Šta je to GDPR i zašto se tiče i srpskih kompanija?

Šta je to GDPR i zašto se tiče i srpskih kompanija koje posluju sa ličnim podacima?

Ako vas pitaju da li želite da neko poseduje vaše lične podatke, prodaje ih i skladišti – verovatno je da će odgovor biti ne. S druge strane, naše lične informacije nalaze se širom Interneta, u masovnim bazama podataka telekom operatera, banaka, društvenih mreža i drugih preduzeća kojima je njihovo skladištenje i obrada posao. I tim podacima se vrlo lako može pristupiti. To je bio razlog zbog koga je Evropska unija donela jednu od najkontraverznijih zakonskih regulativa – Opštu uredbu o zaštiti podataka o ličnosti, koja iz korena menja način poslovanja svih subjekata koji se bave prikupljanjem i obradom ličnih informacija.

Stevan Ranđelović, konsultant za pitanja digitalizacije, u razgovoru za Netokraciju bliže je definisao primenu GDPR-a na srpske kompanije.

Od trenutka kada je oblast zaštite ličnih podataka poslednji put regulisana na evropskom nivou 1995. godine, svet se suočio sa ekspanzijom komunikacija i pojavom društvenih mreža. Samo Facebook ima 1,3 milijarde korisnika na dnevnom nivou, a količina informacija koja se tim putem podele ne može se nazvati nikako drugačije do enormnom. Ako u računicu dodamo i druge društvene mreže, informacije telekomunikacionih operatera o komunikaciji svojih korisnika, podatke koje se prikupljaju uz pomoć kolačića, postojanje Big Date i slično, jasno je da se sa našim ličnim podacima postupa kao sa robom. A ko ima našu lične podatke – ima i dominaciju.

Šta je zapravo GDPR?

Opšta uredba o zaštiti podataka o ličnosti (General Data Protection Regulation – GDPR) doneta je još 2016. godine, ali usled neophodnog adaptacionog perioda ona počinje da važi u maju 2018. godine. Međutim, period prilagođavanja je došao i polako prolazi, a na osnovu istraživanja koje je početkom godine sprovela kompanija Veritas – svega 2% ispitanika je zaista prilagodilo svoj način poslovanja GDPR-u, uprkos tome što se 31% izjasnilo da je u potpunosti primenilo regulativu.

A šta u stvari GDPR zahteva od svih individua, institucija i organizacija koje na bilo koji način tretiraju lične podatke?

Popis, kategorizaciju i kodiranje svih informacija o korisnicima koje se definišu kao njihovi lični podaci – bilo koja kombinacija ličnih činjenica koja skupa posmatrano tačno određuje jednog pojedinca. To su, između ostalog, ime i prezime, podaci o lokaciji, fizički, fiziološki, genetski, mentalni, ekonomski, socijalni, kulturni i drugi faktori.

Nezaštićenost podataka zaposlenih i bivših zaposlenih je još jedan od problema sa kojima se kompanije suočavaju.

Pored toga, pojedincima od kojih se informacije prikupljaju daje se pravo da uvek i u svakom trenutku znaju ko i u kakve svrhe sakuplja njihove lične podatke, kao i da zahtevaju da se ti podaci izbrišu iz baze podataka u kojoj se nalaze.

Dodatno osnaživanje prava vlasnika informacija obezbeđeno je i procenom uticaja koju prikupljanje i obrađivanje podataka ima na prava i slobode pojedinca, kao i obaveštavanje nadležnih vlasti i vlasnika informacije ukoliko dođe do bilo kakve ugroženosti ili neadekvatne upotrebe podataka (u roku od 72 časa).

Kako bi se osigurali da će sve navedene stavke biti ispoštovane, zakonodavci su odredili i postojanje nezavisnog državnog organa u svakoj zemlji članici  koji će voditi računa o prijavama iz ove oblasti, a čiji će rad koordinisati evropski organ – Article 29 Working Party (WP29).

Novi standard poslovanja, a ne ‘još jedna obaveza’

Pa ipak, kontrola procesa tretiranja podataka nije ostala samo na nivou države ili nadnacionalne zajednice. Uredba je propisala da će, pored javnih vlasti, određene organizacije/kompanije morati da imaju Data Protection Officer-a (DPA), tačnije zaposlenog eksperta ili spoljašnjeg saradnika koji će kontrolisati tretiranje podataka.

Njegovo postojanje nije povezano sa brojem zaposlenih u firmi, već sa količinom podataka koji se obrađuju, te će stoga sve kompanije koje redovno i sistematski prate podatke u velikoj razmeri, kao i one koje to čine sa podacima osetljivih kategorija (zdravstvene, religiozne, rasne i sl.) morati da prime još jednog zaposlenog.

Nejasno definisanje ovog i drugih odrednica Uredbe svakako izaziva brojne nedoumice, međutim, dominantno pitanje za poslovni sektor jeste koliko bi implementacija mogla da košta i da li će dovesti do bankrota malih i srednjih preduzeća. Stevan Ranđelović, konsultant za pitanja digitalizacije i član Evropskog udruženja agencija, pak, smatra da bez obzira na cenu primene, GDPR-a postaje nova životna činjenica, te će ugrađivanje zaštite podataka u samo srce proizvoda donekle sačuvati kasnijih troškova. Ranđelović kaže:

Čak i ako imate startap koji se oslanja na obradu podataka i ta obrada podataka je rizična, moraćete da uložite vreme i novac kako biste se povinovali Uredbi. Po tome se ne razlikuju mala preduzeća i velike kompanije. Procena troškova će, naravno, zavisiti od slučaja do slučaja i od toga da li kompanija obrađuje dosta podataka ili ne, i kakve rizike takva obrada nosi, ali je usklađivanje svakako neminovno.

Novom Uredbom korisnici će dobiti daleko veću kontrolu nad svojim podacima koji se uglavnom koriste za svrhe reklamiranja.

Još jedan od kontraverznih delova Uredbe jeste i onaj koji kaže da se ona neće primenjivati samo na firme/kompanije koje deluju na teritoriji EU, već i na sve one koje, bez obzira na sedište, tretiraju podatke građana koji borave na teritoriji Unije.

Iako su potencijalne sankcije i način kažnjavanja tih subjekata i dalje nejasni, Ranđelović smatra da će se veće kompanije koje nemaju sedište u EU gotovo sigurno povinovati Uredbi, jer ne žele reputacijske probleme. Najverovatniji scenario je da će one manje „morati da lociraju svog EU predstavnika, te će verovatno na lokalnoj instituciji za zaštitu podataka biti da nađe način kako da sankcioniše firme koje krše Uredbu“.

Kakva je situacija sa Srbijom?

Srbiju, bez obzira na privredna društva koja već zahvata ovaj ekstrateritorijlni princip primene, kao kandidata za članstvo u EU očekuje usvajanje Uredbe. Međutim, ova međunarodna obaveza koja je definisana još Sporazumom o pridruživanju 2008. godine mora se prilično hitno primeniti. U izveštaju o napretku RS iz 2016. godine koji je pisala Evropska komisija navedeno je da je pod hitno potrebno donošenje novog Zakona o zaštiti podataka koji će biti usklađen sa Uredbom.

Stoga je Rodoljub Šabić, Poverenik za informacije od javnog značaja i zaštitu podataka o ličnosti, iako ne spada u krug ovlašćenih predlagača zakona (ali deluje u oblasti ličnih podataka), načinio novi predlog Zakona o zaštiti podataka o ličnosti. Iz kabineta Poverenika poručuju u razgovoru sa Netokracijom:

Model novog zakona je u najvećoj mogućoj meri usaglašen sa aktuelnim standardima relevantnih evropskih dokumenata, s tim da se prilikom izrade Modela imala u vidu činjenica da Srbija nije članica EU, da se Opšta Uredba ne može direktno primenjivati, niti je, imajući u vidu naš pravni sistem, Ustav i dostignuti nivo svesti o zaštiti podataka o ličnosti, moguće nekritički preuzeti sva rešenja sadržana u njoj.

Nakon javne rasprave očekuje se konačna verzija Nacrta zakona o zaštiti podataka o ličnosti.

Stoga je sledeći korak na Ministarstvu pravde, odnosno Vladi Republike Srbije, kao ovlašćenom predlagaču, da novi Predlog zakona o zaštiti podataka o ličnosti dodatno poboljša i otvori javnu raspravu o tom aktu. Nakon toga bi trebalo da bude načinjena konačna verzija, koja se prosleđuje Narodnoj skupštini na usvajanje. Na pitanja Netokracije, iz Ministarstva pravde kažu sledeće:

Rad na izradi Nacrta novog zakona je u završnoj fazi, a planirano je da radna grupa u septembru, nakon konsultacija sa ekspertima EU, izađe sa konačnim tekstom.

Blagoslov ili prokletstvo?

Iako je primena Uredbe sa tehničke strane manje-više jasna, ostaju brojna pitanja velikog broja subjekata iz poslovnog sektora koji su njome obuhvaćeni. Mogućnost da se informacije o ličnost prikupljaju čak i kad za to nema zakonskog razloga, da se njima trguje i slično – ovime se stavljaju van snage. Stoga je na ovim kompanijama da same sebi odgovore na sledeće pitanje: koje korake moramo preduzeti ne bi li korisnici sa nama podelili svoje lične podatke i dopustili nam da ih koristimo za svrhe oglašavanja?

Stručnjaci iz oblasti obrade podataka savetuju da se na ovaj zahtev ne gleda kao na obavezu, već kao priliku da se dodatno unapredi korisničko iskustvo koje će dovesti do većeg poverenja u institucije koje prikupljaju informacije o njima. Stoga se oni koji lične podatke koriste u poslovne svrhe moraju koncentrisati da od svojih korisnika jasno i nedvosmisleno dobiju pristanak za korišćenje njihovih informacija i da im objasne u koje svrhe.

Nakon toga, moraju im obezbediti da tim podacima, ukoliko žele, mogu lako da pristupe i da im udovolje na zahtev za brisanjem, ukoliko zatraže. Takođe, moraju voditi računa da ne prikupljaju bilo kakve dodatne informacije i da postojeću bazu održavaju u skladu sa propisima.

Evropska komisija i Evropski parlament nadaju se da će ovom odlukom stati na kraj potencijalnim cyber ratovima i time zaštiti svoje građane. Naravno, astronomske novčane kazne za prekršioce koje idu i do 4% godišnjeg prometa tj. 20 miliona evra, svakako neće biti stvar preko koje će se tako lako preći. Zaštita građana ili još jedna prilika da se velike tehnološke kompanije novčano pritisnu – videćemo u najskorijoj budućnosti.

Ostavi komentar

  1. Dragan

    Dragan

    13. 11. 2018. u 12:59 Odgovori

    Gdpr je dobra osnova zamisao,ali kako mi na likalnom nivou da je implementiramo.Kako da se ponasamo ,da li treba da usvajamo nove zakonske akte na lokalnom niovou ,da ulazemo u novu IT opremu ili da se bavimo obukom samih zaposlenih koji su u svakodnevnom dodiru sa poverljivim podacima. Zamoli bih ako mozete to da objasnite i prosledite materijal kako primeniti samu GDPR uredbu.

Odgovori

Tvoja e-mail adresa neće biti objavljena.

Popularno

Karijere

5 razloga zašto paušalci ne veruju izmenama zakona i zašto se javno bune protiv njihovog usvajanja

Svako ko je prisustvovao otvorenim razgovorima povodom donošenja novih zakona o poslovanju i oporezivanju paušalaca ima samo jedan pridev - zapaljivo. Suprostavljene strane diskutovale su o zakonskim predlozima, a šta je to što paušalci ističu kao najveće probleme, pročitajte u nastavku ovog teksta.

Kultura 2.0

Horor priče iz industrije: Plata koja nikada nije stigla

Želite da promenite firmu jer više nema šta da vam ponudi? Ja bih, na vašem mestu, ponovo razmislio - ko zna šta vas čeka u sledećoj.

Startapi i poslovanje

Da li je zbog ‘paušala’ na pomolu novi egzodus programera i digitalnih stručnjaka?

Od svih dilema koje poslednjih mesec dana potresaju domaću IT zajednicu, jedna od najizraženijih i najstrastvenijih glasi - otići ili ostati?

Propustili ste

E-commerce

Guberinić: CarGo stiže u Novi Sad, a za njim i servis za digitalna plaćanja!

Treća po redu OMGcommerce konferencija u organizaciji Netokracije završena je juče, a pored dvadeset predavača koji su govorili o rešenjima i trendovima u oblasti e-trgovine, publika se upoznala i sa novinama koje kompanija CarGo planira da uvede u narednom periodu na tržište Srbije.

Upoznajte poslodavce

Microsoft je najpoželjniji IT poslodavac u Srbiji – slede Nordeus i Ubisoft

Ko su najatraktivniji IT poslodavci u Srbiji? Sajt Poslovi Infostud predstavio je rezultate svog prvog velikog istraživanja poslodavaca te vrste, a kompanija koja je osvojila najviše glasova ispitanika je Microsoft.

Intervju

Preobražaj se ne dešava ako iza njega ne stoje ljudi koji vide svet drugim očima

Duvanska industrija bez dima? Zvuči paradoksalno, ali kompanija Philip Morris International smatra da je to moguće. O njihovoj biznis transformaciji koja će to omogućiti i zaposlenima koji igraju ključnu ulogu, u nastavku teksta razgovaramo sa njihovom HR menadžerkom.

Netokracija

Zakonske osnove za razvoj ‘online’ trgovine u Srbiji su postavljene – web trgovci traže smanjenje sive ekonomije

Treća Netokracijina konferencija posvećena digitalnoj trgovini i budućnosti ove oblasti počela je jutros u prostorijama Naučno-tehnološkog parka. Dvadeset ovogodišnjih predavača publici će predstaviti rešenja i proizvode, govoriće o promenama koje novi zakoni donose za sve digitalne trgovce i podeliti konkretne savete za unapređenje poslovanje web prodavnica.

Internet marketing

Šta je korisnička persona i zašto je presudna za uspeh vašeg digitalnog proizvoda?

Često imam priliku da vidim kako se proizvod oblikuje u odnosu na pretpostavke o tome šta korisnicima treba. U najvećem broju slučajeva pokaže se da su one pogrešne, ali tek kada proizvod izađe na tržište. Ipak, ta situacija se može izbeći.

Startapi i poslovanje

Emitto obećava 10x veći CTR jer sadržaj plasira tamo gde su korisnici – u njihove direktne poruke

Oglašavanje putem društvenih mreža je sve skuplje, e-mail marketing ne donosi iste rezultate kao pre, pa čitava industrija traži alternativne kanale oglašavanja - među kojima su i direktne poruke. O tome zašto je 'dark social' sve popularniji, razgovaramo sa osnivačem startapa Emitto.