Izvršni sažetak mišljenja Europskog nadzornika za zaštitu podataka o temi „Svladavanje izazova velikih podataka: poziv na transparentnost, korisničku kontrolu, zaštitu podataka dizajnom te odgovornost”

(Cjeloviti tekst ovog mišljenja dostupan je na engleskom, francuskom i njemačkom jeziku na portalu Europskog nadzornika za zaštitu podataka www.edps.europa.eu)

„Pravo na privatnost uistinu je početak svake slobode” (1).

Veliki podaci, ako se odgovorno upotrebljavaju, mogu pružiti značajne koristi te biti iznimno učinkoviti za društvo i pojedince u područjima zdravstva, znanstvenog istraživanja, okoliša te u ostalim područjima. Međutim, postoje ozbiljni razlozi za zabrinutost zbog stvarnog i mogućeg učinka koji obrada ogromnih količina podataka može imati na prava i slobode pojedinaca, uključujući pravo na privatnost. Izazovi i rizici povezani s velikim podacima stoga zahtijevaju učinkovitiju zaštitu podataka.

Tehnologija ne smije diktirati naše vrijednosti i prava, ali isto tako, promicanje inovacija i očuvanje temeljnih prava ne smije se poimati kao nespojivo. Novi poslovni modeli kojima se koriste nove mogućnosti za masovno prikupljanje, trenutačan prijenos, kombinaciju i ponovnu upotrebu osobnih podataka za nepredviđene svrhe predstavljaju nove izazove s obzirom na načela zaštite podataka, zbog čega je potrebno temeljito razmotriti njihovu primjenu.

Europski zakoni o zaštiti podataka doneseni su kako bi se zaštitila naša osnovna prava i vrijednosti, uključujući naše pravo na privatnost. Pitanje nije treba li primijeniti zakone o zaštiti podataka na velike podatke, već kako ih na novi način primijeniti u novim okruženjima. Naša trenutačna načela zaštite podataka, uključujući transparentnost, razmjernost i ograničenje primjene, predstavljaju temelje koji su nam potrebni za dinamičniju zaštitu naših temeljnih prava u svijetu velikih podataka. Međutim, ta se načela moraju nadopuniti „novim” načelima koja su se razvila tijekom godina, poput odgovornosti te zaštite osobnih podataka dizajnom te prethodno zadanim postavkama. Od paketa reformi EU-a za zaštitu podataka očekuje se jačanje i modernizacija zakonodavnog okvira (2).

EU planira maksimalno povećati rast i konkurentnost upotrebom velikih podataka. Međutim, jedinstveno digitalno tržište ne smije nekritički primjenjivati tehnologije temeljene na podacima kao ni poslovne modele koji su postali glavna struja u gospodarstvu u ostalim dijelovima svijeta. Umjesto toga treba postati primjer i pokazati vodstvo u razvoju odgovorne obrade osobnih podataka. Internet se razvio tako da se nadziranje – praćenje ponašanja pojedinaca – smatra nezamjenjivim modelom prihoda za neka od najuspješnijih poduzeća. Takav razvoj zahtijeva kritičku procjenu i potragu za drugim mogućnostima.

U svakom slučaju, te bez obzira na odabrane poslovne modele, organizacije koje obrađuju velike količine osobnih podataka moraju djelovati u skladu s važećim zakonodavstvom o zaštiti podataka. Europski nadzornik za zaštitu podataka (EDPS) smatra da se odgovoran i održiv razvoj velikih podataka mora oslanjati na četiri nužna elementa:

Kada je riječ o transparentnosti, pojedincima trebaju biti pružene jasne informacije o podacima koji se obrađuju, uključujući promatrane podatke ili podatke koji se izvode o njima; također trebaju biti bolje obaviješteni o tome kako se i u koju svrhu ti podaci upotrebljavaju, uključujući logiku algoritama kojima se određuju pretpostavke i predviđanja o korisnicima.

Korisnička kontrola pomoći će osigurati veću ovlast pojedincima da lakše otkriju nepravedne predrasude i ospore pogreške. Pomoći će spriječiti sekundarnu upotrebu podataka u svrhe koje ne ispunjavaju legitimna očekivanja: uz novu generaciju korisničke kontrole pojedinci će, gdje je to potrebno, dobiti mogućnost izbora na temelju vjerodostojnijih i boljih informacija te i sami uživati u većim mogućnostima upotrebe svojih osobnih podataka na bolji način.

Snažna prava pristupa i prijenosa podataka te učinkoviti mehanizmi isključivanja neželjenih sadržaja mogu poslužiti kao preduvjet za omogućivanje korisnicima više kontrole nad njihovim podacima, a također mogu doprinijeti razvoju novih poslovnih modela te učinkovitijoj i transparentnijoj upotrebi osobnih podataka.

Ugrađivanjem zaštite podataka u dizajn sustava i procesa te podešavanjem zaštite podataka radi omogućavanja veće transparentnosti i korisničke kontrole odgovorni nadzornici također će imati koristi od prednosti koje donose veliki podaci, istodobno osiguravajući poštovanje dostojanstva i sloboda pojedinaca.

Ali zaštita podataka samo je dio odgovora. EU treba na koherentniji način primjenjivati dostupne moderne alate, uključujući one u području zaštite potrošača, protumonopolske politike, istraživanja i razvoja, kako bi se osigurala zaštita i pravo izbora na tržištu na kojem usluge koje čuvaju privatnost korisnika mogu napredovati.

Kako bi se odgovorilo na izazove velikih podataka, trebamo istodobno omogućiti inovacije i zaštititi temeljna prava. Sada je na poduzećima i drugim organizacijama koje ulažu mnogo truda u pronalaženje inovativnih načina za upotrebu osobnih podataka da upotrijebe taj isti način razmišljanja prilikom provedbe zakona o zaštiti podataka.

Oslanjajući se na postojeće doprinose akademske zajednice i brojnih regulatornih tijela i dionika, EDPS želi potaknuti novu, otvorenu i informiranu raspravu u Europskoj uniji i izvan nje i snažnije uključiti civilno društvo, dionike koji dizajniraju programe, poduzeća, akademsku zajednicu, tijela javne vlasti i regulatorna tijela u raspravu o tome kako usmjeriti kreativni potencijal industrije prema provedbi zakona i zaštiti naše privatnosti i ostalih temeljnih prava na najbolji mogući način.

Kako bi se odgovorilo na izazove velikih podataka, trebamo istodobno omogućiti inovacije i zaštititi temeljna prava. Da bismo to postigli, utvrđena načela europskog zakonodavstva o zaštiti podataka treba očuvati, ali i primijeniti na nove načine.

Pregovori o prijedlogu opće Uredbe o zaštiti podataka u završnoj su fazi. Pozvali smo zakonodavce EU-a da usvoje paket reformi za zaštitu podataka kojim će se ojačati i modernizirati regulatorni okvir kako bi on ostao učinkovit i u eri velikih podataka, jačajući povjerenje pojedinaca u elektroničke usluge i jedinstveno digitalno tržište (3).

U mišljenju 3/2015 popraćenom preporukama za puni tekst prijedloga Uredbe pojasnili smo da trenutačna načela zaštite podataka, uključujući nužnost, razmjernost, minimizaciju podataka, ograničenje namjene i transparentnost, moraju ostati temeljna načela. Ona pružaju osnovu koja nam je potrebna za zaštitu naših temeljnih prava u svijetu velikih podataka (4).

Istodobno, ta se načela trebaju ojačati i učinkovitije primijeniti na moderniji, fleksibilniji, kreativniji i inovativniji način. Također ih je potrebno nadopuniti novim načelima kao što su odgovornost, zaštita osobnih podataka i privatnosti dizajnom i prethodno zadanim postavkama.

Povećana transparentnost, snažnija prava pristupa i prijenosa podataka te učinkoviti mehanizmi isključivanja neželjenih sadržaja mogu poslužiti kao preduvjeti za omogućivanje korisnicima više kontrole nad njihovim podacima, a također mogu doprinijeti razvoju učinkovitijeg tržišta osobnih podataka, što donosi pogodnosti korisnicima, kao i poslovnim subjektima.

Konačno, proširenje područja primjene zakonodavstva EU-a o zaštiti podataka na organizacije koje su usmjerene na pojedince u EU-u i davanje nadležnim tijelima za zaštitu podataka većih ovlasti za primjenu smislenih pravnih sredstava, uključujući i učinkovite novčane kazne, kao što bi predložena Uredba omogućila, također će biti ključni preduvjeti za učinkovito provođenje naših zakona u globalnom okruženju. Postupak reforme igra ključnu ulogu u tom pogledu.

Kako bi se osigurala učinkovita primjena pravila, nadležna tijela za zaštitu podataka trebaju dobiti ne samo pravne ovlasti i jače instrumente, već i potrebne resurse kako bi njihovi kapaciteti bili usklađeni s rastućim poslovanjem temeljenim na podacima.

Iako su dobri propisi nužni, oni nisu dovoljni. Poduzeća i ostale organizacije koje ulažu mnogo truda da bi pronašli nove načine upotrebe osobnih podataka trebali bi se koristiti istim kreativnim načinom razmišljanja prilikom primjena načela zaštite podataka. Nadležna tijela za zaštitu podataka, pak, trebaju nagraditi učinkovitu usklađenost i izbjeći nametanje nepotrebne birokracije i papirologije.

EDPS ima za cilj pridonijeti poticanju ovih napora, kao što je naglašeno u Strategiji EDPS-a za 2015.–2019.

Namjeravamo uspostaviti vanjsku etičku savjetodavnu skupinu sastavljenu od uglednih i nezavisnih osoba s različitim iskustvom u više disciplina koje mogu „istražiti odnose među ljudskim pravima, tehnologijom, tržištem i poslovnim modelima u 21. stoljeću”, dubinski analizirati utjecaj velikih podataka, procijeniti nastale promjene u našim društvima i pomoći utvrditi pitanja koja trebaju biti predmetom političkih procesa (5).

Također ćemo razviti model za poštene politike o informacijama za tijela EU-a koja nude mrežne usluge koje mogu doprinijeti najboljoj praksi za sve nadzornike.

Naposljetku, potaknut ćemo rasprave, primjerice, s ciljem da se identificiraju, potaknu i promiču najbolje prakse za povećanje transparentnosti i korisničke kontrole te istraže mogućnosti pohrane osobnih podataka te prenosivosti podataka. EDPS planira organizirati radionicu o zaštiti velikih podataka za tvorce politika i osobe koje rukuju velikim količinama osobnih podataka u institucijama EU-a te za vanjske stručnjake. Također planira utvrditi gdje su potrebne dodatne smjernice te potpomoći rad mreže internet Privacy Engineering Network („IPEN”) kao interdisciplinarnog čvorišta znanja za inženjere i stručnjake na području privatnosti.

Sastavljeno u Bruxellesu 19. studenoga 2015.

Giovanni BUTTARELLI

Europski nadzornik za zaštitu podataka

(1) Public Utilities Commission v. Pollak, 343 U.S. 451, 467 (1952) (Justice William O. Douglas, izdvojeno).

(2) Europska komisija 25. siječnja 2012. usvojila je paket reformi europskog okvirnog programa za zaštitu podataka. Paket uključuje i. „komunikaciju” (COM(2012) 9 konačna verzija), ii. prijedlog opće „Uredbe o zaštiti podataka” („prijedlog Uredbe”) (COM(2012) 11 konačna verzija) i iii. prijedlog „Direktive” o zaštiti osobnih podataka obrađenih u sklopu djelatnosti policije i kaznenopravnog sustava (COM(2012) 10 konačna verzija).

(4) Moramo se oduprijeti iskušenju da ublažimo trenutačnu razinu zaštite pokušajem da se prilagodimo potrebi za blažim pristupom regulaciji velikih podataka. Zaštita podataka mora se nastaviti primjenjivati na obradu podataka u cijelosti, te se ne smije odnositi samo na upotrebu podataka, već i na njihovo prikupljanje. Ne postoji opravdanje za iznimke u vidu obrade podataka pod pseudonimom ili za obrade javno dostupnih podataka. Definicija osobnih podataka ne smije se mijenjati, ali poželjna su dodatna pojašnjenja u tekstu same Uredbe. Uistinu, treba obuhvatiti sve podatke o pojedincima koji su identificirani, izdvojeni ili koji mogu biti identificirani ili izdvojeni, bez obzira na to čini li to nadzornik podataka ili bilo koja druga strana.