Članci

Nakon 25. maja sve će biti drugačije. Jeste li već spremni?

08 feb 2018

Predstojeća opšta uredba o zaštiti podataka o ličnosti (GDPR) predstavlja prekretnicu na području zaštite ličnih podataka, iako u širem kontekstu ne možemo govoriti o revoluciji, već samo o evoluciji na području zaštite ličnih podataka. Uredba je očekivan korak, imajući u vidu razvoj informaciono‑komunikacione tehnologije, zbog koje poslednjih godina svedočimo značajnim promenama u intenzitetu i načinu upotrebe ličnih podataka. Uredba tako proširuje pojam podatka o ličnosti i prilagođava ga savremenim tehnologijama. Po novoj definiciji, podatak o ličnosti je bilo koja informacija koja određuje fizičko lice, odnosno na osnovu koje se fizičko lice može odrediti. To su, između ostalog, ime i prezime, adresa, lokacija, mrežni identifikator (IP, kolačići), podaci o zdravstvenom stanju itd.

Cilj uredbe je, pre svega, da zaštiti pojedinca i vrati mu nadzor nad sopstvenim ličnim podacima. Posebnost je u tome što nastoji da ujednači pravila o prikupljanju, čuvanju i upotrebi ličnih podataka u svim članicama EU.

Na koga se uredba odnosi?

Uredba se jednako primenjuje na sva društva sa sedištem u državama članicama EU koja na bilo koji način prikupljaju, čuvaju ili koriste lične podatke. Ali skrećemo pažnju – uredbu su dužna da poštuju i preduzeća izvan EU koja robu i usluge nude pojedincima u EU i u tu svrhu prikupljaju i čuvaju njihove lične podatke.

Pravila koja donosi uredba su kompleksna, pa je zato važno da preduzeća koja žele da sačuvaju poverenje, ugled, te da posluju transparentno, što pre pristupe izradi plana za obezbeđivanje usklađenosti poslovanja sa odredbama uredbe.

5 ključnih novina GDPR

1. Stroži zahtevi za dobijanje saglasnosti

Saglasnost je samo jedan od načina na osnovu kog je moguće zakonito obrađivati lične podatke. Mora biti izjavljena jasno, razumljivo, nedvosmislenom potvrdnom akcijom (opt‑in) i dokazivo. To znači da pristanak pružen u opštim uslovima ili preko prethodno prihvaćenih obrazaca neće biti važeći. Neće biti dovoljan ni „pretpostavljeni pristanak”, koji bi se mogao zaključiti iz ćutanja ili neodazivanja pojedinca. Pored toga, biće neophodno proveriti jesu li prethodno dobijeni pristanci usklađeni sa uredbom, i ukoliko nisu, dobiti ih ponovo.

2. Ovlašćeno lice za zaštitu podataka o ličnosti (DPO)

Preduzeća koja redovno i sistematski obrađuju podatke o ličnosti u velikom obimu (banke, osiguravajuće kuće, klubovi potrošača, kadrovske agencije i slično), odnosno preduzeća koja obrađuju posebne vrste podataka o ličnosti (osetljivi lični podaci i lični podaci u vezi sa krivičnim delima i prekršajima) moraće da imenuju ovlašćeno lice za zaštitu podataka o ličnosti. Na mesto ovlašćenog lica može biti imenovana osoba koja ima odgovarajuće stručno znanje na području zaštite podataka o ličnosti i koja je nezavisna od rukovodstva organizacije. Glavni zadaci ovlašćenog lica, pre svega, biće obrazovanje zaposlenih u preduzeću, savetovanje rukovodstva, kao i saradnja sa nadzornim organom. Preduzeća će morati da objave kontaktne podatke ovlašćenog lica na internet stranicama, kao i da ih proslede nadzornom organu.

3. Nova prava pojedinaca

Težnja uredbe da se nadzor nad obradom ličnih podataka ponovo prenese na pojedince, ostvaruje se i preko dvaju novih prava. Prvo je pravo na zaborav, koje pojedincu omogućava da od preduzeća zahteva brisanje svojih ličnih podataka. Preduzeće će, u slučaju da ne postoje zakonski razlozi za njihovo dalje čuvanje, morati da izbriše podatke o ličnosti. Drugo je pravo na prenosivost, koje pojedincu omogućava da svoje lične podatke dobije u struktuiranom, uobičajeno korišćenom i elektronski čitljivom formatu, te da ih prenese drugom preduzeću, uključujući i konkurentna preduzeća.

4. Obaveštavanje o kršenjima

Važna novina za preduzeća, koja je dosad bila samo nepisano pravilo, jeste obaveza obaveštavanja o kršenjima zaštite podataka o ličnosti. Preduzeća će bez nepotrebnog odlaganja morati da prijave svako kršenje nadzornom organu, a najkasnije u roku od 72 sata. U slučaju ozbiljnijih kršenja, koja bi mogla da ugroze prava i slobode pojedinca, biće neophodno obavestiti i samog pojedinca. Preduzeća moraju što pre uvesti učinkovit mehanizam otkrivanja kršenja i dogovoriti se o načinu izveštavanja o kršenjima.

5. Obavezna ocena uticaja na privatnost

Reč je o proaktivnom delovanju kojim preduzeća mogu sprečiti kršenja zaštite podataka o ličnosti. Ocena uticaja na privatnost namenjena je otkrivanju verovatnoće kada bi određena vrsta obrade podataka o ličnosti mogla da izazove veliki rizik po prava i slobode pojedinaca, a preduzeća će morati da je pripremaju unapred.

 

Dodatna „motivacija”: visoke kazne

Visina kazne, u zavisnosti od prirode kršenja, može dostići do 20 miliona evra ili do 4% ukupnog godišnjeg prometa kršioca. Međutim, novčana kazna nije jedino što može zadesiti preduzeće u slučaju kršenja zaštite podataka o ličnosti. Svojom neusklađenošću sa uredbom, preduzeća na kocku stavljaju svoj ugled, čiji gubitak može ostaviti mnogo dugoročnije posledice po preduzeće nego sama novčana kazna. Dakle, ne zatvarajte oči, već se pripremite na GDPR već danas.