Novi zakon koji stiže i u Hrvatsku nitko živ ne razumije
Sve više ljudi je svjesno da su naši podaci ugroženi, počinje svoju kolumnu za New York Times Alison Cool. Otkako se ispostavilo da je Cambridge Analytica zlorabila podatke o desecima milijuna korisnika Facebooka, čini se da ništa nije sigurno. Sve više podataka o nama se sprema, a sad imamo čak i termostate spojene na internet.
Iz Sjedinjenih Američkih Država sve više očiju je uperenu u Europu. Gledaju pravo na zaborav, pravo građana Unije da natjeraju kompanije na brisanje podataka o njima, kao tek prvi korak u borbi za vlastite podatke. Za nekoliko dana, 25. svibnja, Europska unija uvodi najopsežniji skup pravila o tome što se sve smije ili ne smije raditi s podacima korisnika.
GDPR (eng. General Data Protection Regulation) ili Opća uredba o zaštiti podataka odnosi se na zaštitu pojedinaca u vezi s obradom osobnih podataka i slobodu kretanja podataka. Pobornici regulative uvjereni su da će novi zakoni uvesti eru digitalne demokracije na internet koji je trenutačno pod kontrolom korporacija.
Međutim, postoji samo jedan problem. Nitko ne razumije GDPR.
Regulativa je zapanjujuće kompleksna. Nastala je nakon tri godine intenzivnog lobiranja i stalnih pregovora. Europski parlament je objavio prijedlog zakona da bi dobili čak četiri tisuće prijedloga amandmana, što samo pokazuje koliko različitih interesnih skupina će osjetiti posljedice nove regulative. Velike i male tvrtke, državne službe, akademske institucije, svi oni na neki način koriste osobne podatke, ali svi ih koriste u različite svrhe.
Osim toga, postoje i različitosti u shvaćanjima nekih stvari što stvara dodatnu kompleksnost regulative. New York Times navodi jedan pomalo očiti primjer. Nijemci, još uvijek u strahu od same pomisli na nacističku Njemačku, prepuni sumnje gledaju na bilo kakvo prikupljanje osobnih podataka. S druge strane, ljudi iz skandinavskih zemalja na prikupljanje osobnih podataka gledaju blagonaklono. Njima je to podsjetnik na dobre strane socijalne države koja se brine za svoje građane.
Upravo zbog toga je regulativa na mjestima doista neodređena. Trebala bi omogućiti lakši protok informacija, ali istovremeno dati ljudima veću kontrolu nad njihovim podacima. Razlike između trenutačnih i budućih tehnologija namjerno su opisane širokim principima koji bi trebali omogućiti lakšu implementaciju zakona u nepredvidivom okruženju.
Svi ti principi ne slažu se uvijek s aktualnim načinima zaštite podataka. Regulacija kaže da svi koji procesuiraju osobne podatke moraju pokazati svoju odgovornost na način da ograničavaju prikupljanje podataka samo u određene svrhe. Dobro zvuči na papiru, ali strojno učenje i širi razvoj umjetne inteligencije koristi podatke za obuku računala na polju donošenja odluka koje ne možemo predvidjeti unaprijed.
Prošle godine, negdje nakon odobrenja regulative, Alison je razgovarala s brojnim stručnjacima koji su ponavljali da ga ne razumiju. Sumnjali su da je uopće ostvariv ambiciozni plan provedbe i poštivanja GDPR-a. Kako je to opisao jedan znanstvenik na jednom velikom sveučilištu: "GDPR kaže da moramo imati adekvatnu sigurnost i tome slično. Odlično. Ali što to znači imati adekvatnu sigurnost?"
Što točno znači svaka stavka, vrlo vjerojatno će odlučiti brojni europski sudovi.
Važno je napomenuti da GDPR nije izgubljen slučaj. Trebaju nam pravila o osobnim podacima. Ipak, zakonska pravila, pogotovo opsežna i namjerno neodređena pravila, ne mogu biti jedini način vođenja čitavog procesa zaštite podataka.
Kad već postoji konačni cilj promjene načina korištenja osobnih podataka, piše New York Times, treba nam više istraživanja kako se prikupljaju podaci, tko ih prikuplja i kako ih koriste. Zakonodavci bi tada trebali iskoristiti sva ta istraživanja kao temelj za razvoj praktičnih pravila.
Na kraju bismo trebali imati niz pragmatičnih smjernica koje imaju smisla ljudima koji rade s podacima i mogli bi uraditi puno više za zaštitu naših podataka nego zakon koji obećava promjenu interneta, ali ne i način kako će ta promjena doći.