23 jan 2019

Pritužba protiv kompanija YouTube, Netflix i drugih zbog kršenja pravila o zaštiti podataka

Petak se uopšteno smatra danom koji donosi radost i dobro raspoloženje. Nažalost, prošli petak nije doneo takve emocije osobama zaduženim za zaštitu podataka o ličnosti zaposlenim u kompanijama koje pružaju online streaming usluge, kao što su Amazon, Apple, DAZN, Flimmit, Netflix, SoundCloud, Spotify i You Tube (Kompanije).

Naime, austrijska organizacija „None of Your Business“ (NOYB) podnela je 10 pritužbi austrijskom organu za zaštitu podataka i zatražila sprovođenje istrage u vezi sa navodnom povredom člana 15. Opšte uredbe o zaštiti podataka o ličnosti (GDPR). NOYB je optužio Kompanije da su narušile „pravo na pristup lica na koje se podaci o ličnosti odnose“ (koje propisuje da takvo lice ima pravo na pristup podacima o ličnosti, kao i informacijama o, između ostalog, svrsi obrade podataka, vrstama podataka koji se obrađuju, primaocima kojima su podaci otkriveni, predviđenom roku čuvanja podataka ili izvoru podataka) time što nisu dostavile osnovne informacije, npr. na koji način kupuju i prodaju podatke korisnika. Uzimajući u obzir da GDPR predviđa maksimalnu kaznu od dvadeset miliona evra ili 4% godišnjeg prometa na svetskom nivou, ukupna novčana kazna za Kompanije mogla bi da dostigne vrtoglavih 18,8 milijardi evra.

Pritužbe su podnete nakon što je NOYB sproveo ispitivanje koje je pokazalo da nijedna od navedenih Kompanija nije u potpunosti ispunila zahteve propisane članom 15. Štaviše, učinjene povrede okarakterisane su kao strukturne. Ovaj epitet dobile su zbog toga što su ove povrede, za razliku od povreda koje čine male kompanije što ručno obrađuju zahteve, nastale usled upotrebe automatizovanih sistema koji navodno pružaju sve relevantne informacije. Maks Šrems (Max Schrems), direktor NOYB-a i čovek koji je svoje dvadesete proveo u borbi za prava na privatnost podataka sa kompanijom Facebook, u kojoj je ostvario i veliku pobedu pred Evropskim sudom pravde, objašnjava:

Mnogi pružaoci usluga uspostavljaju automatizovane sisteme koji odgovaraju na zahteve za pristup, a koji često ni izbliza ne pružaju podatke na koje svaki korisnik ima pravo. U najvećem broju slučajeva, korisnici dobiju samo sirove podatke, ali, na primer, bez informacija o tome sa kime su ti podaci deljeni. Ovo vodi do strukturnih povreda prava korisnika, jer su ovi sistemi napravljeni tako da sakriju relevantne informacije.

Navedeno ispitivanje sprovedeno je tako što je 10 građana poslalo Kompanijama zahteve u vezi sa svojim ličnim podacima. Rezultati su pokazali da su, osim kompanija DAZN i SoundCloud koje na zahteve uopšte nisu odgovorile, sve druge kompanije dostavile određene sirove podatke, bez informacija koje su se odnosile na izvore, primaoce ili vreme predviđeno za čuvanje podataka. Često su podaci bili šifrovani, pa je stoga prosečnom korisniku bilo veoma teško ili čak nemoguće da ih razume. Na primer, veb-sajt na kojem se mogu naći nebrojeni video-snimci mačaka, od kojih prvi navodno datira iz 1894. godine (da, u pitanju je You Tube), dostavio je određene fajlove u .opml i .json formatu. Konačno, u nekim slučajevima određeni sirovi podaci su nedostajali. Između ostalih, ovo se desilo i sa kompanijom čiji je direktor za digitalni i medijski sadržaj jednom prilikom izjavio da ograničenja protoka i previsoke naknade za prekoračenje u Kanadi „skoro pa predstavljaju kršenje ljudskih prava“.

Značaj za srpske kompanije

Pored toga što su obavezne da poštuju GDPR standarde kada posluju sa licima iz Evropske unije, srpske kompanije će uskoro morati da ispunjavaju iste standarde i pri obradi podataka lica iz Srbije. Novi Zakon o zaštiti podataka o ličnosti (ZZPL), koji je stupio na snagu 21. novembra 2018. godine, najvećim delom baziran je na GDPR, uključujući tu i pravo na pristup podacima licima na koja se ti podaci odnose.

Član 26. ZZPL suštinski garantuje licima na koja se podaci odnose ista prava kao i gore spomenuti član 15. Imajući ovo u vidu, srpske kompanije će morati da uspostave mehanizme za dostavljanje podataka i informacija licima na koja se oni odnose na efikasan i efektan način.

ZZPL predviđa period adaptacije u trajanju od devet meseci, tokom kojeg se srpske kompanije moraju prilagoditi novim standardima. Stoga, sva dešavanja koja se odnose na GDPR od velikog su značaja u tom pogledu, jer će primena novih pravila o zaštiti podataka o ličnosti u Srbiji po svoj prilici biti veoma slična onoj u EU.