O GDPR-u

O GDPR-u

Evropski Parlament je 14.06.2016. godine usvojio regulativu 2016/679 (General Data Protection Regulation) ili skraćeno GDPR. Kao datum primene naveden je 25. maj 2018. godine.

GDPR predstavlja novi pravni okvir koji reguliše način korišćenja podataka o ličnosti građana Evropske Unije.

Naime, ako vaša kompanija ili organizacija kontroliše ili obrađuje lične podatke o fizičkim licima u Evropskoj uniji, GDPR se gotovo sigurno odnosi na vas.

Dakle, svaka kompanija ili organizacija koja na bilo koji način obrađuje podatke građana Evropske unije, ali i onih lica koja nisu držaljani Evropske unije, već samo stanuju u njenim okvirima, moraće da se pridržava novih pravila o zaštiti podataka o ličnosti.

Cilj GDPR-a je da ažurira standarde u skladu sa današnjom tehnologijom, a da ujedno štiti osnovna prava pojedinaca tokom budućih talasa inovacija.

GDPR dolazi na mesto stare direktive, koja je usvojena 1995. godine: Data Protection Directive (Direktiva o zaštiti podataka ili skraćeno DPD), koja je imala za cilј da zaštiti fizička lica u pogledu procesuiranja njihovih ličnih podataka.

Problem sa ovom direktivom je bio u tome što, dok je ona bila na snazi, članice EU su usvajale nacionalne propise i zbog toga zakoni o zaštiti podataka o ličnosti širom EU nisu bili usaglašeni.

Početkom primene GDPR-a stvoren jedinstven pravni instrument sa direktnom primenom u svim državama članicama EU.

GDPR  polјe zaštite ličnih podataka unapređuje pojačavanjem određenih prava, i to najpre prava fizičkih lica da od kompanija dobiju informaciju o tome koje njihove podatke  poseduju, u koju svrhu su prikupljeni, da traže njihovu izmenu, brisanje kao i prenos.

Kazne koje propisuje Regulativa za nepridržavanje odredbi sada dosežu 20 miliona evra ili četiri posto godišnjeg globalnog prometa kompanije.

Naravno, ova Regulativa će pogoditi apsolutno svaku kompaniju, ali su prve na udaru one koje poseduju i procesuiraju velike količine podataka o potrošačima: tehnološke firme, marketinške agencije, farmaceutska industrija i sl.

Nekima od njih će biti teško čak i da se pridržavaju osnovnih zahteva GDPR-a, pogotovo onima koji ranije nisu imali alate za skuplјanje svih ličnih podataka na jednom mestu.

Ipak, najveći uticaj ove Regulative biće na kompanije čiji se poslovni model zasniva na prikuplјanju i dalјem korišćenju podataka o potrošačima, odnosno fizičkim licima.

Ako se kompanija do sada oslanjala na dobijanje saglasnosti za obradu podataka, od sada ta saglasnost mora da bude eksplicitna i obnovlјena ukoliko dođe do neke promene.

Odnos GDPR-a i domaćeg zakonodavstva

U Srbiji se sa nestrpljenjem čeka na donošenje novog Zakona o zaštiti podataka o ličnosti, koji bi inkorporirao načela GDPR-a u domaći pravni okvir.

Njegovo donošenje će biti od presudnog značaja za ostvarivanje prava fizičkih lica, ali će takođe uticati i na razvoj domaćih kompanija koje u svom poslovanju koriste podatke o ličnosti.

Važeći zakon Republike Srbije koji uređuje oblast zaštite ličnih podataka, gotovo da nije primenjiv u smislu promena koje su nastale razvojem informacionih tehnologija i novih poslovnih modela, budući da je stupio na snagu pre gotovo deset godina.

U Srbiji se sa nestrpljenjem čeka na donošenje novog Zakona o zaštiti podataka o ličnosti, koji bi inkorporirao načela GDPR-a u domaći pravni okvir.

Njegovo donošenje će biti od presudnog značaja za ostvarivanje prava fizičkih lica, ali će takođe uticati i na razvoj domaćih kompanija koje u svom poslovanju koriste podatke o ličnosti.

Važeći zakon Republike Srbije koji uređuje oblast zaštite ličnih podataka, gotovo da nije primenjiv u smislu promena koje su nastale razvojem informacionih tehnologija i novih poslovnih modela, budući da je stupio na snagu pre gotovo deset godina.

Osnovno pravilo je da se odredbe GDPR-a odnose na kompanije koje se bave obradom podataka o ličnosti državljana Evropske unije.

Ono što je novina u GDPR-u je činjenica da se polje njene primene proširuje i izvan EU i to u tri slučaja:

  • Ako se kompanija bavi nuđenjem robe ili usluga građanima EU
  • Ako se kompanija bavi praćenjem ponašanja građana EU
  • Ako je kompanija u ugovornom odnosu sa kompanijom iz EU, a po tom ugovoru ima pristup ličnim podacima o građanima EU

To u suštini znači da ukoliko kompanija posluje na internetu, ili obrađuje podatke o ličnosti evropskih građana za poslovne svrhe, gotovo sigurno će ispuniti neki od ovih uslova.

Čak i u slučaju da kompanija samo obezbeđuje infrastrukturu za čuvanje podataka i njihovu obradu, pa čak i nema uvid u podatke koji se tamo prikupljaju, i tada će se na nju primenjivati odredbe GDPR-a, imajući u vidu da ista mora primeniti brojne zaštitne mere.

GDPR propisuje brojne obaveze za kompanije i druga lica koja vrše obradu podataka o ličnosti.

Kako je polje obuhvata ovih obaveza izuzetno veliko, navešćemo samo one osnovne.

Načela obrade podataka o ličnosti

Svako ko u svom poslovanju dolazi u dodir sa podacima o ličnosti mora stalno imati na umu 6 načela obrade podataka koji propisuje GDPR.

To su načela:

  • da se podaci mogu obrađivati samo u skladu sa zakonom,
  • da se to može raditi samo u predviđene i dozvoljene svrhe,
  • da se mora obezbediti tačnosti podataka,
  • da se prikuplja minum potrebnih podataka,
  • da se isti moraju uništiti ili depersonalizovati nakon što je ostvarena njihova svrha, kao i
  • da se mora obezbediti sigurnost podataka.

Jedna od osnovnih svrha donošenja GDPR-a je bila da se građanima omogući kontrola nad svojim podacima.

Kompanije koje obrađuju lične podatke dužne su da fizička lica koja su subjekt podataka obaveste o načinima i svrsi prikupljanja njihovih podataka, da im omoguće uvid u podatke, dostave kopiju, ili izmene netačne podatke.

Jedna od novina koju GDPR propisuje je pravo na zaborav (right to be forgotten) koje postojeće pravo na brisanje podataka prilagođava stvarnosti interneta u kojima se naši podaci konstantno objavljuju i dele.

Slično je i sa pravom na prenosivost podataka (data portability) koje podrazumeva da će kompanije koje se bave analitikom ličnih podataka svojim korisnicima na zahtev morati da dostave sve podatke o njima u mašinski čitljivom formatu, kako bi ti podaci mogli da se koriste i za druge usluge.

Apsolutno je jasno da se zaštita podataka o ličnosti ne može postići samo donošenjem pravilnika i procedura, odnosno samo usaglašavanjem sa propisima.

Iz tog razloga GDPR propisuje da kompanije moraju primeniti odgovarajuće tehničke i organizacione mere za zaštitu podataka u skladu sa svrhom, obimom, prirodom i kontekstom obrade podataka.

To konkretno znači da u svakom pojedinačnom slučaju treba izvršiti procenu koje su mere adekvatne, a potom ih je neophodno implementirati.

Jedan od prioriteta GDPR-a je bezbednost podataka i informacionih sistema.

To znači da je u skladu sa vrstom podataka koje kompanija poseduje i rizicima koji iz toga proizilaze ista mora primeniti najažurnije tehničke mere kako bi se obezbedila bezbednost ličnih podataka.

Neke od tih mera koje GDPR preporučuje su pseudonimizacija, enkripcija, pravljenje sigurnosnih kopija (backup), ali odluka o primeni odgovarajućih mera će morati da se donese u svakom konkretnom slučaju, imajući u vidu munjevit razvoj tehnologije.

I pored toga što se u infromacionu bezbednost ulaže znatno više nego ranije, gotovo svakodnevno možemo pročitati da je došlo do kompromitacije višemilionskih baza ličnih podataka.

U skladu sa tim GDPR propisuje da u slučaju incidenata, odnosno kompromitacije podataka o ličnosti (data breach) postoji obaveza da se o tome obaveste nadležni organi za zaštitu podataka o ličnosti u roku od 72 sata uz dostavljanje detaljnog izveštaja o slučaju.

Pored toga, kompanije koje su se našle u ovakvoj situaciji će morati da obaveste i sva lica čiji su podaci kompromitovani.

I domaći zakon i GDPR prave razliku kada su u pitanju odgovorna lica pa se ključne obaveze odnose na rukovaoca (controller) koji određuje svrhu i način obrade i obrađivača (processor) koji po nalogu rukovaoca obrađuje podatke.

To znači da status rukovaoca ima lice za čije potrebe i u čijem interesu se podaci obrađuju, bilo da koristi podatke o ličnosti koji su neophodni za zaključenje ugovora, da se bavi analizom podataka o korišćenju aplikacije za dalji razvoj ili kako bi naravio bazu svojih korisnika.

Sa druge strane obrađivač je lice koje  s obzirom na svoja znanja i kapacitete obrađuje podatke po nalogu rukovaoca i za njegove potrebe.

Jedan od ključnih razloga za postojanje ova dva koncepta je da se utvrdi odgovrnost, s obzirom na to da će rukovalac imati znatno više obaveza nego obrađivač.

Počev od 25. maja 2018. godine GDPR se nalazi na snazi i to u velikoj meri utiče na pravnu odgovornost kompanija i na rizike po njihovo poslovanje.

U tom smislu neophodno je adekvatno se priremiti za GDPR i to:

  • sprovesti GAP analizu svog trenutnog poslovanja kako bi se tačno utvrdilo koji segmenti poslovanja trebaju biti usklađeni sa GDPR-om
  • sačiniti izveštaj kojim će biti obuhvaćeni svi rizici koji su utvrđeni u GAP analizi
  • u smislu sa navedenim sačiniti Projektni plan u kojem će tačno biti utvrđen postupak usaglašavanja sa GDPR-om, konkretno koji se sve pravilnici i procedure moraju izraditi, koji su rokovi za njihovu izradu i ko je za to zadužen, i konačno
  • izvršiti implementaciju svih mera u trenutno poslovanje.

Pored navedenog trebalo bi učiniti i dodatne korake kako bi implementacija GDPR-a zaista i zaživela:

  • Podizanje svesti o značaju ove regulative za održivost poslovanja prvenstveno kroz edukaciju menadžmenta i zaposlenih.
  • Formiranje tima zaduženog za usklađivanje poslovanja sa svim pomenutim obavezama koji bi idealno bio sastavljen od pravnih, organizacionih i tehničkih eksperata.
  • Mapiranje svih tokova podataka o ličnosti, tj. koje podatke posedujete i kako se oni prikupljaju, čuvaju, obrađuju i ustupaju trećim licima.