Zaštita podataka (ličnih) je prvi i osnovni zadatak koje BDP postavlja pred preduzeća ili organizacije.
Šta je zapravo GDPR?
General Data Protection Regulation – GDPR ili Opšta uredba o zaštiti podataka o ličnosti doneta je još 2016. godine, međutim zvanično je počela da se primenjuje pre tri godine.
Kroz taj period napravljeno je veliko istraživanje koje sprovodila kompanija Veritas.
Zaštita podataka i šta je doneo GDPR?
GDPR je Zakon o Univerzalnoj deklaraciji o ljudskim pravima koji se primenjuje već pune tri godine i ovo je obaveza svih članica Evropske unije. Srbija za sada nije u EU, ali ukoliko želi da uđe, morala je svoje Zakone da uskladi sa zakonima evropske unije.
Zaštita ličnih podataka je prvi i osnovni zadatak koje BDP postavlja pred preduzeća ili organizacije, bilo da su to lični podaci, kupci ili zaposlene osobe. Firme, udruženja i kompanije koje se bave onlin prodajom moraju uvek da znaju gde i za koju svrhu se tuđi lični podaci mogu koristiti.
Isto tako, u slučaju da neko odluči da povuče korošćenje ličnih podataka, firma mora da bude u stanju da to uradi u predviđenom roku.
Zaštita podataka i lične informacije
Prema definiciji ovog zakona lično podaci podrazumevaju adresu stanovanja, mejl adresu, IP i MAC adresu, GPS lokaciju, RFID tagove i kolačiće na veb stranicama, telefonski broj, fotografije, video snimke pojedinaca, OIB, biometrijske podatke (otisak prsta, snimak zenice oka).
Takođe u zaštitu ličnih podataka spadaju i genetski podaci, podaci o obrazovanju i stručnoj spremi, podaci o plati, podaci o kreditnom zaduženju, podaci o računima u banci, podaci o zdravlju, seksualnoj orijentaciji, glas i mnogi drugi podaci koji se odnose na pojedinca čiji je identitet utvrđen ili se može utvrditi.
Zaštita podataka pojedinca
Dakle svaka kompanija u zemljama Evropske unije koja prikuplja neke od navedenih podataka je podložna ovoj Uredbi.
Zato će se u zavisnosti od slučaja do slučaja određivati predstavlja li neki podatak koji prikupljate lični podatak pojedinca.
Kakva je situacija sa Srbijom?
U ovoj Uredbi se primenjuje “pravo na zaborav” (right to be forgotten) odnosno postojeće pravo na brisanje podataka prilagođava stvarnosti interneta
U Srbiji je Zakona o zaštiti podataka usklađen sa evropskom Uredbom. GDPR propisuje brojne obaveze za kompanije i druge osobe koje imaju pravo da dobiju podatke o ličnosti.
Ipak o značaju ovih obaveza možda najbolje govore kazne za nepoštovanje odredbi GDPR.
Načela obrade podataka
Trebalo bi da imate na umu da je precizirano 6 načela obrade ličnih podataka. Sažeto, u ovih šest načela se propisuje da se podaci mogu obrađivati samo u skladu sa zakonom, kao i da se to može raditi samo u predviđene i dozvoljene svrhe.
Osim toga mora se obezbediti tačnost i sigurnost podataka, mora se prikupljati minum potrebnih podataka, ali moraju se podaci uništiti ili depersonalizovati nakon što je ostvarena njihova svrha.
Prava građana
Uvođenjem GDPR-a građani zapravo mogu da kontrolišu svojie lične podatke. Tako su preduzeća koja imaju vaše lične podatke dužna da svoje klijente obaveste o načinima na koje njihove podatke koriste, da im omoguće uvid u podatke, dostave kopiju, ili izmene netačne podatke.
U ovoj Uredbi se primenjuje “pravo na zaborav” (right to be forgotten) odnosno postojeće pravo na brisanje podataka prilagođava stvarnosti interneta u kojima se svi naši podaci konstantno objavljuju i dele.
Slično je i sa pravom na prenosivost podataka (data portability) gde se podrazumeva da će kompanije koje se bave analitikom ličnih podataka svojim korisnicima na zahtev morati da dostave sve podatke o njima u mašinski čitljivom formatu, kako bi ti podaci mogli da se koriste i za druge usluge.
Uticaj na strane kompanije
Zbog veoma visokih kazni, mnogi poslovi su otišli na velike investicije da bi zaštitili svoje podatke
Kod nas, ali u u svetu sve strane firme, korporacije ili kompanije koje se bave informacijama o državljanima Evropske unije takođe su predmet GDPR Uredbe. Dakle, preko 92 odsto preduzeća u Sjedinjenim Američkim Državama sada kaže da je prilagođavanje GDPR jedan od njihovih najviših prioriteta ili 54 odsto njih smatra najvišim prioritetom. Iako je to evropska regulativa, GDPR utiče na redizajn zaštite podataka mnogih stranih kompanija, uključujući Facebook, Google, Microsoft i mnoge druge.
Zaštita podataka i ulaganje
Zbog veoma visokih kazni, mnogi poslovi su otišli na velike investicije da bi zaštitili svoje podatke. Rezultati ukazuju da je 77 odsto ispitanika reklo je da planira da uloži milion dolara da bi se u potpunosti pridržavalo uredbe. Njih 9 odsto ima u planu da uloži više od 10 miliona dolara.
Zaštita podataka i šta u stvari GDPR zahteva?
Zahteva se kategorizacija i kodiranje svih informacija o korisnicima koje se definišu kao njihovi lični podaci – bilo koja kombinacija ličnih činjenica koja skupa posmatrano tačno određuje jednog pojedinca. To su, između ostalog, ime i prezime, podaci o lokaciji, fizički, fiziološki, genetski, mentalni, ekonomski, socijalni, kulturni i drugi faktori. Nezaštićenost podataka zaposlenih i nekadašnjih radnika je još jedan od problema sa kojima se firme suočavaju.
Zaštita piodataka i prikupljanje informacija
Osim toga, individuama od kojih se informacije prikupljaju daje se pravo da uvek i u svakom trenutku znaju ko i u kakve svrhe sakuplja ili uzima njihove lične podatke.
Oni takođe mogu da zahtevaju da se ti podaci izbrišu iz baze podataka u kojoj se nalaze.
Dodatno osnaživanje prava vlasnika informacija obezbeđeno je i procenom uticaja koju prikupljanje i obrađivanje podataka ima na prava i slobode pojedinca, kao i obaveštavanje nadležnih vlasti i vlasnika informacije ukoliko dođe do bilo kakve ugroženosti ili neadekvatne upotrebe podataka (u roku od 72 časa).
Standardi poslovanja, a ne obaveza
Zaštiota podataka je dobro uređena u svetu, a većina kompanija poštuje ove uredbe
Kontrola procesa obrade podataka nije ostala samo na nivou države. Uredba je propisala da će, pored javnih vlasti, određene kompanije morati da imaju Data Protection Officer-a (DPA), tačnije zaposlenu odobu ili eksperta, ili spoljašnjeg saradnika koji će kontrolisati tretiranje ličnih podataka.
Zaštita podataka i nedoumice
Njegovo angažovanje nije povezano sa brojem zaposlenih upreduzeću, već sa količinom podataka koji se obrađuj. Zato firme koje redovno i sistematski prate podatke u velikoj meri, kao i one koje to čine sa podacima osetljivih kategorija (zdravstvene, religiozne) moraju da prime još jednog zaposlenog. Ipak, kod ove Uredbe nije jasno definisano baš sve što svakako izaziva brojne nedoumice. Zato je pravo pitanje poslovni sektor zapravo koliko bi implementacija mogla da košta i da li će dovesti do bankrota malih i srednjih preduzeća.
Zaštita podataka i kontrola
Ovom Uredbom korisnici imaju daleko veću kontrolu nad svojim podacima koji se uglavnom koriste za svrhe reklamiranja.
Još jedan od kontraverznih delova ove Uredbe je i onaj gde se navodi da se ona neće primenjivati samo na firme/kompanije koje deluju na teritoriji EU, već i na sve one koje, bez obzira na sedište, tretiraju podatke građana koji borave na teritoriji Unije.
Zaštita podataka i kazne
Iako su potencijalne kazne i način kažnjavanja tih preduzeća i dalje nejasni, eksperti smatraju da će se veće kompanije koje nemaju sedište u EU takođe pridržavati Uredbi, jer neće želeti reputacijske probleme.
Najverovatniji scenario je da će one manje „morati da lociraju svog EU predstavnika, te će verovatno na lokalnoj instituciji za zaštitu podataka biti da nađe način kako da sankcioniše firme koje krše Uredbu“.
Kako da znam da su moji podaci bezbedni?
Bezbednost podataka predstavlja svojevrsnu procenu rizika kojim su lični podaci u vašoj kompaniji izloženi
Bezbednost informacionih sistema i laštite ličnih podataka je prioritet GDPR-a. Znači da u skladu sa vrstom podataka koje posedujete i rizicima koji iz toga proizilaze mora da se primene nužne tehničke mere. Na ovaj način se obezbeđuje i bezbednost ličnih podataka. Neke od tih mera su i pravljenje sigurnosnih kopija svih podataka, kao i odluka o preuzimanju odgovarajućih mera koje morate da donostite u svakom konkretnom slučaju. A imajući u vidu munjevit razvoj tehnologije, takve mere ćete redovno morati da se testiraju i ubnavljaju.
Prijave bezbednosnih incidenata
I pored toga što se u infromacionu bezbednost ulaže znatno više nego ranije, gotovo svakodnevno možemo pročitati da je došlo do kompromitacije višemilionskih baza ličnih podataka.
U skladu sa tim GDPR propisuje da u slučaju incidenata, odnosno kompromitacije podataka o ličnosti (data breach) postoji obaveza da se o tome obaveste nadležni organi za zaštitu podataka o ličnosti u roku od 72 sata uz dostavljanje detaljnog izveštaja o slučaju.
I ne samo to, kompanije koje su se našle u ovakvoj situaciji moraju da obaveste i sva lica čiji su podaci kompromitovani.
Procena uticaja na privatnost
Uvek kada se koriste lični podaci to mora da se nađe u dokumentu koji bi prikazao kako se u vašoj kompaniji kreću podaci te koje su se i mere zaštite preduzele.
Ovaj dokument predstavlja svojevrsnu procenu rizika kojim su lični podaci u vašoj kompaniji izloženi.
Ovakva obaveza je propisana za organizacije koje se bave automatizovanim donošenjem odluka zasnovanih na ličnim podacima, ali i onda kada su mogući veliki rizici po prava i slobode građana s obzirom na nove tehnologije koje se koriste i kontekat obrade podataka.
