U poslednjih par godina mogli smo da primetimo da se tema zaštite ličnih podataka a posebno kako se isti koriste dosta prisutna u javnosti. Ovo je najviše i inicirano temama o trgovini naših podataka i sve češćim hakerskim upadima i curenjem podataka, koji su neke od kompanija doveli i do totalnog kraha. Stoga je ovo pitanje stavljeno na vrh političke agende kako u Americi tako u EU, što je i rezultiralo sveobuhvatnom reformom režima zaštite ličnih podataka. U EU je ova sveobuhvatna reforma urađena kroz Opštu regulativu o zaštiti podataka o ličnosti ili ti popularno GDPR (General Data Protection Regulation) koja će krenuti da se primenjuje od maja 2018 godine. U moru propisa i novina kojima je potrebno prilagoditi se glavno pitanje je šta baš ovaj dokument donosi i zašto je toliko bitan sa privrednike u Srbiji i posebno IT zajednicu?
Na prvom mestu treba istaći da je zaštita podataka o ličnosti jedna od najaktuelnijih tema danas te stoga i sama kontrola kompanija koje ih koriste u svom poslovanju je veoma pooštrena što govori i činjenica da su kazne po GDPR do 4% godišnjeg prihoda ili 20 miliona EUR. Iako se ovde radi o EU regulativi treba imati u vidu da će ova regulativa se primenjivati i na srpske privrednike, jer je njeno područje primene na sve kompanije (bez obzira gde se nalaze) koje u okviru svog poslovanja dolaze u posed ličnih podataka građana EU (bez obzira da li to zato što pružate usluge u EU, ili samo koristite podatke u marketinške svrhe, cloud provajdere i slično). Pored toga ono što je veoma bitno za naše startup-ove koji planiraju da apliciraju za sredstva iz Horizon 2020 i slične EU fondove, da bi ste bili prihvatljivi kao kandidat moraćete da pokažete da ste usklađeni sa GDPR. Na kraju, treba istaći da je i kod nas već uveliko pri kraju rad na usvajanju novog Zakona o zaštiti podataka o ličnosti koji je usklađen sa GDPR, i čije se usvajanje i primena očekuje isto kad i primena GRDP, te stoga će ubrzo i sve domaće kompanije biti u obavezi da se usklade sa novim režimom.
GDPR donosi dosta novina od načina na koji vodite interne baze podataka, do načina na koji štitite lične podatke, do prava koje subjekti čiji se podaci obrađuju imaju (pravo na brisanje podataka, pravo na transfer podataka, pravo na pristup podacima, pravo na prigovor obradi i ispravku podataka, itd), prijavu upada u baze podataka i ponašanje u ovim situacijama, itd. Bez ulaženja u dublje detalje (jer je to posao za stručnjake koji će raditi GDPR compliance) ono što je bitno za svako privrednika da shvati da je ovo veliki posao (za GDPR je primena odložena više od godinu dana baš iz razloga da bi se kompanije pripremile za primenu iste), koji će zahtevati značajne promene u načinu rukovanja i čuvanja podataka i samih poslovnih procesa, i koji će biti potrebno da se sprovede istovremeno i sa pravne i tehničke strane. Rezultat svega ovoga treba da bude Privacy Impact Assesment ili ti dokument koji će da pokaže kako se u vašoj kompaniji kreću podaci (data flow mapp), kako se čuvaju i kako su obezbeđeni od zloupotreba, da je vaš pristup najmanje intruzivan za privatnost korisnika i da zahteva minimum podataka koji su biznisu potrebni za rad. Ovaj dokument predstavlja svojevrsnu procenu rukovanja podacima kao i rizika. Pre njega je svakako potrebno sačiniti mapiranje tokova podataka kroz poslovne procese, a njega treba da prati i izmena/donošenje internih politika koje se tiču ličnih podataka, kao i svih ugovora sa trećim stranama koje isto dolaze u posed ličnih podataka u okviru toga ugovornog odnosa. Pored toga svaki novi poslovni proces treba da bude baziran na Privacy by Design konceptu, koji u stvari znači da od samog početka projekta morate da uzmete u obzir standarde o zaštiti podataka o ličnosti i da isti prilagodite/dizajnirate u skladu sa tim standardima. Na kraju ne treba zaboraviti i da će određene kompanije morati da postave i posebno lice koje će se baviti ovim pitanjima, Data Protection Officer, a strane kompanije sa koje nude proizvode/usluge u EU lokalnog predstavnika.
Da sumiramo na kraju, GDPR donosi puno izmena i uskladiti se sa njime je veliki posao koji treba početi na vreme, imajući u vidu da primena kreće za svega par meseci a da je posao usklađivanja veoma kompleksan jer zahteva zajednički rad pravnika i IT eksperata u bliskoj saradnji s biznisom. Stoga za početak pokušajte da prepoznate da li ćete baš vi biti obavezni da se povinujete ovim pravilima a onda i da planirate proces usklađivanja.
Autor: Adriana Minović
Adriana Minović je pravnik specijalizovan u oblasti IKT sa širokim iskustvom u istoj. Karijeru je započela u Ministarstvu zaduženom za telekomunikacije i IT baveći se harmonizacijom domaćih propisima sa EU regulativnom o oblasti telekomunikacija, informacionog društva i medija. Pored toga bila je angažovana kao pravni savetnik na brojnim projektima u pomenutim oblastima od strane raznih organizacija (NUNS, IREX/USAID, Share Defense) i sarađivala sa institucijama kao što je Columbia Univerzitet i Oxford Univerzitet. Trenutno radi kao Content Security Manager, a pored toga angažovana je i kao jedan od autora za Pravo IKT i saradnik Diplo Fondacije (vezano za pitanja Internet Governance).
Super infografik Saveta evrope EU
Foto: Pixabay/Super infografik Saveta evrope EU
