Šta je GDPR i zašto je potrebno da ga imate?
Opšta uredba o zaštiti podataka (The General Data Protection Regulation – GDPR) je evropska uredba za zaštitu ličnih podataka. Ona jača i objedinjuje zaštitu ličnih podataka u Evropskoj uniji. Od 25. maja 2018. godine ova uredba se primenjuje na kompanije iz EU, kao i kompanije osnovane van Evropske unije koje obrađuju podatke o aktivnostima subjekata EU. Ne-evropske kompanije su takođe predmet uredbe ako kroz profilisanje targetiraju stanovnike EU ili nude robu i usluge evropskim rezidentima.
GDPR predstavlja evoluciju zakonodavstva EU o podacima. Ispravlja mnoge nedostatke prethodnih zakona, zahteva dokumentovanje relevantnih IT procedura, propisuje studije procene rizika, zahteva da se nadzorni organ i subjekti obaveste u slučaju povrede podataka.
Posebno je važno shvatiti da se GDPR odnosi posebno na lične podatke. To je ono se u Sjedinjenim Državama naziva Ličnim identifikacionim informacijama (Personally Identifiable Information – PII). To su podaci koji identifikuju određenu osobu. Drugim rečima, imena, adrese, brojevi telefona, brojevi računa, a odnedavno i e-mail i IP adrese.
Možemo konstatovati da GDPR donosi zakone uzimajući u obzir zdravorazumske mere. Uredba uključuje bezbednost ličnih podataka, što je slično američkom principu nazvanom “Privacy by Design”. Počevši od prve faze projektovanja sistema, minimizirajte prikupljanje ličnih podataka i izbrišite podatke koji više nisu korisni. Takođe, uredba ograničava pristup podacima i obezbeđuje ih tokom njihovog korisnog veka trajanja.
Šta su obligacije?
Privatnost po nacrtu (Privacy by Design)
Koncept Privatnosti po nacrtu (Privacy by Design – PBD) je dugo bio izvor inspiracije za zakonodavce iz EU. Ovom uredbom eksplicitnije su formalizovani principi minimiziranja prikupljanja i zadržavanja podataka, i obavezano traženje saglasnosti od lica prilikom bilo koje upotrebe njihovih ličnih podataka.
Obaveštenje o povredi podataka
U slučaju novih obaveza koje nisu bile uključene u DPO, preduzeća treba da, u slučaju otkrivanja povrede ličnih podataka, obaveste nadzorni organ u roku od 72 sata nakon otkrivanja. Takvo kršenje takođe treba prijaviti dotičnom licu, ali samo ako dovodi do „visokog rizika za njegova prava i slobode“.
Procene uticaja na zaštitu podataka (Data Protection Impact Assessments - DPIA)
Pre obrade ličnih podataka o korisnicima, kompanije će prvo morati da analiziraju rizike po privatnost i bezbednost pravnih subjekata. To je izričita obligacija u okviru ove regulacije. Dugogodišnji zahtev prema DPO-u sadržao je pravo da se određeni podatak izbriše ili zaboravi, što omogućava svakom potrošaču ili korisniku da zahteva brisanje svojih ličnih podataka. GDPR proširuje ovo pravo, koje sada pokriva sve podatke objavljene na vebu. Ovo se odnosi na „pravo na zaborav“ koje je još uvek veoma kontroverzno.
Novčane kazne
GDPR predviđa stepenovane finansijske kazne za kompanije koje krše naznačene propise. Kazne ponekad mogu biti veoma oštre. Najveća kršenja propisa kazniće se novčanom kaznom u vrednosti od 4% ukupnog prometa kompanije. Ovo će uključivati kršenje osnovnih principa teksta uredbe, posebno u pogledu poštovanja privatnosti „po nacrtu“. Novčana kazna do 2% od ukupnog prometa može se primeniti ako kompanija ne prati ispravno sve relevantne informacije, ili ne obavesti nadzorni organ i korisnike o otkrivanju povrede ličnih podataka.
Eksteritorijalnost
Princip eksteritorijalnosti GDPR-a odnosi se na kompanije koje nisu fizički prisutne u EU, a prikupljaju lične podatke koji se odnose na državljane EU (na primer preko veb stranice). Onda se na njih mogu primeniti sve obaveze definisane GDPR-om. Drugim rečima, ova nova legislativa ima delokrug van granica EU. Najviše pogođene neevropske kompanije biće one čije aktivnosti uključuju e-trgovinu i usluge u cloud servise.
Generalno, poruka poslata kompanijama na koje se odnosi GDPR je da se tretiranje ličnih podataka mora sporovoditi sa dosta više pažnje i rigoroznije nego pre. Korisnici će imati pravo da zahtevaju podatke o mestu i načinu čuvanja osetljivih podataka, ko ih upotrebljava i ko im može pristupi.