrđen javni interes niti zakonska obveza ugradnje pametnih brojila te krajnja ugradnja pametnih brojila ovisi o sadržaju ugovora i privoli pojedinca. Ugovor definira prava i obveze voditelja obrade i ispitanika, očitavanja potrošnje plina, obračun nužan za ispostavljanje računa. Međutim, sve ono što nije nužno za samo izvršavanje ugovora (npr. češća očitavanja) se može prikupljati i obrađivati samo uz privolu potrošača.

Prema Uredbi je „privola” svako dobrovoljno, posebno, informirano i nedvosmisleno izražavanje želja ispitanika kojim on izjavom ili jasnom potvrdnom radnjom daje pristanak za obradu osobnih podataka koji se na njega odnose[10]. Kada se obrada temelji na privoli, voditelj obrade mora moći dokazati da je ispitanik dao privolu za obradu svojih osobnih podataka. Ako je ispitanik dao privolu u vidu pisane izjave koja se odnosi i na druga pitanja, zahtjev za privolu mora biti predočen na način da ga se može jasno razlučiti od drugih pitanja, u razumljivom i lako dostupnom obliku uz uporabu jasnog i jednostavnog jezika. Bitno je naglasiti kako ispitanik ima pravo u svakom trenutku povući svoju privolu, pri čemu povlačenje ne utječe na zakonitost obrade prije njezina povlačenja o kakvoj mogućnosti se ispitanika prije davanje privole mora obavijestiti te se povlačenje privole mora učiniti jednako jednostavnim kao i njezino davanje. Kada se procjenjuje je li privola bila dobrovoljna, u najvećoj mogućoj mjeri uzima se u obzir je li, među ostalim, izvršenje ugovora, uključujući pružanje usluge, uvjetovano privolom za obradu osobnih podataka koja nije nužna za izvršenje tog ugovora.[11]

Kako je ranije navedeno, u slučaju da pojedinac želi ugraditi pametno brojilo, bit će ga potrebno upoznati sa svim relevantnim informacijama iz čl. 13. Uredbe (poput podataka o svrsi prikupljanja podataka, roku čuvanja podataka i primateljima). S obzirom na to da klasični ugovor o opskrbi plinom trenutačno ne sadržava takve informacije, a ugradnja pametnog brojila nije obavezna, nužno je u ugovoru o opskrbi plinom navesti sve informacije iz čl. 13. Uredbe te za sve dodatne obrade osobnih podataka koje nisu regulirane ugovorom tražiti privolu potrošača koja će također sadržavati sve informacije iz čl. 13 . Uredbe.

3.         Procjena učinka na zaštitu podataka

Samo pružanje informacija iz članka 13. nije dovoljno kako bi se u potpunosti zaštitila privatnost pojedinaca tijekom obrade osobnih podataka, stoga su voditelji obrade dužni u obzir uzeti i druga načela zaštite osobnih podataka. Tako je Radna skupina u svom Mišljenju 12/2011 o pametnim brojilima[12] predložila da se u svrhu zaštite pojedinaca prilikom obrade osobnih podataka uvedu procjene učinka na zaštitu podataka, a što Uredba propisuje kao obvezu za nove tehnologije, profiliranja i visokorizične obrade podataka.  U tom se smislu navodi da, ako postoji vjerojatnost da će neka vrsta obrade, osobito putem novih tehnologija prouzročiti visok rizik za prava i slobode pojedinaca, voditelj obrade prije same obrade mora provesti procjenu učinka predviđenih postupaka obrade na zaštitu osobnih podataka. Sukladno tome bi voditelji obrade podataka iz sustava pametnih brojila bili dužni provesti takvu procjenu kako bi privatnost pojedinaca bila potpuno zaštićena, a njihovi postupci usklađeni s Uredbom.

Procjena učinka na zaštitu podataka obvezna je osobito u slučaju: 1. sustavne i opsežne procjene osobnih aspekata u vezi s pojedincima koja se temelji na automatiziranoj obradi, uključujući izradu profila, i na temelju koje se donose odluke koje proizvode pravne učinke na pojedinca, 2. opsežne obrade posebnih kategorija osobnih podataka ili podataka u vezi s kaznenim osudama i kažnjivim djelima ili 3. sustavnog praćenja javno dostupnog područja u velikoj mjeri.

Obavezno mora sadržavati, barem: sustavan opis predviđenih postupaka obrade i svrhu obrade, uključujući, ako je primjenjivo, legitimni interes voditelja obrade, procjenu nužnosti i proporcionalnosti postupaka obrade povezanih s njihovim svrhama, procjenu rizika za prava i slobode ispitanika te mjere predviđene za rješavanje problema rizika, uzimajući u obzir prava i legitimne interese ispitanika i drugih uključenih osoba. Preporučljivo je da voditelj obrade traži mišljenje od nadzornog tijela (u Republici Hrvatskoj Agencije za zaštitu osobnih podataka) o namjeravanoj obradi te da provodi preispitivanje kako bi procijenio je li obrada provedena u skladu s procjenom učinka na zaštitu podataka barem onda kada postoji promjena u razini rizika koji predstavljaju postupci obrade.[13]

4.         Načelo pouzdanosti

Osim procjene učinka, Uredba stavlja kao imperativ u načelo pouzdanosti koje zahtijeva da voditelj obrade odgovara za činjenicu da se osobni podaci prikupljaju zakonito, pošteno i transparentno, u posebne, izričite i zakonite svrhe, pri čemu se dalje ne smiju obrađivati na način koji nije u skladu s tim svrhama, da su podaci primjereni, relevantni i ograničeni na ono što je nužno u odnosu na svrhe u koje se obrađuju, točni i prema potrebi ažurni, čuvani u obliku koji omogućuje identifikaciju ispitanika samo onoliko dugo koliko je potrebno u svrhe radi kojih se osobni podaci obrađuju, obrađivani na način kojim se osigurava odgovarajuća sigurnost osobnih podataka, uključujući zaštitu od neovlaštene ili nezakonite obrade te od slučajnog gubitka, uništenja ili oštećenja primjenom odgovarajućih tehničkih ili organizacijskih mjera.[14]

5.         Tehnička i integrirana zaštita podataka

Voditelj obrade, nadalje, mora primijeniti načelo tehničke i integrirane zaštite podataka koje zahtijeva da voditelj obrade, i u vrijeme određivanja sredstava obrade i u vrijeme same obrade, provodi odgovarajuće tehničke i organizacijske mjere, poput pseudonimizacije, smanjenja količine podataka te uključenja zaštitnih mjera u obradu.[15]. Pseudonimizacijom podrazumijeva obradu osobnih podataka na način da se osobni podaci više ne mogu pripisati određenom ispitaniku bez uporabe dodatnih informacija, pod uvjetom da se takve dodatne informacije drže odvojeno te da podliježu tehničkim i organizacijskim mjerama kako bi se osiguralo da se osobni podaci ne mogu pripisati pojedincu čiji je identitet utvrđen ili se može utvrditi;[16] Osim toga, osigurava se da budu obrađeni samo osobni podaci koji su nužni za svaku posebnu svrhu obrade. Ta se obveza primjenjuje na količinu prikupljenih osobnih podataka, opseg njihove obrade, razdoblje pohrane i njihovu dostupnost. Točnije, takvim se mjerama osigurava da osobni podaci nisu automatski, bez intervencije pojedinca, dostupni neograničenom broju pojedinca na neograničeno vrijeme.[17] Kao primjer možemo uzeti situaciju gdje jedna vrsta brojila prikuplja podatke o potrošnji svakih 10 do 60 minuta u svrhu stvaranja grafikona opterećenja pri čemu se učestalost prikupljanja može podesiti daljinski od strane mrežnog operatera. Grafikon se pritom pohranjuje unutar brojila 2 mjeseca, a operater prikuplja te podatke kada su mu potrebni. Kako bi se zaštitila privatnost te primijenilo načelo tehničke i integrirane zaštite, ovaj model može se prilagoditi i tako da se podaci prikupljaju samo na zahtjev potrošača.[18]

6.         Sigurnost obrade podataka

S obzirom na to da ugradnja pametnih brojila povećava rizik za sigurnosne incidente i povrede osobnih podataka, u odnosu na klasična brojila, voditelj obrade je dužan poduzeti nužne mjere kako bi zaštitio podatke od neovlaštenog pristupa, brisanja ili izmjene.

Voditelj obrade je dužan redovno nadzirati informacijski sustav te procijeniti rizik bilo koje povrede osobnih podataka. Ako se radi o povredi osobnih podataka koja bi mogla prouzročiti visok rizik za prava i slobode pojedinca tada će, sukladno Uredbi, morati obavijestiti nadzorno tijelo i potrošače o takvoj povredi. U svakom slučaju, voditelj obrade mora dokumentirati povrede osobnih podataka i poduzimati sve nužne mjere da do povrede osobnih podataka ne dođe.

III.     Zaključak

Pametna brojila postaju dio naše stvarnosti te se njihovu primjenu treba kvalitetno urediti kako bi se zaštitili pojedinci, pogotovo u trenutku kada je zaštita osobnih podataka jedno od gorućih pitanja iz sfere zaštite ljudskih prava. Prilikom ugradnje pametnih brojila u kućanstva, bitno je voditi računa o zahtjevima koje pred voditelje obrade stavlja Uredba. Prvenstveno se misli na zakonitost obrade podataka te načelo pouzdanosti, ali i tehničku i integriranu zaštitu podataka te provedbu procjene učinka na zaštitu podataka.

Zaštita osobnih podataka i pravo na poštovanje obiteljskog života su važna temeljna ljudska prava te nisu samo vezana za neugodnosti ili uznemiravanja. Ta temeljna prava su usko povezana s transparentnošću, demokracijom, intimom i povjerenjem. Ovaj članak je poslužio kao model što se sve mora uzeti u obzir prilikom ugradnje i primjene pametnih brojila jer će voljnost potrošača da pristanu na ugradnju pametnih brojila ovisiti o tome koliko se koncept privatnosti uklopio u primijenjene tehnologije i procese u vezi s pametnim brojilima.

[1]Zakon o energetskoj učinkovitosti (Narodne novine br. 127/2014), čl. 4.[2]Mišljenje 12/2011 o pametnim brojilima, Radna skupina za zaštiti pojedinaca glede obrade osobnih podataka, usvojeno 4.travnja 2011.,str.1.[3]Ibid., str.2,3.[4]Ibid., str.6.[5]Op.cit.(bilj.2.) str. 3. [6]Puni naziv: Uredba (EU) 2016/679 Europskog parlamenta i Vijeća od 27. travnja 2016. o zaštiti pojedinaca u vezi s obradom osobnih podataka i o slobodnom kretanju takvih podataka te o stavljanju izvan snage Direktive 95/46/EZ.[7]Op.cit.(bilj.2.) str. 7. [8]Ibid., čl. 13.[9]Op. cit.(bilj. 5)., čl. 6.[10]Ibid., čl. 4.[11]Ibid., čl. 7.[12]Op.cit.(bilj.2.)[13]Op.cit.(bilj.5.)čl. 35.[14]Ibid.,čl. 5.[15]Ibid., čl. 25.[16]Ibid, čl. 4.[17]Ibid.,čl. 25.[18]Op.cit.(bilj.2.), str.16.

Krajem 2018. godine stupio je na snagu Zakon o izmjenama i dopunama Zakona o osiguranju. Novi zakon ima 142 članka te opseg promjena koje donosi nije zanemariv. Ovdje ćemo se koncentrirati na promjene koje se tiču zaštite osobnih podataka. Naime, novela zakona provedena je, između ostaloga, radi Opće uredbe o zaštiti podataka (u daljnjem tekstu: „Uredba“) koja se primjenjuje izravno u Hrvatskoj od 25. svibnja 2018.

Kada se poziva na druge propise, Zakon sada umjesto nekadašnje formulacije:

…u smislu ovog Zakona i Zakona o zaštiti osobnih podataka“

koristi formulaciju

„…u smislu ovog Zakona i propisa kojima se uređuje zaštita osobnih podataka“.

Na taj način poziva se općenito na sve pravne izvore koje uređuju zaštitu osobnih podataka. Pritom se prvenstveno misli na Uredbu i na Zakon o provedbi Opće uredbe o zaštiti podataka.

Sljedeće ćemo spomenuti obavezu tijela i osoba koja pohranjuju i obrađuju osobne podatke, da ih brišu kada nisu više potrebni u svrhe za koje ih se čuva ili kada je njihovo čuvanje nerazmjerno zakonitom cilju koji se želi postići. Kao primjer navodimo uklanjanje osobnih podataka u svrhu rehabilitacije osuđenika za prekršaje. Iako Prekršajni zakon navodi rok od 3 godine, nakon čijeg isteka je upotreba podataka o počinitelju zabranjena, ipak Zakon to specificira i određuje obvezu uklanjanja Hrvatskoj agenciji za nadzor financijskih usluga svih podataka o prekršaju iz kojih bi bilo moguće utvrditi identitet počinitelja. Drugim riječima, obvezna je anonimizacija osobnih podataka. Postoji nekoliko drugih slučajeva u kojima zakon propisuje obvezu brisanja. Ona se najčešće odnosi na Hrvatski ured za osiguranje i društva za osiguranje u slučajevima koji se odnose na čuvanje podataka o osiguranicima za vrijeme trajanja ugovora o osiguranju, vođenje evidencije utvrđenih spornih događaja, čuvanje podataka dobivenih u razmjeni podataka i sl.

Zakon, nadalje, definira pojedina prava i dužnosti voditelja obrade, odnosno izvršitelja obrade, za neke konkretne slučajeve. Tako se, na primjer, određuje da se odredbe poglavlja o promidžbenim aktivnostima primjenjuju na distributere osiguranja ako ih provode u ulozi voditelja obrade osobnih podatka. Slično imamo kod odredaba o poslovnim tajnama koje se odgovarajuće primjenjuju na distributere osiguranja i Hrvatski ured za osiguranje ako u obradi osobnih podataka sudjeluju u ulozi voditelja obrade ili izvršitelja obrade.

Značajan javni interes

Novi Zakon na određenim mjestima konkretno propisuje koji osobni podaci će se obrađivati za određene slučajeve. Zanimljivo je spomenuti da je novi Zakon, kada je to nužno za sklapanje i izvršenje ugovora o osiguranju, odnosno za ostvarenje prava osiguranika, izričito dopustio obradu osobnih podataka ispitanika koji se odnose na zdravlje. Zakon, naime, navodi da poslovi osiguranja podrazumijevaju i obradu posebnih kategorija osobnih podataka, kao što su to podaci koji se odnose na zdravlje, te da su to poslovi od značajnog javnog interesa.

Legitimni interes

Za kraj, istaknimo još da novi Zakon u članku 383. st. 3. propisuje da

”Društvo za osiguranje obavlja aktivnosti izravne promidžbe proizvoda koje nudi na tržištu kao svoj legitimni interes kada je takva promidžba usmjerena prema ugovornoj stranci za vrijeme trajanja ugovornog odnosa."

te se time poziva na legitimni interes kao pravnu osnovu za obradu osobnih podataka u skladu s Uredbom.

Prema nekim vijestima u medijima, dalo bi se zaključiti da više nije dozvoljeno fotografirati događanja zbog nove Opće uredbe o zaštiti podataka (eng. GDPR). Srećom, to nije istina jer se u određenim slučajevima za novinare primjenjuju iznimke u skladu sa Zakonom o medijima, dok se u drugim slučajevima može fotografirati na temelju legitimnog interesa ili privole. Uz sljedeće savjete, moći ćete fotografirati događanja u skladu s GDPR-om.

Zakonita obrada

Članak 6. GDPR-a navodi šest osnova za zakonitu obradu osobnih podataka:

1.    ispitanik je dao privolu za obradu svojih osobnih podataka u jednu ili više posebnih svrha,

2. obrada je nužna za izvršavanje ugovora u kojem je ispitanik stranka ili kako bi se poduzele radnje na zahtjev ispitanika prije sklapanja ugovora,

3. obrada je nužna radi poštovanja pravnih obveza voditelja obrade,

4. obrada je nužna kako bi se zaštitili ključni interesi ispitanika ili druge fizičke osobe,

5. obrada je nužna za izvršavanje zadaće od javnog interesa ili pri izvršavanju službene ovlasti voditelja obrade,

6. obrada je nužna za potrebe legitimnih interesa voditelja obrade ili treće strane, osim kada su od tih interesa jači interesi ili temeljna prava i slobode ispitanika.

Obrada je zakonita ako postoji jedna od navedenih osnova.

Legitimni interes

Na temelju legitimnog interesa organizator događanja može fotografirati događanje ako može jamčiti da će zaštititi privatnost sudionika. To uključuje jamstvo da se neće upuštati u zabranjene aktivnosti poput skrivanja fotoaparata ili uhođenja. Potrebno je prethodno obavijestiti sudionike o namjeri fotografiranja. Organizator bi također trebao pružiti sudionicima, koji to zatraže, mogućnost da se izbriše određena fotografija na kojoj su prepoznatljivi.

Ako se izbliza fotografiraju osobe koje su prepoznatljive i takve fotografije se koriste u promotivne svrhe (npr. internetska stranica, društvene mreže, brošure), u takvim slučajevima je potrebno zatražiti privolu (pristanak) te objasniti sudioniku na koji način će se fotografije koristiti.

Organizator bi za sva slična događanja trebao napraviti analizu legitimnog interesa koja bi odgovorila na pitanja: o kakvom događanju se radi, koja je svrha fotografiranja, gdje će fotografije biti objavljene, koje je zaštitne mjere potrebno poduzeti te je li među sudionicima ima djece i osoba s invaliditetom ili se npr. radi o okupljanju političke stranke.

Osnovne informacije o legitimnom interesu možete pronaći na: https://ec.europa.eu/info/law/law-topic/data-protection/reform/rules-business-and-organisations/legal-grounds-processing-data/grounds-processing/what-does-grounds-legitimate-interest-mean_hr.

Dajemo vam 6 jednostavnih savjeta kako uskladiti fotografiranje događanja s GDPR-om:

1.    Objavljujte samo one fotografije na kojima ljudi nisu izbliza prikazani (u krupnom planu)

Organizatori događanja se često mogu pozivati na svoj legitimni interes kada fotografiranju događanja u svrhu dokazivanja da je događanje održano te koliko sudionika je bilo na događanju. Ako se fotografu naloži da fotografira iz daljine, po mogućnosti tako da su posjetitelji okrenuti leđima, organizator se može osloniti na legitimni interes kao osnovu za fotografiranje i objavu fotografija. Fotograf ili administrator internetske stranice također bi kasnije trebao provjeriti nalaze li se na fotografijama veoma prepoznatljivi ljudi, poput onih u invalidskim kolicima ili ljudi u (radnoj) odjeći s imenom. Također se određene osobe mogu zamagliti koristeći softverske alate za obradu fotografija.

2. Obavijestite sudionike o prisutnosti fotografa prilikom njihove registracije za događanje ili prilikom kupnje ulaznice

Prije održavanja događanja, organizator mora obavijestiti sudionike o prisutnosti fotografa te o svim informacijama iz čl. 13. GDPR-a (npr. gdje će fotografije biti objavljene, u koju svrhu se vrši fotografiranje, kome se prosljeđuju fotografije i koliko dugo se čuvaju).

3. Ograničite pristup

Dobro jamstvo pri oslanjanju na osnovu legitimnog interesa je ograničiti pristup fotografijama na kojima su ljudi veoma prepoznatljivi svima osim polaznicima konkretnog događaja. Preporučuje se također da administrator Internet stranice na stranicu postavi obavijest o autorskom pravu koja upozorava posjetitelje da nije dozvoljeno dijeliti fotografije.

4. Zatražite privolu osoba koje su na fotografijama prikazane izbliza (u krupnom planu)

Kada fotograf želi napraviti fotografiju izbliza, trebao bi pribaviti privolu od pojedine osobe. Također bi bilo preporučljivo, kada je to moguće, odmah nakon fotografiranja pokazati fotografije toj osobi.

5. Ugovor o obradi podataka

Sklopite ugovor o obradi u skladu s čl. 28. GDPR-a s vanjskim suradnicima koji fotografiraju događanje (izvršitelji obrade) u kojima dajete jasne upute koliko dugo se smiju čuvati fotografije, u koje svrhe se smiju koristiti fotografije te kada se mora tražiti privola od osoba koje se fotografiraju.

6. Budite oprezni

Kao dodatna mjera opreza, organizator može osigurati poseban prostor za sudionike koji ne žele biti fotografirani prilikom konzumiranja hrane/pića ili najaviti fotografiranje u određeno vrijeme te se mogu prilikom registracije podijeliti sudionicima bedževi kojima se daje do znanja fotografu koje osobe ne žele biti fotografirane.

Za više informacija o usklađivanju s GDPR-om možete nam se obratiti na info@privacycompany.hr.

In-house edukacija predstavlja oblik edukacije polaznika dizajniran prema specifičnim potrebama. Prednost je takve edukacije stavljanje fokusa na konkretne poslovne procese i izazove. Održava se u vrijeme i na mjestu prema željama klijenta i postiže se maksimalan učinak bez zapostavljanja redovitih poslovnih obveza.
Individualni pristup omogućuje proučavanje procesa pojedine organizacije i njihovo usklađivanje s pravnim zahtjevima. Zaposlenicima se detaljno objašnjavaju njihove obveze i prava u odnosu na zadanu temu te im se daju praktični primjeri kako bi što lakše prilagodili svoje zadatke unutar poslovnih procesa.

IN-HOUSE edukacija – službenik za zaštitu podataka

Stupanjem na snagu Opće uredbe o zaštiti podataka (eng. General Data Protection Regulation - GDPR) mnogi poslodavci imaju obvezu imenovanja službenika za zaštitu podataka (službenik), a neki su poslodavci samoinicijativno procijenili da bi im imenovanje službenika bilo korisno. Službenik je osoba koja u svojoj organizaciji mora nadzirati primjenu GDPR-a, pratiti usklađivanje procesa, upozoravati, obavještavati i poduzimati mjere za usklađivanje. Zadaće su službenika navedene u GDPR-u, međutim njihova provedba ovisi o vrsti organizacije. Kompleksnost i tip zadataka službenika neće biti jednaki u svim organizacijama.

Također, službenik ima ulogu podijeliti svoje znanje s kolegama i usmjeriti ih na ponašanje koje od njih zahtijeva GDPR i interni akti organizacije. In-house edukacijom pomažemo službeniku u izvršavanju njegovih zadaća tako da educiramo službenika i sve zaposlenike koje su novosti u skladu s GDPR-om, koji su njihovi zadaci i odgovornosti i na koji ih način moraju uklopiti u izvršavanje obveza koje su u opisu njihovih radnih mjesta.

Prednosti in-house edukacije:

• usredotočenost na način poslovanja vaše organizacije
• davanje konkretnih i praktičnih savjeta svim osobama koje su uključene u proces usklađivanja
• mogućnost dogovora termina edukacije na mjestu i u vrijeme koje vam najviše odgovara
• postizanje maksimalne učinkovitosti uz minimalan utrošak vremena
• davanje prednosti rješavanju zadataka koji za vas predstavljaju najveću hitnost
• prijenos novih vrijednosti i znanja za povećanje efikasnosti poslovnih procesa

Za više informacija o GDPR edukacijama koje organiziramo posjetite našu stranicu ili nam se obratite na info@privacycompany.hr

Na zahtjev Ministarstva sigurnosti i pravde društvo Privacy Company provelo je procjenu učinka na zaštitu podataka sukladno Općoj uredbi o zaštiti podataka - GDPR (u nastavku: Procjena učinka) u odnosu na Microsoft Office ProPlus Enterprise (Office 2016 MSI i Office 365 CTR). Uz dozvolu Ministarstva, objavljujemo novosti u vezi procijenjenih rizika. Za sva pitanja u vezi s ovim istraživanjem možete se obratiti SLM Rijk (Strategic Vendor Management Microsoft Rijk), koji je dostupan putem Ureda za javnost Ministarstva pravde, +3170 370 73 45.

SLM Rijk vodi pregovore sa Microsoftom za oko 300.000 digitalnih radnih stanica nizozemske vlade. Enterprise verziju uredskog softvera koriste različite vladine organizacije, kao što su ministarstva, pravosuđe, policija i porezna tijela.
Rezultati Procjene učinka su alarmantni. Microsoft prikuplja i pohranjuje osobne podatke o ponašanju zaposlenika u velikim razmjerima, bez ikakve javne dokumentacije. Objavljena Procjena učinka je dostupna na engleskom jeziku: Link. Tijekom izrade ove Procjene učinka, Microsoft se obvezao da će poduzeti nužne mjere kako bi smanjio rizik za obradu osobnih podataka.

Office 2016 i Office 365

Većina vladinih organizacija u Nizozemskoj koristi verzije Office 2016 i Office 365 (ili čak i starije verzije) koje su instalirane na računalima zaposlenika. Organizacije pohranjuju podatke lokalno, u svojim vlastitim podatkovnim centrima. Međutim, to će se promijeniti jer SLM Rijk provodi pilot verziju sa pohranom podataka na Microsoft cloud-u, u SharePoint-u i na OneDrive-u. Također, provode se i test verzije Office 365 koja je namijenjena isključivo za Internet, gdje softver više nije instaliran na uređajima krajnjih korisnika.

Prikrivena obrada osobnih podataka velikih razmjera

Microsoft sistematično i prikriveno prikuplja podatke velikog razmjera o pojedinačnoj upotrebi Worda, Excela, PowerPointa i Outlooka. Pritom ne nudi nikakav izbor u vezi količine podataka, mogućnosti prestanka prikupljanja i uvida u podatke koji se prikupljaju, budući da je tok podataka kodiran. Sličnu praksu pronalazimo u Windowsu 10, gdje je Microsoft uključio odvojeni softver u Office softver koji redovito šalje telemetrijske podatke na vlastiti server u Sjedinjenim Američkim Državama. Primjerice, Microsoft prikuplja podatke o postupcima u Wordu, kada koristite tipku za razmak više puta zaredom, što vjerojatno znači da ne znate ispravan pravopis. Također se prikupljaju informacije o rečenicama prije i poslije riječi koju ste provjerili u mrežnom alatu za provjeru pravopisa ili u pružatelju usluga prevođenja. Microsoft ne prikuplja samo podatke putem telemetrije koja je ugrađena svakom korisniku, već dokumentira i pohranjuje individualno korištenje Povezanih usluga (eng. Microsoft Connected Services). Primjerice, ako korisnik pristupi Povezanoj usluzi, kao što je usluga prevođenja kroz Office softver, Microsoft može pohraniti osobni podatak o korištenju te usluge putem tzv. sistemski generiranih logova događaja.

Razlika između sadržaja, dijagnostike i funkcionalnih podataka

Microsoft pruža usluge putem Interneta. Iz tehničke perspektive, neizbježno je ustupanje vaših podataka poput zaglavlja e-pošte ili IP adrese Microsoftu, kako bi se tražena usluga mogla pružiti. Međutim, Microsoft ne bi trebao pohranjivati prijelazne-funkcionalne podatke, osim ako je njihovo čuvanje nesumnjivo potrebno, primjerice, u sigurnosne svrhe. U ovom izvješću o Procjeni učinka, podaci koje Microsoft prikuplja putem Office ProPlus-a raspoređeni su u tri kategorije:

Podaci o sadržaju: sadržaj datoteka i komunikacija koje su pohranjene u vašem podatkovnom centru ili cloud-u Microsoftovog računala.

Funkcionalni podaci: podaci koje morate prenijeti putem Interneta kako bi se mogli povezati sa Microsoftovim internetskim uslugama.

Dijagnostički podaci: podaci koje Microsoft pohranjuje radi analize korištenja usluga.

U ovom izvješću, Privacy Company koristi tri kategorije podataka u analogiji sa podjelom komunikacijskih podataka u skladu s europskim zakonima o elektroničkoj privatnosti. Navedeni zakoni razlikuju (i) sadržaj, (ii) promet/lokaciju podataka koji su generirani kao rezultat korištenja komunikacijskih usluga te (iii) podatke koji su nužno potrebni za prijenos komunikacije, ali moraju biti obrisani ili anonimizirani odmah po završetku prijenosa.

Microsoft naglašava kako ne koristi navedene kategorije podataka te da, između ostalog, koristi kategorije „Podaci o korisnicima“ i „Osobni podaci“. Microsoft koristi samo termin „Dijagnostički podaci“ za specifične telemetrijske podatke prikupljene putem softvera koji je ugrađen klijentu u lokalno instaliranom Office softveru.

Od 23.000 do 25.000 vrsta događaja

Microsoft (zasad) ne nudi mogućnost istraživanja sadržaja toka dijagnostičkih podataka. Microsoft je objasnio kako je od 23.000 do 25.000 vrsta događaja poslano na Microsoftove servere i kako 20-30 inženjerskih timova radi s tim podacima. Inženjeri mogu dinamički dodati nove događaje toku podataka sa svih računala na kojima je Office ProPlus. Prikupljanje podataka je puno specifičnije od telemetrije u Windowsu 10. Ako je telemetrija u Windowsu 10 podešena na „potpuno“, to uključuje od 1.000 do 1.200 vrsta događaja te 10 timova inženjera. Nizozemsko nadzorno tijelo za zaštitu podataka (u nastavku: DPA) u 2017. godini provelo je istragu o obradi telemetrijskih podataka u potrošačkoj verziji Windowsa 10 i verziji za mala poduzeća (Home i Pro).
Nizozemski DPA zaključio je kako je Microsoft prekršio zakon o zaštiti osobnih podataka na više načina, a najviše putem manjka transparentnosti i ograničenja svrhe te manjka pravnih temelja za obradu. Kao odgovor na navedeno istraživanje, Microsoft je napravio određene prilagodbe u novom izdanju softvera u proljeće 2018. godine. Nizozemski DPA zaključio je (prije izdavanja novog softvera, putem isključivo nizozemskih medija) kako će plan za unapređenje koji je prezentirao Microsoft zaustaviti sva utvrđena kršenja zakona. Nizozemski DPA nije istražio obradu podataka od strane Office softvera.

Microsoft kao (zajednički) voditelj, a ne izvršitelj obrade

Microsoft određuje svrhe obrade dijagnostičkih podataka u Office-ovom softveru te razdoblje čuvanja tih podataka (od 30 dana do 18 mjeseci ili i dulje, ako je to Microsoftu potrebno). Izvještaj Procjene učinka pokazuje kako Microsoft obrađuje osobne podatke u 7 svrha i u sve ostale svrhe za koje Microsoft smatra da su povezane. S obzirom na to da Microsoft određuje svrhe i sredstva (za razdoblje čuvanja), Microsoft ima ulogu voditelja, a ne izvršitelja obrade.
7 navedenih svrha su:

1. Sigurnost - identificiranje i smanjivanje sigurnosnih prijetnji i rizika što je to brže moguće kroz ažuriranja Office Proplus i korekciju povezanih usluga.
2. Ažurnost - isporuka i instaliranje najnovijih ažuriranja na Office Proplus bez prekida.
3. Pravilno izvršavanje - identificiranje i smanjivanje anomalija, (eng. bugs) i ostalih problema proizvoda što je brže moguće kroz ažuriranja Office Proplus i korekciju povezanih usluga.
4. Razvoj proizvoda - učenje radi dodavanje novih mogućnosti.
5. Inovacije proizvoda - poslovna inteligencija, razvoj novih usluga.
6. Generalni zaključci doneseni temeljem dugoročnih analiza - učenje kroz strojnu podršku.
7. Prikaz ciljanih preporuka na ekranu korisnika.
8. Svrhe za koje je Microsoft utvrdi da su povezane sa svih 7 navedenih svrha.

Softver Office ProPlus uključuje korištenje velikog broja mrežnih usluga. Međutim, Microsoft nudi i tzv. „diskrecijske“ (dobrovoljne) Povezane usluge, kao što su provjera pravopisa i usluga prijevoda. Microsoft se smatra voditeljem obrade samo u slučaju kada ljudi koriste tzv. diskrecijske Povezane usluge. U tom slučaju, Microsoft obrađuje osobne podatke o korištenju navedenih usluga u svih 12 svrha navedenih u svojoj općoj izjavi o privatnosti.

Veliki rizik za zaštitu osobnih podataka ispitanika

Izvješće o Procjeni učinka sadrži opsežan opis 8 visokih rizika za osobne podatke ispitanika. Vladine organizacije koje koriste Office trebale bi svaka za sebe odrediti koji su specifični rizici, u odnosu na specifične podatke koje obrađuju. Intencija izvješća je pomoći, a ne zamijeniti tu procjenu.

Tijekom pisanja izvješća o Procjeni učinka, Microsoft je već dostavio SLM Rijku obećanje da će napraviti sve bitne prilagodbe kako bi smanjio rizike. Microsoft je razvio tzv. zero-exhaust postavke. Microsoft namjerava pružiti odgovarajuće informacije, uključujući i alat za pregled podataka za telemetrijske podatke iz Office-a i pružiti mogućnost administratorima da odrede željeni nivo telemetrije. Dodatno, SLM Rijk i Microsoft Office će zajednički raditi na ispravnoj kvalifikaciji Microsofta kao (zajedničkog) voditelja obrade ili izvršitelja obrade.

Neki od preostalih rizika mogu se smanjiti tako što će organizacije koristiti nove postavke kako bi minimalizirale obradu telemetrijskih podataka. Preostalo je još 6 visokih rizika za ispitanike:

1. Nezakonito čuvanje osjetljivih/povjerljivih/posebnih kategorija podataka, u meta-podacima i u, primjerice, naslovu e-pošte.
2. Pogrešna kvalifikacija Microsofta kao izvršitelja obrade, umjesto kao zajedničkog voditelja sukladno članku 26. GDPR-a.
3. Nedovoljna kontrola pod-izvršitelja i činjenične obrade podataka.
4. Nedovoljno ograničenje svrhe, za obradu prethodno prikupljenih dijagnostičkih podataka te za mogućnost i dinamičnost dodavanja novih vrsta događaja.
5. Prijenos (različitih vrsta) dijagnostičkih podataka izvan Europskog gospodarskog prostora za Office ProPlus temeljem Privacy Shield sporazuma dok je valjanost ovog sporazuma predmet postupka pred Europskim sudom pravde.
6. Trajno čuvanje dijagnostičkih podataka i nedostatak alata za brisanje prethodnih/starih dijagnostičkih podataka.

Što administratori mogu napraviti kako bi smanjili rizik?

Administratori Enterprise verzije Office ProPlusa mogu poduzeti velik broj mjera kako bi smanjili rizik za privatnost:

• Primijeniti tzv. zero-exhaust postavke.
• Zabraniti korištenje Povezanih usluga.
• Zabraniti mogućnost korisnicima da šalju osobne podatke Microsoftu za unaprjeđenje Office usluga.
• Ne koristiti SharePoint Oneline/OneDrive.
• Ne koristiti web-only verziju Office 365.
• Periodično brisati Active Directory račune određenih VIP korisnika te kreirati nove račune, kako bi osigurali da Microsoft briše prethodne dijagnostičke podatke.
• Uzeti u obzir samostalno raspoređivanje povjerljivih/osjetljivih podataka, bez Microsoft računa.
• Uzeti u obzir probnu verziju alternativnog softvera, nakon provođenja procjene učinka na zaštitu podataka za tu specifičnu obradu.

Navedene mjere nisu u svim slučajevima realne ili izvedive te korisnici (Enterprise) Office usluga ne mogu sami riješiti sve probleme. U vezi s potrebnim ugovorima i prijenosom osobnih podataka u Sjedinjene Američke Države, moralo bi se težiti jedinstvenom rješenju za cijelu Europsku uniju.

Za više informacija o proizvodima i uslugama Privacy Company u Hrvatskoj, molimo obratite se na marija.boskovic@privacycompany.eu