Šta je to GDPR i zašto se tiče i srpskih kompanija?

Šta je to GDPR i zašto se tiče i srpskih kompanija koje posluju sa ličnim podacima?

Ako vas pitaju da li želite da neko poseduje vaše lične podatke, prodaje ih i skladišti – verovatno je da će odgovor biti ne. S druge strane, naše lične informacije nalaze se širom Interneta, u masovnim bazama podataka telekom operatera, banaka, društvenih mreža i drugih preduzeća kojima je njihovo skladištenje i obrada posao. I tim podacima se vrlo lako može pristupiti. To je bio razlog zbog koga je Evropska unija donela jednu od najkontraverznijih zakonskih regulativa – Opštu uredbu o zaštiti podataka o ličnosti, koja iz korena menja način poslovanja svih subjekata koji se bave prikupljanjem i obradom ličnih informacija.

Stevan Ranđelović, konsultant za pitanja digitalizacije, u razgovoru za Netokraciju bliže je definisao primenu GDPR-a na srpske kompanije.

Od trenutka kada je oblast zaštite ličnih podataka poslednji put regulisana na evropskom nivou 1995. godine, svet se suočio sa ekspanzijom komunikacija i pojavom društvenih mreža. Samo Facebook ima 1,3 milijarde korisnika na dnevnom nivou, a količina informacija koja se tim putem podele ne može se nazvati nikako drugačije do enormnom. Ako u računicu dodamo i druge društvene mreže, informacije telekomunikacionih operatera o komunikaciji svojih korisnika, podatke koje se prikupljaju uz pomoć kolačića, postojanje Big Date i slično, jasno je da se sa našim ličnim podacima postupa kao sa robom. A ko ima našu lične podatke – ima i dominaciju.

Šta je zapravo GDPR?

Opšta uredba o zaštiti podataka o ličnosti (General Data Protection Regulation – GDPR) doneta je još 2016. godine, ali usled neophodnog adaptacionog perioda ona počinje da važi u maju 2018. godine. Međutim, period prilagođavanja je došao i polako prolazi, a na osnovu istraživanja koje je početkom godine sprovela kompanija Veritas – svega 2% ispitanika je zaista prilagodilo svoj način poslovanja GDPR-u, uprkos tome što se 31% izjasnilo da je u potpunosti primenilo regulativu.

A šta u stvari GDPR zahteva od svih individua, institucija i organizacija koje na bilo koji način tretiraju lične podatke?

Popis, kategorizaciju i kodiranje svih informacija o korisnicima koje se definišu kao njihovi lični podaci – bilo koja kombinacija ličnih činjenica koja skupa posmatrano tačno određuje jednog pojedinca. To su, između ostalog, ime i prezime, podaci o lokaciji, fizički, fiziološki, genetski, mentalni, ekonomski, socijalni, kulturni i drugi faktori.

Nezaštićenost podataka zaposlenih i bivših zaposlenih je još jedan od problema sa kojima se kompanije suočavaju.

Pored toga, pojedincima od kojih se informacije prikupljaju daje se pravo da uvek i u svakom trenutku znaju ko i u kakve svrhe sakuplja njihove lične podatke, kao i da zahtevaju da se ti podaci izbrišu iz baze podataka u kojoj se nalaze.

Dodatno osnaživanje prava vlasnika informacija obezbeđeno je i procenom uticaja koju prikupljanje i obrađivanje podataka ima na prava i slobode pojedinca, kao i obaveštavanje nadležnih vlasti i vlasnika informacije ukoliko dođe do bilo kakve ugroženosti ili neadekvatne upotrebe podataka (u roku od 72 časa).

Kako bi se osigurali da će sve navedene stavke biti ispoštovane, zakonodavci su odredili i postojanje nezavisnog državnog organa u svakoj zemlji članici  koji će voditi računa o prijavama iz ove oblasti, a čiji će rad koordinisati evropski organ – Article 29 Working Party (WP29).

Novi standard poslovanja, a ne ‘još jedna obaveza’

Pa ipak, kontrola procesa tretiranja podataka nije ostala samo na nivou države ili nadnacionalne zajednice. Uredba je propisala da će, pored javnih vlasti, određene organizacije/kompanije morati da imaju Data Protection Officer-a (DPA), tačnije zaposlenog eksperta ili spoljašnjeg saradnika koji će kontrolisati tretiranje podataka.

Njegovo postojanje nije povezano sa brojem zaposlenih u firmi, već sa količinom podataka koji se obrađuju, te će stoga sve kompanije koje redovno i sistematski prate podatke u velikoj razmeri, kao i one koje to čine sa podacima osetljivih kategorija (zdravstvene, religiozne, rasne i sl.) morati da prime još jednog zaposlenog.

Nejasno definisanje ovog i drugih odrednica Uredbe svakako izaziva brojne nedoumice, međutim, dominantno pitanje za poslovni sektor jeste koliko bi implementacija mogla da košta i da li će dovesti do bankrota malih i srednjih preduzeća. Stevan Ranđelović, konsultant za pitanja digitalizacije i član Evropskog udruženja agencija, pak, smatra da bez obzira na cenu primene, GDPR-a postaje nova životna činjenica, te će ugrađivanje zaštite podataka u samo srce proizvoda donekle sačuvati kasnijih troškova. Ranđelović kaže:

Čak i ako imate startap koji se oslanja na obradu podataka i ta obrada podataka je rizična, moraćete da uložite vreme i novac kako biste se povinovali Uredbi. Po tome se ne razlikuju mala preduzeća i velike kompanije. Procena troškova će, naravno, zavisiti od slučaja do slučaja i od toga da li kompanija obrađuje dosta podataka ili ne, i kakve rizike takva obrada nosi, ali je usklađivanje svakako neminovno.

Novom Uredbom korisnici će dobiti daleko veću kontrolu nad svojim podacima koji se uglavnom koriste za svrhe reklamiranja.

Još jedan od kontraverznih delova Uredbe jeste i onaj koji kaže da se ona neće primenjivati samo na firme/kompanije koje deluju na teritoriji EU, već i na sve one koje, bez obzira na sedište, tretiraju podatke građana koji borave na teritoriji Unije.

Iako su potencijalne sankcije i način kažnjavanja tih subjekata i dalje nejasni, Ranđelović smatra da će se veće kompanije koje nemaju sedište u EU gotovo sigurno povinovati Uredbi, jer ne žele reputacijske probleme. Najverovatniji scenario je da će one manje „morati da lociraju svog EU predstavnika, te će verovatno na lokalnoj instituciji za zaštitu podataka biti da nađe način kako da sankcioniše firme koje krše Uredbu“.

Kakva je situacija sa Srbijom?

Srbiju, bez obzira na privredna društva koja već zahvata ovaj ekstrateritorijlni princip primene, kao kandidata za članstvo u EU očekuje usvajanje Uredbe. Međutim, ova međunarodna obaveza koja je definisana još Sporazumom o pridruživanju 2008. godine mora se prilično hitno primeniti. U izveštaju o napretku RS iz 2016. godine koji je pisala Evropska komisija navedeno je da je pod hitno potrebno donošenje novog Zakona o zaštiti podataka koji će biti usklađen sa Uredbom.

Stoga je Rodoljub Šabić, Poverenik za informacije od javnog značaja i zaštitu podataka o ličnosti, iako ne spada u krug ovlašćenih predlagača zakona (ali deluje u oblasti ličnih podataka), načinio novi predlog Zakona o zaštiti podataka o ličnosti. Iz kabineta Poverenika poručuju u razgovoru sa Netokracijom:

Model novog zakona je u najvećoj mogućoj meri usaglašen sa aktuelnim standardima relevantnih evropskih dokumenata, s tim da se prilikom izrade Modela imala u vidu činjenica da Srbija nije članica EU, da se Opšta Uredba ne može direktno primenjivati, niti je, imajući u vidu naš pravni sistem, Ustav i dostignuti nivo svesti o zaštiti podataka o ličnosti, moguće nekritički preuzeti sva rešenja sadržana u njoj.

Nakon javne rasprave očekuje se konačna verzija Nacrta zakona o zaštiti podataka o ličnosti.

Stoga je sledeći korak na Ministarstvu pravde, odnosno Vladi Republike Srbije, kao ovlašćenom predlagaču, da novi Predlog zakona o zaštiti podataka o ličnosti dodatno poboljša i otvori javnu raspravu o tom aktu. Nakon toga bi trebalo da bude načinjena konačna verzija, koja se prosleđuje Narodnoj skupštini na usvajanje. Na pitanja Netokracije, iz Ministarstva pravde kažu sledeće:

Rad na izradi Nacrta novog zakona je u završnoj fazi, a planirano je da radna grupa u septembru, nakon konsultacija sa ekspertima EU, izađe sa konačnim tekstom.

Blagoslov ili prokletstvo?

Iako je primena Uredbe sa tehničke strane manje-više jasna, ostaju brojna pitanja velikog broja subjekata iz poslovnog sektora koji su njome obuhvaćeni. Mogućnost da se informacije o ličnost prikupljaju čak i kad za to nema zakonskog razloga, da se njima trguje i slično – ovime se stavljaju van snage. Stoga je na ovim kompanijama da same sebi odgovore na sledeće pitanje: koje korake moramo preduzeti ne bi li korisnici sa nama podelili svoje lične podatke i dopustili nam da ih koristimo za svrhe oglašavanja?

Stručnjaci iz oblasti obrade podataka savetuju da se na ovaj zahtev ne gleda kao na obavezu, već kao priliku da se dodatno unapredi korisničko iskustvo koje će dovesti do većeg poverenja u institucije koje prikupljaju informacije o njima. Stoga se oni koji lične podatke koriste u poslovne svrhe moraju koncentrisati da od svojih korisnika jasno i nedvosmisleno dobiju pristanak za korišćenje njihovih informacija i da im objasne u koje svrhe.

Nakon toga, moraju im obezbediti da tim podacima, ukoliko žele, mogu lako da pristupe i da im udovolje na zahtev za brisanjem, ukoliko zatraže. Takođe, moraju voditi računa da ne prikupljaju bilo kakve dodatne informacije i da postojeću bazu održavaju u skladu sa propisima.

Evropska komisija i Evropski parlament nadaju se da će ovom odlukom stati na kraj potencijalnim cyber ratovima i time zaštiti svoje građane. Naravno, astronomske novčane kazne za prekršioce koje idu i do 4% godišnjeg prometa tj. 20 miliona evra, svakako neće biti stvar preko koje će se tako lako preći. Zaštita građana ili još jedna prilika da se velike tehnološke kompanije novčano pritisnu – videćemo u najskorijoj budućnosti.

Ostavi komentar

  1. Dragan

    Dragan

    13. 11. 2018. u 12:59 Odgovori

    Gdpr je dobra osnova zamisao,ali kako mi na likalnom nivou da je implementiramo.Kako da se ponasamo ,da li treba da usvajamo nove zakonske akte na lokalnom niovou ,da ulazemo u novu IT opremu ili da se bavimo obukom samih zaposlenih koji su u svakodnevnom dodiru sa poverljivim podacima. Zamoli bih ako mozete to da objasnite i prosledite materijal kako primeniti samu GDPR uredbu.

Odgovori

Tvoja e-mail adresa neće biti objavljena.

Popularno

Startapi i poslovanje

Godina u kojoj smo uništili srpski IT

Da, pričam o izmenama zakonskih regulativa vezanih za porez na dohodak građana. Po ko zna koji put imamo šansu da uradimo nešto veliko i sami uprskamo, kao reprezentacija u fudbalu.

Mobilno

Google i u Beogradu omogućio pregled javnog gradskog prevoza!

Google Maps od danas su konačno omogućile korisnicima u Beogradu da na svojim pametnim telefonima dobiju uvid u kretanje gradskog prevoza, cene karte i druge bitne informacije o GSP-u.

Kultura 2.0

Mogu li dva prijatelja iz IT-ja pozicionirati Srbiju na mapi evropskih biciklista – kroz projekat Serbia Upside Down?

Dvojica kolega i prijatelja koji rade u IT industriji svoju ljubav prema biciklizmu i putovanjima spojili su u projekat pod nazivom 'Serbia Upside Down'. Njihova ideja je da se kroz velike biciklističke ture u Srbiji naša zemlja približi njihovim kolegama IT-jevcima iz Zapadne Evrope kao vredno turističko mesto. O čemu se tu zapravo radi?

Propustili ste

Gaming

Igre niškog gaming studija Peaksel preuzete su više od 300 miliona puta, a njihov kvalitet prepoznao je i Google

Niški gejming studio Peaksel može se pohvaliti sa čak 330 miliona preuzimanja svojih igara sa poznatih prodavnica kao što su App Store i Google Play. Ovo je njihova priča.

Ekskluzivno

Ako želimo dalji rast srpskog startap ekosistema, potrebna nam je podrška institucija – pokazuje Startap skener

Srpski startap ekosistem, iako je i dalje po veličini, resursima i iskustvu mali i nalazi se tek u prvoj fazi razvoja, jedan je od najbrže rastućih u odnosu na ekosisteme koji se nalaze u istoj fazi - zaključak je istraživanja Startap skener. Šta moramo promeniti kako bismo održali taj rast?

Startapi i poslovanje

Startap Shyft zahvaljujući development timu u Srbiji podigao investiciju od $15 miliona

Kalifornijski startap Shyft podigao je Serija A investiciju u iznosu od 15 miliona dolara što je, gledano sa lokalnog stanovišta, posebno važno jer se njegov kompletan development tim nalazi upravo u Srbiji.

Kultura 2.0

Razumete podatke koji objašnjavaju zašto ljudi odlaze iz Srbije? Prijavite se na konkurs čiji je nagradni fond 40.000 dolara

UNDP i UNFPA su pripremili nagradni fond od 40.000 dolara za timove koji predlože inovativna rešenja koja doprinose razumevanju izazova koje donosi depopulacija.

Startapi i poslovanje

Kako je srpski Agremo od troje ljudi postao kompanija koja digitalizuje poljoprivredu za 2.000 korisnika širom sveta

Imati efikasnu poljoprivredu danas znači imati 'tech' rešenja koja pomažu agronomima da uz pomoć detaljnih analiza preciznije obrađuju i održavaju svoje parcele. Jedno od tih savremenih rešenja dolazi iz kompanije Agremo, o čijem smo poslovanju razgovarali sa osnivačem.

Kultura 2.0

Da li je moguće sprečiti izgaranje na poslu – pitali smo HR-a, psihologa i direktora

Uhvatite li sebe da se osećate umorno, iscrpljeno, nemotivisano, ne spavate dovoljno, opada vam imunitet i sve to samo kada pomislite na posao koji vas čeka? U tekstu koji sledi pokušavamo da odgovorimo na pitanje kako da u 2020. godini ne dozvolite da do toga dođe.