GDPR, Opća uredba o zaštiti podataka Europskog parlamenta i Vijeća Europe, koja će od 25. svibnja 2018. biti u obveznoj primjeni za sve članice EU, donijet će bitna ograničenja u manipuliranje osobnim podacima građana od strane institucija i tvrtki s kojima posluju: kako bi osvijestila financijske institucije o tome što njih čeka Agencija za zaštitu osobnih podataka (AZOP) održala je jučer u organizaciji HGK savjetovanje na tu temu. S obzirom na to da će se primjenom GDPR-a razgraničiti kad se podaci koriste za komercijalne svrhe, a kad za posebno postupanje policije ili države, i financijske će institucije morati redefinirati sadržaj upitnika kojima prikupljaju osobne podatke od klijenata.
Samo konkretna svrha
Ograničit će se svrha obrade podataka: dosad su se informacije mogle koristiti za svrhu zbog koje su prikupljani, ali i za tzv. podudarne svrhe, koje su se široko koristile.
– Odsad se obrada podataka ne smije koristiti za svrhe koje nisu točno definirane u prikupljanju. Također, postojat će i vremensko ograničenje pohrane; za financijski sektor rokove čuvanja osobnih podataka trebao propisati poseban zakon ili “lex generalis” – pojašnjava Marko Trošelj iz AZOP-a. Napominje da će građani morati dati privolu za obradu njihovih podataka u konkretnu svrhu i bez nje će biti nemoguće potpisati ugovor. Također, moći će je povući u svakom trenutku.
– Primjerice, prije sklapanja ugovora o osiguranju potrebna je privola. No, privola i potpisivanje ugovora ne bi smjeli biti uvjetovani davanjem podataka, recimo, o imovini bračnog druga, OIB-u... – ističe Ivana Žiljak iz AZOP-a. Isti će princip vrijediti i za bankarske kredite ili bilo koju drugu financijsku uslugu. Ako banka ili osiguravatelj prikupljanjem podataka ispunjavaju obveze koje im nameće poseban zakon ili državni sporazum, kao što je to slučaj kod sporazuma usmjerenih na borbu protiv terorizma, pranja novca ili poreznih prijevara, morat će voditi računa o tome da ne prikupljaju više podataka od onih koji su potrebni da bi se ta obveza ispunila. Kad je posrijedi vremensko ograničenje korištenja podataka, direktiva je također precizna.
Savjetovanje AZOP-a
– Ako netko ima pravo koristiti podatke, ne znači da je to pravo trajno. Kad klijent osiguravajućeg društva, recimo, ima policu osiguranja imovine ugovorenu na godinu dana, a osiguranje mu nakon njezina isteka želi ponuditi obnovu, tad postoji legitimni interes slanja ponude klijentu. No, ako se on toj ponudi usprotivi, osiguravajuće društvo nema više legitimnu osnovu za korištenje njegovih podataka kako bi mu ponudilo bilo koju novu uslugu – objašnjava Trošelj.
Genetski i biometrijski podaci o zdravlju također se ne bi smjeli koristiti, konkretno kod sklapanja polica životnih osiguranja. Iz AZOP-a su se referirali i na zaštitu osobnih podataka zaposlenika: ako poslodavac želi provjeriti koriste li njegovi radnici internet za poslovne ili privatne svrhe, a može selektirati pristup internetu, njegova provjera sadržaja koje su zaposlenici “surfali” smatrala bi se zadiranjem u privatnost. Stupanjem na snagu ove uredbe prestat će vrijediti postojeći zakoni o zaštiti osobnih podataka, no neke se njezine točke tek trebaju definirati nacionalnim zakonom i o očekuje se početak savjetovanja o tome. AZOP poziva sve sudionike iz financijske industrije da u njemu sudjeluju.
Što će se promijeniti uvođenjem eura i hoće li sve poskupjeti:
Predviđa li novi Zakon o zaštiti osobnih podataka i zaštitu pojedinaca od njh samih u štetnim aktivnostima objavljivanja najosobnijih, intimnih podataka (nedavni primjer lokalnog političara koji je obznanio detalje o svojoj zdravstvenoj dijagnozi i roditelja koji su to učinili o svojoj maloljetnoj kćerki)? Čini se da je u našim uvjetima i to potrebno, čak i ako je EU u svojoj Smjernici previdjela potrebu za tim. Institucije i subjekti na koje se obveza čuvanja osobnih podataka drugih, prema Zakonu, ima odnositi treba obuhvatiti i skrbnike maloljetnih osoba i novinare. Ima "otkrića" koja graniče s egzibicionizmom -jednostavno su "previše informacija" za čitatelje, rekli bi anglosaksonci.