Šta je to GDPR i zašto se tiče i srpskih kompanija?

Šta je to GDPR i zašto se tiče i srpskih kompanija koje posluju sa ličnim podacima?

Ako vas pitaju da li želite da neko poseduje vaše lične podatke, prodaje ih i skladišti – verovatno je da će odgovor biti ne. S druge strane, naše lične informacije nalaze se širom Interneta, u masovnim bazama podataka telekom operatera, banaka, društvenih mreža i drugih preduzeća kojima je njihovo skladištenje i obrada posao. I tim podacima se vrlo lako može pristupiti. To je bio razlog zbog koga je Evropska unija donela jednu od najkontraverznijih zakonskih regulativa – Opštu uredbu o zaštiti podataka o ličnosti, koja iz korena menja način poslovanja svih subjekata koji se bave prikupljanjem i obradom ličnih informacija.

Stevan Ranđelović, konsultant za pitanja digitalizacije, u razgovoru za Netokraciju bliže je definisao primenu GDPR-a na srpske kompanije.

Od trenutka kada je oblast zaštite ličnih podataka poslednji put regulisana na evropskom nivou 1995. godine, svet se suočio sa ekspanzijom komunikacija i pojavom društvenih mreža. Samo Facebook ima 1,3 milijarde korisnika na dnevnom nivou, a količina informacija koja se tim putem podele ne može se nazvati nikako drugačije do enormnom. Ako u računicu dodamo i druge društvene mreže, informacije telekomunikacionih operatera o komunikaciji svojih korisnika, podatke koje se prikupljaju uz pomoć kolačića, postojanje Big Date i slično, jasno je da se sa našim ličnim podacima postupa kao sa robom. A ko ima našu lične podatke – ima i dominaciju.

Šta je zapravo GDPR?

Opšta uredba o zaštiti podataka o ličnosti (General Data Protection Regulation – GDPR) doneta je još 2016. godine, ali usled neophodnog adaptacionog perioda ona počinje da važi u maju 2018. godine. Međutim, period prilagođavanja je došao i polako prolazi, a na osnovu istraživanja koje je početkom godine sprovela kompanija Veritas – svega 2% ispitanika je zaista prilagodilo svoj način poslovanja GDPR-u, uprkos tome što se 31% izjasnilo da je u potpunosti primenilo regulativu.

A šta u stvari GDPR zahteva od svih individua, institucija i organizacija koje na bilo koji način tretiraju lične podatke?

Popis, kategorizaciju i kodiranje svih informacija o korisnicima koje se definišu kao njihovi lični podaci – bilo koja kombinacija ličnih činjenica koja skupa posmatrano tačno određuje jednog pojedinca. To su, između ostalog, ime i prezime, podaci o lokaciji, fizički, fiziološki, genetski, mentalni, ekonomski, socijalni, kulturni i drugi faktori.

Nezaštićenost podataka zaposlenih i bivših zaposlenih je još jedan od problema sa kojima se kompanije suočavaju.

Pored toga, pojedincima od kojih se informacije prikupljaju daje se pravo da uvek i u svakom trenutku znaju ko i u kakve svrhe sakuplja njihove lične podatke, kao i da zahtevaju da se ti podaci izbrišu iz baze podataka u kojoj se nalaze.

Dodatno osnaživanje prava vlasnika informacija obezbeđeno je i procenom uticaja koju prikupljanje i obrađivanje podataka ima na prava i slobode pojedinca, kao i obaveštavanje nadležnih vlasti i vlasnika informacije ukoliko dođe do bilo kakve ugroženosti ili neadekvatne upotrebe podataka (u roku od 72 časa).

Kako bi se osigurali da će sve navedene stavke biti ispoštovane, zakonodavci su odredili i postojanje nezavisnog državnog organa u svakoj zemlji članici  koji će voditi računa o prijavama iz ove oblasti, a čiji će rad koordinisati evropski organ – Article 29 Working Party (WP29).

Novi standard poslovanja, a ne ‘još jedna obaveza’

Pa ipak, kontrola procesa tretiranja podataka nije ostala samo na nivou države ili nadnacionalne zajednice. Uredba je propisala da će, pored javnih vlasti, određene organizacije/kompanije morati da imaju Data Protection Officer-a (DPA), tačnije zaposlenog eksperta ili spoljašnjeg saradnika koji će kontrolisati tretiranje podataka.

Njegovo postojanje nije povezano sa brojem zaposlenih u firmi, već sa količinom podataka koji se obrađuju, te će stoga sve kompanije koje redovno i sistematski prate podatke u velikoj razmeri, kao i one koje to čine sa podacima osetljivih kategorija (zdravstvene, religiozne, rasne i sl.) morati da prime još jednog zaposlenog.

Nejasno definisanje ovog i drugih odrednica Uredbe svakako izaziva brojne nedoumice, međutim, dominantno pitanje za poslovni sektor jeste koliko bi implementacija mogla da košta i da li će dovesti do bankrota malih i srednjih preduzeća. Stevan Ranđelović, konsultant za pitanja digitalizacije i član Evropskog udruženja agencija, pak, smatra da bez obzira na cenu primene, GDPR-a postaje nova životna činjenica, te će ugrađivanje zaštite podataka u samo srce proizvoda donekle sačuvati kasnijih troškova. Ranđelović kaže:

Čak i ako imate startap koji se oslanja na obradu podataka i ta obrada podataka je rizična, moraćete da uložite vreme i novac kako biste se povinovali Uredbi. Po tome se ne razlikuju mala preduzeća i velike kompanije. Procena troškova će, naravno, zavisiti od slučaja do slučaja i od toga da li kompanija obrađuje dosta podataka ili ne, i kakve rizike takva obrada nosi, ali je usklađivanje svakako neminovno.

Novom Uredbom korisnici će dobiti daleko veću kontrolu nad svojim podacima koji se uglavnom koriste za svrhe reklamiranja.

Još jedan od kontraverznih delova Uredbe jeste i onaj koji kaže da se ona neće primenjivati samo na firme/kompanije koje deluju na teritoriji EU, već i na sve one koje, bez obzira na sedište, tretiraju podatke građana koji borave na teritoriji Unije.

Iako su potencijalne sankcije i način kažnjavanja tih subjekata i dalje nejasni, Ranđelović smatra da će se veće kompanije koje nemaju sedište u EU gotovo sigurno povinovati Uredbi, jer ne žele reputacijske probleme. Najverovatniji scenario je da će one manje „morati da lociraju svog EU predstavnika, te će verovatno na lokalnoj instituciji za zaštitu podataka biti da nađe način kako da sankcioniše firme koje krše Uredbu“.

Kakva je situacija sa Srbijom?

Srbiju, bez obzira na privredna društva koja već zahvata ovaj ekstrateritorijlni princip primene, kao kandidata za članstvo u EU očekuje usvajanje Uredbe. Međutim, ova međunarodna obaveza koja je definisana još Sporazumom o pridruživanju 2008. godine mora se prilično hitno primeniti. U izveštaju o napretku RS iz 2016. godine koji je pisala Evropska komisija navedeno je da je pod hitno potrebno donošenje novog Zakona o zaštiti podataka koji će biti usklađen sa Uredbom.

Stoga je Rodoljub Šabić, Poverenik za informacije od javnog značaja i zaštitu podataka o ličnosti, iako ne spada u krug ovlašćenih predlagača zakona (ali deluje u oblasti ličnih podataka), načinio novi predlog Zakona o zaštiti podataka o ličnosti. Iz kabineta Poverenika poručuju u razgovoru sa Netokracijom:

Model novog zakona je u najvećoj mogućoj meri usaglašen sa aktuelnim standardima relevantnih evropskih dokumenata, s tim da se prilikom izrade Modela imala u vidu činjenica da Srbija nije članica EU, da se Opšta Uredba ne može direktno primenjivati, niti je, imajući u vidu naš pravni sistem, Ustav i dostignuti nivo svesti o zaštiti podataka o ličnosti, moguće nekritički preuzeti sva rešenja sadržana u njoj.

Nakon javne rasprave očekuje se konačna verzija Nacrta zakona o zaštiti podataka o ličnosti.

Stoga je sledeći korak na Ministarstvu pravde, odnosno Vladi Republike Srbije, kao ovlašćenom predlagaču, da novi Predlog zakona o zaštiti podataka o ličnosti dodatno poboljša i otvori javnu raspravu o tom aktu. Nakon toga bi trebalo da bude načinjena konačna verzija, koja se prosleđuje Narodnoj skupštini na usvajanje. Na pitanja Netokracije, iz Ministarstva pravde kažu sledeće:

Rad na izradi Nacrta novog zakona je u završnoj fazi, a planirano je da radna grupa u septembru, nakon konsultacija sa ekspertima EU, izađe sa konačnim tekstom.

Blagoslov ili prokletstvo?

Iako je primena Uredbe sa tehničke strane manje-više jasna, ostaju brojna pitanja velikog broja subjekata iz poslovnog sektora koji su njome obuhvaćeni. Mogućnost da se informacije o ličnost prikupljaju čak i kad za to nema zakonskog razloga, da se njima trguje i slično – ovime se stavljaju van snage. Stoga je na ovim kompanijama da same sebi odgovore na sledeće pitanje: koje korake moramo preduzeti ne bi li korisnici sa nama podelili svoje lične podatke i dopustili nam da ih koristimo za svrhe oglašavanja?

Stručnjaci iz oblasti obrade podataka savetuju da se na ovaj zahtev ne gleda kao na obavezu, već kao priliku da se dodatno unapredi korisničko iskustvo koje će dovesti do većeg poverenja u institucije koje prikupljaju informacije o njima. Stoga se oni koji lične podatke koriste u poslovne svrhe moraju koncentrisati da od svojih korisnika jasno i nedvosmisleno dobiju pristanak za korišćenje njihovih informacija i da im objasne u koje svrhe.

Nakon toga, moraju im obezbediti da tim podacima, ukoliko žele, mogu lako da pristupe i da im udovolje na zahtev za brisanjem, ukoliko zatraže. Takođe, moraju voditi računa da ne prikupljaju bilo kakve dodatne informacije i da postojeću bazu održavaju u skladu sa propisima.

Evropska komisija i Evropski parlament nadaju se da će ovom odlukom stati na kraj potencijalnim cyber ratovima i time zaštiti svoje građane. Naravno, astronomske novčane kazne za prekršioce koje idu i do 4% godišnjeg prometa tj. 20 miliona evra, svakako neće biti stvar preko koje će se tako lako preći. Zaštita građana ili još jedna prilika da se velike tehnološke kompanije novčano pritisnu – videćemo u najskorijoj budućnosti.

Ostavi komentar

  1. Dragan

    Dragan

    13. 11. 2018. u 12:59 Odgovori

    Gdpr je dobra osnova zamisao,ali kako mi na likalnom nivou da je implementiramo.Kako da se ponasamo ,da li treba da usvajamo nove zakonske akte na lokalnom niovou ,da ulazemo u novu IT opremu ili da se bavimo obukom samih zaposlenih koji su u svakodnevnom dodiru sa poverljivim podacima. Zamoli bih ako mozete to da objasnite i prosledite materijal kako primeniti samu GDPR uredbu.

Odgovori

Tvoja e-mail adresa neće biti objavljena.

Popularno

Startapi i poslovanje

Vlada najavila kraj angažovanju paušalaca na puno radno vreme – kompanijama koje ih zaposle slede olakšice od 70%

Angažovanje preduzetnika za poslove koji bi suštinski trebalo da spadaju u domen klasičnog radnog odnosa predmet je upravo predstavljenih izmena Zakona o porezu na dohodak građana i Zakona o doprinosima za obavezno socijalno osiguranje. Izmene stupaju na snagu 1. januara 2020. godine.

Karijere

Pripadnici Generacije Z u Srbiji otkrivaju šta je za njih posao iz snova i koliko rizikuju da dođu do njega

Šta je za mlade karijera? Da li maštaju o poslu u korporaciji i velikoj plati ili pre biraju projekte na kojima mogu da uče i da budu nezavisni? Koliko su zaista spremni da izađu iz zone komfora kada je posao u pitanju i šta je to što poslodavci moraju da znaju o Generaciji Z?

Internet marketing

Za srpske agencije jedan SoMo Borac – McCann osvojio nagradu u kategoriji Digitalni Mix

Dobitnici nagrade SoMo Borac za najbolje marketinške kampanje proglašeni su tokom drugog dana Weekend Media Festivala. Predstavnici iz Srbije pobedili su samo u kategoriji Digital Mix, gde su pobedu odneli Drive i McCann Beograd, dok su finalisti u drugim kategorijama bili i Communis i Fullhouse Ogilvy.

Propustili ste

Gaming

Kako je tim beogradskog Ubisofta razvijao ‘Ghost Recon Breakpoint’ – za milione ljudi širom sveta

'Ghost Recon Breakpoint' je nova igra kompanije Ubisoft koja je u globalnoj 'gaming' zajednici već prikupila veliki broj pozitivnih reakcija igrača širom planete. U razgovoru sa jednim od članova tima koji je radio na razvoju ove igre otkrivamo kako je proces tekao 'iza kulisa'.

Startapi i poslovanje

Osnovano udruženje ‘Novi Taksi’ čiju će aplikaciju napraviti kompanija CarGo – nazire li se rešenje spora?

Kompanija CarGo Technologies i predsednik novoformiranog udruženja 'Novi taksi' potpisali su danas memorandum kojim se ova tehnološka kompanija obavezala da će napraviti aplikaciju za novu taksi firmu u Srbiji.

Tehnologija

Kosta Andrić: Vreme novih poslovnih modela za domaće kompanije nije nešto što se čeka – već je tu

Koji su to alternativni biznis modeli koji će kompanije koje posluju na domaćem tržištu učiniti relevantnim u budućnosti? Da li su one uopšte spremne na taj korak? Odgovore nam daje Kosta Andrić, Managing Partner organizacije ICT Hub, koja i ove godine 22. oktobra organizuje Corporate Innovation Conference.

E-commerce

Aplikacija 60seconds omogućava vam da kupujete u omiljenim prodavnicama – po cenama koje sami odredite

Ako bismo vam rekli da određeni proizvod možete kupiti 'online' po ceni koju sami dogovorite sa brendom mislili biste da vas lažemo, zar ne? Ipak, aplikacija 60seconds nudi upravo tu mogućnost, a o čemu se zapravo radi i kako ona funkcioniše, razgovarali smo sa suosnivačem ovog servisa.

Kolumna

Digitalna transformacija banaka nije samo kreiranje aplikacije – to je promena načina razmišljanja

Kada se u jednoj rečenici nađu reči digitalizacija i banka, prva asocijacija je, naravno, Internet bankarstvo. I Internet zaista jeste možda i najznačajniji deo infrastrukture digitalizacije. Da li u tim uslovima tradicionalno bankarstvo uopšte može da opstane?

Netokracija

OMGcommerce ponovo u Beogradu: 20. novembra odgovaramo na pitanja koja najviše muče domaće e-trgovce

Treću godinu zaredom Netokracija Srbija organizuje OMGcommerce Beograd. Ove godine bavimo se novom regulativom koja bi trebalo da unapredi poslovanje web trgovaca u Srbiji, ali i novim digitalnim proizvodima koji aktivno oblikuju našu digitalnu ekonomiju.