Nikola STOJIĆ

1. januar 2021.

Često se može čuti da je vreme relativno i da u zavisnosti od percepcije vremena ono može teći brže ili sporije. No, kada primenimo navedenu konstataciju na tehnologiju, vreme teče kao kada premotavamo traku na VHS kaseti unapred u odnosu na druge delove društva. Vreme od pet godina za IT svet predstavlja vremenski period u kome se događaji i industrijski napredak odvijaju mnogo brže u odnosu na druge grane industrije. S obzirom na brzinu promena, one vrlo često nisu praćene potrebnom pravnom regulativom koja za svoj cilj ima da postavi pravni okvir u korišćenju tehnologije i spreči njenu zloupotrebu. Pravo samo po sebi je sporo u svom delovanju i traži vreme kako bi se primenilo na pravi način; vreme da analizira promene u društvu, a zatim da postavi dalje smernice za njegovo funkcionisanje. Upravo u tom, interregnum periodu, javljaju se pravne praznine dok su postojeća pravila zastarela i nedovoljna da daju odgovore na sva pitanja. Postojanje pravnih praznina predstavlja idealni prostor mnogih privrednika za razvijanje biznis modela koji koristeći te praznine ili nedovoljnu pravnu uređenost, stvaraju čitave imperije bazirane na iskorišćavanju tog vakuuma.

Pre nastanka Generalne Uredbe o zaštiti ličnih podataka od strane Evropske Unije, postojali su razni akti koji nisu bili sveobuhvatni i koji su bili neefikasni u zaštiti podataka svojih građana od nezakonite obrade, kako od kompanija članica EU, tako i od kompanija van nje. Taj period doveo je do toga da se marketinška industrija najbolje prilagodi novom vremenu i da u odnosu na druge grane industrije poveća svoj profit u znatno višem procentu. U periodu svog ranog razvoja, internet tehnologije predstavljane su kao pretnja mnogim granama industrije, poput bioskopske i industrije štampanih medija. Kako je vreme prolazilo, one nisu mogle da se izbore sa novim dobom, što je vodilo ka stagnaciji i rastu alternativa u vidu digitalnih platformi, poput Netflix-a, kao i digitalnih platformi za informisanje. Da bismo razumeli razvoj pravnih regulativa čiji je osnovni zadatak zaštita podataka o ličnosti, moramo prvo da sagledamo istorijski razvoj marketinške industrije na internetu.

Jedan od osnovnih problema u prethodne dve decenije kod marketinških agencija bio je „kako da budemo plaćeni” i „gde da se oglašavamo”. Logičan zaključak u tom periodu bio je da će se oglašavanje obavljati na sajtovima, tokom gledanja video-sadržaja ili na neki drugi način koji bi omogućio da reklame budu dostupne što široj populaciji. Međutim, postavljalo se pitanje na koji način je to moguće plasirati što većem broju ljudi, a istovremeno iskoristiti marketinški budžet na pravi način. Odgovor na svoja pitanja dobili su u Googleu. Korišćenjem Google Adsense programa, Google je omogućio mnogima da dođu do izvora novca za svoje sajtove, video-klipove, a istovremeno je marketinškim agencijama dao pristup tržištu korisnika o kome su, do tog momenta, mogli samo da sanjaju. Umesto vođenja pregovora sa svakim potencijalnim saradnikom o plasiranju reklamnog sadržaja, Google je obavljao posao za njih, jer u trenutku kada bi neko od korisnika dodao kôd za Adsense na svoj sajt, marketinška agencija dobijala bi pristup ogromnom broju novih korisnika. Upravo Google Adsense učinio je da Googleov uspeh postane globalna senzacija i kompanija kakvu danas poznajemo.

Međutim, u jednom momentu Google je od svog izvornog delovanja kao veb-pretraživač hteo da uplovi u druge vode. Akvizicijom YouTubea dobili su digitalnu platformu za video-sadržaj, koja je predstavljala jedan od potencijalnih kanala za generisanje profita od strane korisnika. No, postavljalo se pitanje na koji način se može izvršiti monetizacija proizvoda, a da sam proizvod bude besplatan? Odgovor je došao u vidu korišćenja i prodaje podataka o korisnicima koji zauzvrat nisu plaćali proizvod koji koriste. Gmail je to radio tako što je skenirao sadržaj e-mail poruka, a zatim korisnicima nudio reklame koristeći ključne reči. Ukoliko ste u nekom momentu sa kolegom razmenili e-mail o tome kako se pripremate za organizovanje iznenađenja za godišnjicu braka ili veze, reklama bi nakon nekog perioda iskočila i ponudila uslugu ili proizvod koji bi predstavljao dobar poklon za jedan takav događaj. Stara, dobra izreka kaže da ako je nešto besplatno, onda je sam korisnik proizvod koji se prodaje. Možda jedan od najboljih primera te izreke jeste Facebook, gde smo 2016. godine zahvaljujući skandalu sa Cambridge Analyticom mogli da vidimo kako se vrši targetirana prodaja podataka tačno određene grupe korisnika i kakve posledice ta prodaja može da ima po čitavo društvo.

Mnogo pre GDPR-a, EU je donela Direktivu o kolačićima. Kolačići koji se skladište u veb-pretraživačima otkrivaju dosta informacija o korisnicima, a istovremeno omogućavaju i da kupovinu, ukoliko dođe do prekida konekcije zato što vam je pas pojeo LAN kabl, nastavite čim se ponovo konektujete. Ova direktiva za posledicu je imala to da mnogi sajtovi usklade svoju politiku o korišćenju kolačića dodavanjem obaveštenja o korišćenju kolačića. Vizuelno, korisnici su sada dobijali poruku u dnu ili na vrhu ekrana kada ulaze na sajt sa opcijom da dozvole ili da ne dozvole prikupljanje kolačića. Bilo je jasno da je reč o malom koraku, ali svakako vrlo bitnom ka stvaranju pravnog okvira koji bi stao na kraj nekontrolisanom prikupljanju podataka. U godinama pre donošenja GDPR-a, mnogi sajtovi su, praktično, predstavljali ostrvo za prikupljanje podataka za više različitih kompanija. Vi dolazite na ostrvo, ali na tom ostrvu su usidreni brodovi različitih zemalja, a njihove posade su vrlo zainteresovane da saznaju sve o vama kako bi te podatke što bolje prodala na tržištu. Facebook bi znao sve o vama i ukoliko bi bili van mreže ili ukoliko ne bi ni posedovali nalog, a sve zahvaljujući kolačićima koji su se skladištili u veb-pretraživaču i čiji su se podaci slali Facebooku. Analitika sajtova postaje sve detaljnija i ide do te mere da pored geografskog porekla, tipa uređaja, može da utvrdi i starosnu dob i interesovanja na osnovu vaše pretrage.

Imajući u vidu sve navedeno, EU odlučila je da 25. maja 2018. godine donese Generalnu Uredbu o zaštiti podataka o ličnosti. Poverenik za zaštitu podataka o ličnosti postaje nadležno telo za rešavanje problema, dok se oni kod kojih se podaci nalaze sada označeni kao Rukovalac - onaj koji podatke prima, ali ih ne obrađuje i Obrađivač - onaj koji podatke obrađuje i informacije iz tih podataka čini dostupnim Rukovaocu. Proces donošenja same uredbe trajao je nekoliko godina, kako bi u obzir bili uzeti svi načini obrade podataka i samim tim način njihove zaštite. Pre samog donošenja ostavljen je izvestan period kako bi se svi upoznali sa njenim sadržajem i prilagodili svoje poslovanje pre usvajanja. Stupanje GDPR na snagu imalo je efekte zemljotresa u industriji obrade podataka, a donekle i u samom IT svetu kao celini. Ranije kada bi neki od sajtova ili sistema kompanija bio meta napada, obično bi o tome čuli nakon nekog perioda ili tek kada se desi neki drugi incident. U skladu sa izmenama, svaka kompanija koja čuva podatke građana EU, a na čiju je infrastrukturu izvršen napad, ima obavezu da u roku od 72 sata obavesti svoje korisnike da se napad dogodio. Ovo je svakako korisna odredba, jer pruža mogućnost i samom korisniku da reaguje i promeni lozinku, posebno ako se ima u vidu da mnoge lozinke vrlo često završe na dark webu ili na hakerskim forumima, gde se zatim prodaju. Naravno, ključna izmena jeste ta da se GDPR primenjuje na svaku kompaniju čija je osnovna delatnost povezana sa obradom podataka, što samo po sebi uključuje ogroman udeo industrije. Prilikom dizajniranja sistema na kojem će skladištiti podatke, svaka kompanija mora da osmisli kako da taj sistem bude bezbedan, dostupan, primeni pseudoanonimnizaciju i anonimnizaciju i sve ostale mere u skladu sa ISO standardizacijom 27001 i drugim važećim standardima. Sa druge strane, prenošenje podataka iz jedne zemlje u drugu više nije toliko lako i sada mora da postoji posebno odobrenje o adekvatnosti od strane Evropske komisije, a koje podrazumeva prethodnu proveru načina obrade podataka i mera bezbednosti koje se preduzimaju za zaštitu podataka o ličnosti u zemlji u kojoj se podaci iznose.

Interesantno je to da su Sjedinjene Američke Države izgubile princip adekvatnosti, odnosno, Privacy Shield u julu ove godine, odlukom suda EU, zbog nemogućnosti da se osigura bezbednost podataka građana EU od špijuniranja od strane vlade SAD. Neko bi pomislio da se sud vodio logikom Ilije Čvorovića u sobi gde nema belih sijalica, ali imajući u vidu ranije tajne programe špijuniranja nekih vlada, odluka je svakako na mestu. Naravno, običan čovek postavlja pitanje: A šta sve to za mene znači? Ukoliko bi, na primer, konkurisali negde za posao i bili odbijeni, vi sada po zakonu možete da tražite da se CV koji ste poslali obriše i da kada ponovo aplicirate dostavite novi. Shodno tome, kompanija za koju aplicirate mora da posmatra novine u CV-u i da na osnovu toga donese odluku. Ukoliko se desi da vas softver za regrutovanje odbije, po zakonu vi imate pravo da tražite da HR u firmi pogleda vaš CV i da na osnovu ljudskog faktora bude doneta odluka. Pravo na donošenje odluke od strane ljudskog faktora nasuprot automatizaciji. Sve popularnije pravo jeste pravo i da budete zaboravljeni. Ukoliko je neka informacija objavljena javnim putem koja može uticati na vas, vi možete podneti zahtev da ona bude obrisana. Postojanje resavske škole u slučaju Zakona o zaštiti podataka o ličnosti jedna je od pozitivnih strana, imajući u vidu da je zakon prepisao veći deo GDPR-a.

Svakako mora da se naglasi da uvid u podatke, pravo na njihovu izmenu i brisanje konačno daju građanima kontrolu nad svojim podacima. Dokle god se zahtevi koje podnosite odnose na podatke za koje nije u javnom interesu da budu poznati (krivična osuđivanost, javna ličnost), odnosno, gde javni interes preteže u odnosu na privatni, vaša prava biće ostvarena. Sada konačno možete da se otarasite promo pisama kojima vas pozivaju na besplatne večere. Ako ne postoji besplatan ručak, sigurno ne postoji ni besplatna večera, već samo čistokrvni marketing koji plaćate izdvojenim vremenom.

Interes mnogih kompanija jeste da svoje poslovanje usklade sa GDPR-om, imajući u vidu da kazne koje se predviđaju nisu male, pogotovo ako uzmemo u obzir da četiri odsto godišnjeg profita ili 20 miliona evra i te kako mogu da naprave problem u poslovanju. Za manje firme koje se nalaze na teritoriji EU, nepoštovanja pravila pored opomena i kazni za posledicu može imati i prestanak obavljanja delatnosti kao konačnu meru. Sa druge strane, za multinacionalne kompanije, jedina mera nakon što bi kompanija ignorisala kazne jeste zabrana obavljanja delatnosti na tržištu EU. Imajući u vidu veličinu tržišta EU, mnoge kompanije su se odlučile da prilagode svoje poslovanje u skladu sa GDPR-om. Google je 2019. godine kažnjen od strane Francuske kaznom od 50 miliona evra zbog neinformisanja korisnika da se od njih prikupljaju lični podaci. Sa druge strane, neke kompanije su odlučile da im više odgovara da napuste to tržite, nego da se bave implementacijom GDPR-a. Ovakva odluka naišla je na sasvim očekivanu lošu reakciju mnogih korisnika. Jedan od vidljivih uticaja GDPR svakako jeste i prilagođavanje nekih aplikacija u skladu sa novim pravilima.

Direktan uticaj možemo videti na Android uređajima. Zanimljivo je da je snimanje razgovora sada, praktično, zabranjeno, te da u nadogradnjama i ispravkama za svoje verzije Androida, mnogi proizvođači, poput Xiaomia, sada onemogućavaju tu opciju. Po zakonu, jedan građanin bi morao drugom da saopšti da ga snima, što nije nešto što je baš ostvarivo u praksi. Prikupljanje podataka koji su anonimizovani u mnogim situacijama bilo je od koristi za razvoj softvera, imajući u vidu da se šalju podaci o funkcionisanju programa.

Bilo koji vid telemetrije danas je postao nepoželjan, delom zbog netransparentnosti kompanija, a drugim delom zbog nedovoljnog upoznavanja šireg kruga korisnika sa njenim funkcionisanjem. Fokus nekih kompanija postavlja se ka bezbednosti i obezbeđivanju privatnosti svojim korisnicima, prateći trenutni trend u svetu i gde je trenutni izvor profita. Može se reći da je i primena zakona u ovom slučaju, bilo da je reč o korišćenju GDPR da se generiše profit ili za kažnjavanje neposlušnih kompanija, dokazala postojanje stare narodne izreke: Para vrti gde burgija neće.