Šta je to GDPR i zašto se tiče i srpskih kompanija?

Šta je to GDPR i zašto se tiče i srpskih kompanija koje posluju sa ličnim podacima?

Ako vas pitaju da li želite da neko poseduje vaše lične podatke, prodaje ih i skladišti – verovatno je da će odgovor biti ne. S druge strane, naše lične informacije nalaze se širom Interneta, u masovnim bazama podataka telekom operatera, banaka, društvenih mreža i drugih preduzeća kojima je njihovo skladištenje i obrada posao. I tim podacima se vrlo lako može pristupiti. To je bio razlog zbog koga je Evropska unija donela jednu od najkontraverznijih zakonskih regulativa – Opštu uredbu o zaštiti podataka o ličnosti, koja iz korena menja način poslovanja svih subjekata koji se bave prikupljanjem i obradom ličnih informacija.

Stevan Ranđelović, konsultant za pitanja digitalizacije, u razgovoru za Netokraciju bliže je definisao primenu GDPR-a na srpske kompanije.

Od trenutka kada je oblast zaštite ličnih podataka poslednji put regulisana na evropskom nivou 1995. godine, svet se suočio sa ekspanzijom komunikacija i pojavom društvenih mreža. Samo Facebook ima 1,3 milijarde korisnika na dnevnom nivou, a količina informacija koja se tim putem podele ne može se nazvati nikako drugačije do enormnom. Ako u računicu dodamo i druge društvene mreže, informacije telekomunikacionih operatera o komunikaciji svojih korisnika, podatke koje se prikupljaju uz pomoć kolačića, postojanje Big Date i slično, jasno je da se sa našim ličnim podacima postupa kao sa robom. A ko ima našu lične podatke – ima i dominaciju.

Šta je zapravo GDPR?

Opšta uredba o zaštiti podataka o ličnosti (General Data Protection Regulation – GDPR) doneta je još 2016. godine, ali usled neophodnog adaptacionog perioda ona počinje da važi u maju 2018. godine. Međutim, period prilagođavanja je došao i polako prolazi, a na osnovu istraživanja koje je početkom godine sprovela kompanija Veritas – svega 2% ispitanika je zaista prilagodilo svoj način poslovanja GDPR-u, uprkos tome što se 31% izjasnilo da je u potpunosti primenilo regulativu.

A šta u stvari GDPR zahteva od svih individua, institucija i organizacija koje na bilo koji način tretiraju lične podatke?

Popis, kategorizaciju i kodiranje svih informacija o korisnicima koje se definišu kao njihovi lični podaci – bilo koja kombinacija ličnih činjenica koja skupa posmatrano tačno određuje jednog pojedinca. To su, između ostalog, ime i prezime, podaci o lokaciji, fizički, fiziološki, genetski, mentalni, ekonomski, socijalni, kulturni i drugi faktori.

Nezaštićenost podataka zaposlenih i bivših zaposlenih je još jedan od problema sa kojima se kompanije suočavaju.

Pored toga, pojedincima od kojih se informacije prikupljaju daje se pravo da uvek i u svakom trenutku znaju ko i u kakve svrhe sakuplja njihove lične podatke, kao i da zahtevaju da se ti podaci izbrišu iz baze podataka u kojoj se nalaze.

Dodatno osnaživanje prava vlasnika informacija obezbeđeno je i procenom uticaja koju prikupljanje i obrađivanje podataka ima na prava i slobode pojedinca, kao i obaveštavanje nadležnih vlasti i vlasnika informacije ukoliko dođe do bilo kakve ugroženosti ili neadekvatne upotrebe podataka (u roku od 72 časa).

Kako bi se osigurali da će sve navedene stavke biti ispoštovane, zakonodavci su odredili i postojanje nezavisnog državnog organa u svakoj zemlji članici  koji će voditi računa o prijavama iz ove oblasti, a čiji će rad koordinisati evropski organ – Article 29 Working Party (WP29).

Novi standard poslovanja, a ne ‘još jedna obaveza’

Pa ipak, kontrola procesa tretiranja podataka nije ostala samo na nivou države ili nadnacionalne zajednice. Uredba je propisala da će, pored javnih vlasti, određene organizacije/kompanije morati da imaju Data Protection Officer-a (DPA), tačnije zaposlenog eksperta ili spoljašnjeg saradnika koji će kontrolisati tretiranje podataka.

Njegovo postojanje nije povezano sa brojem zaposlenih u firmi, već sa količinom podataka koji se obrađuju, te će stoga sve kompanije koje redovno i sistematski prate podatke u velikoj razmeri, kao i one koje to čine sa podacima osetljivih kategorija (zdravstvene, religiozne, rasne i sl.) morati da prime još jednog zaposlenog.

Nejasno definisanje ovog i drugih odrednica Uredbe svakako izaziva brojne nedoumice, međutim, dominantno pitanje za poslovni sektor jeste koliko bi implementacija mogla da košta i da li će dovesti do bankrota malih i srednjih preduzeća. Stevan Ranđelović, konsultant za pitanja digitalizacije i član Evropskog udruženja agencija, pak, smatra da bez obzira na cenu primene, GDPR-a postaje nova životna činjenica, te će ugrađivanje zaštite podataka u samo srce proizvoda donekle sačuvati kasnijih troškova. Ranđelović kaže:

Čak i ako imate startap koji se oslanja na obradu podataka i ta obrada podataka je rizična, moraćete da uložite vreme i novac kako biste se povinovali Uredbi. Po tome se ne razlikuju mala preduzeća i velike kompanije. Procena troškova će, naravno, zavisiti od slučaja do slučaja i od toga da li kompanija obrađuje dosta podataka ili ne, i kakve rizike takva obrada nosi, ali je usklađivanje svakako neminovno.

Novom Uredbom korisnici će dobiti daleko veću kontrolu nad svojim podacima koji se uglavnom koriste za svrhe reklamiranja.

Još jedan od kontraverznih delova Uredbe jeste i onaj koji kaže da se ona neće primenjivati samo na firme/kompanije koje deluju na teritoriji EU, već i na sve one koje, bez obzira na sedište, tretiraju podatke građana koji borave na teritoriji Unije.

Iako su potencijalne sankcije i način kažnjavanja tih subjekata i dalje nejasni, Ranđelović smatra da će se veće kompanije koje nemaju sedište u EU gotovo sigurno povinovati Uredbi, jer ne žele reputacijske probleme. Najverovatniji scenario je da će one manje “morati da lociraju svog EU predstavnika, te će verovatno na lokalnoj instituciji za zaštitu podataka biti da nađe način kako da sankcioniše firme koje krše Uredbu”.

Kakva je situacija sa Srbijom?

Srbiju, bez obzira na privredna društva koja već zahvata ovaj ekstrateritorijlni princip primene, kao kandidata za članstvo u EU očekuje usvajanje Uredbe. Međutim, ova međunarodna obaveza koja je definisana još Sporazumom o pridruživanju 2008. godine mora se prilično hitno primeniti. U izveštaju o napretku RS iz 2016. godine koji je pisala Evropska komisija navedeno je da je pod hitno potrebno donošenje novog Zakona o zaštiti podataka koji će biti usklađen sa Uredbom.

Stoga je Rodoljub Šabić, Poverenik za informacije od javnog značaja i zaštitu podataka o ličnosti, iako ne spada u krug ovlašćenih predlagača zakona (ali deluje u oblasti ličnih podataka), načinio novi predlog Zakona o zaštiti podataka o ličnosti. Iz kabineta Poverenika poručuju u razgovoru sa Netokracijom:

Model novog zakona je u najvećoj mogućoj meri usaglašen sa aktuelnim standardima relevantnih evropskih dokumenata, s tim da se prilikom izrade Modela imala u vidu činjenica da Srbija nije članica EU, da se Opšta Uredba ne može direktno primenjivati, niti je, imajući u vidu naš pravni sistem, Ustav i dostignuti nivo svesti o zaštiti podataka o ličnosti, moguće nekritički preuzeti sva rešenja sadržana u njoj.

Nakon javne rasprave očekuje se konačna verzija Nacrta zakona o zaštiti podataka o ličnosti.

Stoga je sledeći korak na Ministarstvu pravde, odnosno Vladi Republike Srbije, kao ovlašćenom predlagaču, da novi Predlog zakona o zaštiti podataka o ličnosti dodatno poboljša i otvori javnu raspravu o tom aktu. Nakon toga bi trebalo da bude načinjena konačna verzija, koja se prosleđuje Narodnoj skupštini na usvajanje. Na pitanja Netokracije, iz Ministarstva pravde kažu sledeće:

Rad na izradi Nacrta novog zakona je u završnoj fazi, a planirano je da radna grupa u septembru, nakon konsultacija sa ekspertima EU, izađe sa konačnim tekstom.

Blagoslov ili prokletstvo?

Iako je primena Uredbe sa tehničke strane manje-više jasna, ostaju brojna pitanja velikog broja subjekata iz poslovnog sektora koji su njome obuhvaćeni. Mogućnost da se informacije o ličnost prikupljaju čak i kad za to nema zakonskog razloga, da se njima trguje i slično – ovime se stavljaju van snage. Stoga je na ovim kompanijama da same sebi odgovore na sledeće pitanje: koje korake moramo preduzeti ne bi li korisnici sa nama podelili svoje lične podatke i dopustili nam da ih koristimo za svrhe oglašavanja?

Stručnjaci iz oblasti obrade podataka savetuju da se na ovaj zahtev ne gleda kao na obavezu, već kao priliku da se dodatno unapredi korisničko iskustvo koje će dovesti do većeg poverenja u institucije koje prikupljaju informacije o njima. Stoga se oni koji lične podatke koriste u poslovne svrhe moraju koncentrisati da od svojih korisnika jasno i nedvosmisleno dobiju pristanak za korišćenje njihovih informacija i da im objasne u koje svrhe.

Nakon toga, moraju im obezbediti da tim podacima, ukoliko žele, mogu lako da pristupe i da im udovolje na zahtev za brisanjem, ukoliko zatraže. Takođe, moraju voditi računa da ne prikupljaju bilo kakve dodatne informacije i da postojeću bazu održavaju u skladu sa propisima.

Evropska komisija i Evropski parlament nadaju se da će ovom odlukom stati na kraj potencijalnim cyber ratovima i time zaštiti svoje građane. Naravno, astronomske novčane kazne za prekršioce koje idu i do 4% godišnjeg prometa tj. 20 miliona evra, svakako neće biti stvar preko koje će se tako lako preći. Zaštita građana ili još jedna prilika da se velike tehnološke kompanije novčano pritisnu – videćemo u najskorijoj budućnosti.

Ostavi komentar

  1. Dragan

    Dragan

    13. 11. 2018. u 12:59 Odgovori

    Gdpr je dobra osnova zamisao,ali kako mi na likalnom nivou da je implementiramo.Kako da se ponasamo ,da li treba da usvajamo nove zakonske akte na lokalnom niovou ,da ulazemo u novu IT opremu ili da se bavimo obukom samih zaposlenih koji su u svakodnevnom dodiru sa poverljivim podacima. Zamoli bih ako mozete to da objasnite i prosledite materijal kako primeniti samu GDPR uredbu.

Odgovori

Tvoja e-mail adresa neće biti objavljena.

Popularno

Startapi i poslovanje

Da li ženski pristup pravi uspešne biznise?

Filozof Soren Kierkegaard kaže da se život može razumeti samo iz retrospektive, ali da se mora živeti unapred. Kažu i da preduzetnici imaju odlične instinkte za snalaženje, ali da ih pitate da objasne kako su nešto znali, možete da očekujete odgovor koji je u suštini glasi - nemoj da me pitaš gluposti, ne znam.

Office Talks Podcast

Šta je ‘destination’ marketing i kako kreirati strategiju koja privlači turiste?

Turizam jedne države danas i te kako zavisi od digitalnog oglašavanja. O tome šta predstavlja termin 'destinacionog marketinga' i kako Srbija i Crna Gora mogu da sebe bolje brendiraju kao turističke destinacije, govorimo u 93. epizodi Office Talks Podcasta.

Startapi i poslovanje

Srpski Eat Me App rešava problem viška hrane koja se baca – čuvajući našu okolinu

Otpad od hrane je treći najveći emiter gasova staklene bašte na svetu. Globalno, 30% ili 1,8 milijardi tona sve proizvedene hrane na globalnom nivou se pokvari zbog loše planiranje resursa duž linije lanca snabdevanja. Srpski startap Eat Me App sa svojom aplikacijom nastoji da stane na put ovom problemu i globalnom društvu ponudi jedno od rešenja za ovaj veliki problem.

Propustili ste

Startapi i poslovanje

Decentralizovane autonomne organizacije (DAO) – izazovi i perspektive

Džon Lenon je u pesmi 'Power to the people' sumirao koncept slobode i omogućavanja građanima da odlučuju o političkim i društvenim prilikama. Ove ideje stare su koliko i prve teorije o uređenju društva.

Startapi i poslovanje

B-Fresh: Nakon pobede na Generator ZERO konkursu, krećemo sa aktivnom prodajom!

Domaći startap ekosistem možda ne obiluje sa previše uspešnih agrotech rešenja. Ipak, Generator Zero konkurs OTP banke predstavio nam je talentovane timove iz oblasti ekologije i poljoprivrede. Pobedu na ovom takmičenju odneo je tim B-Fresh sa proizvodom za produženje roka trajanja voća i povrća.

Gaming

Novo poglavlje Tetrisa piše se u Beogradu i Tel Avivu – razvijaće ga Playstudios

Kompanija Playstudios kupila je krajem prošle godine prava za razvoj Tetris franšize na mobilnim platformama. Dalji razvoj ovog legendarnog naslova poveren je timu Playstudios Europe iz Beograda na kome će zajedno raditi sa kolegama iz Playstudios Israel u Tel Avivu.

Office Talks Podcast

Zašto Elon Musk kupuje Twitter?

Twitter - hoće li ostati kakvog ga znamo ili sa akvizicijom Elona Muska dolazi neka nova era? O kupovini ove društvene mreže razgovaramo u 95. epizodi Office Talks podcasta.

Startapi i poslovanje

Londonski Qudo sa osnivačem iz Srbije uzeo investiciju od $3,5 miliona – razmišlja se o razvojnom centru u Beogradu

Questionardo, firma koja razvija platformu Qudo za agilno ispitivanje potrošača i preciznu digitalnu aktivaciju vođenu podacima, nedavno je dobila i investiciju od 3,5 miliona dolara. Jedan od osnivača ovog startapa dolazi iz Srbije i sa njim razgovaramo o daljem poslovanju i razvoju proizvoda.

Karijere

Relax Gaming otvorio studio u Novom Sadu uz aktivno širenje tima

Rast iGaming industrije primetan je i na domaćem tržištu. Nakon četiri godine poslovanja u Srbiji, kompanija Relax Gaming otvorila je novi studio i najavila aktivno širenje tima.