Privatnost po dizajnu i privatnost po 'defaultu'

Privatnost po dizajnu i privatnost po ‘defaultu’

Jedna od promena koje je neophodno sprovesti u skladu sa GDPR-om je i primena pojmova 'privatnost po dizajnu' i 'privatnost po defaultu'. Kompanije će se suočiti s posebnom obvezom da razmotre privatnost podataka u početnim fazama projekata, kao i tokom celog procesa obrade podataka.

Šta zakon predviđa?

Postojeća Direktiva EU o zaštiti podataka ne poznaje pojmove „privatnost po dizajnu“ ili „privatnost po defaultu„, niti postoji izričita obaveza koja definiše da bi privatnost trebalo da bude od najveće važnosti u fazi planiranja bilo kog projekta. Međutim, GDPR nameće obavezu da obrađivač podataka sprovede odgovarajuće tehničke i organizacione mere za zaštitu ličnih podataka od nezakonite obrade. Uvođenjem specifičnog zahteva da mora da postoji „privatnosti po dizajnu“, GDPR definiše postojanje obaveze da se sprovedu odgovarajuće mere, kako bi se osiguralo da privatnost i zaštita podataka više nisu stvar o kojoj se misli naknadno, nakon završetka projekta, već u fazi projektovanja.

Od trenutka prvog predstavljanja GDPR-a 2012, „privatnost po dizajnu“ bila je predmet mnogih rasprava. Njihov osnovni cilj je bio da se obezbedi da koncept ostvari željenu efikasnost. Na primer, ICO je u UK već objavio preporuke o „privatnosti prema dizajnu“ i podstiče kompanije da zaštitu privatnosti podataka uključe u planiranje u ranim fazama bilo kojeg projekta, a potom i u ceo životni ciklus projekta.

Šta zakon zahteva?

Iako pojam „privatnost po dizajnu“ već postoji, sada mu je posvećena posebna pažnja i direktno je povezan sa GDPR-om. Prema predloženim zahtevima „privatnosti prema dizajnu“, kompanije će morati da kreiraju usklađene politike, procedure i sisteme na početku razvoja bilo kog proizvoda ili procesa.

Pri implementaciji odgovarajućih mera, treba uzeti u obzir potrebne resurse u smislu tehnike i troškova implementacije. U GDPR-u je primenjen pristup utemeljen na riziku. Pri odlučivanju o tome koje su mere odgovarajuće, kompanije mogu uzeti u obzir prirodu, obim, kontekst i svrhu obrade podataka, kao i ozbiljnost rizika po prava i slobode pojedinca. Ovaj pristup znači da će kompanije imati veću fleksibilnost kako će primeniti usklađenost po ovom pitanju u praksi.

Pri donošenju ovakve odluke, kompanije bi morale da razmotre određene stavke, kada je u pitanju CRM ili baza podataka o zaposlenima koju vodi HR sektor, na primer:

  • Da omogući takvo skladištenje ličnih podataka koje bi udovoljilo zahtevima za pristup;
  • Da dozvoli uklanjanje podataka kupaca koji su uložili prigovor na prijem direktnog marketinga; ili
  • Da omogući obrađivaču podataka da zadovolji zahteve za prenosivošću podataka koje predviđa GDPR.

Obrađivači takođe moraju da razmotre mogućnost pseudonimizacije ličnih podataka.

GDPR takođe uvodi specifičnu obavezu „privatnost po defaultu„. Ona zahteva da obrađivači sprovode odgovarajuće mere kako bi osigurali da se obrađuju samo lični podaci koji su potrebni za svaku pojedinačnu specifičnu svrhu obrade. Prema GDPR-u, obrađivači podataka moraju minimizovati količinu prikupljenih podataka, obim njihove obrade, period njihovog skladištenja i njihovu dostupnost. Ukratko,  kompanije treba da obrađuju lične podatke samo u onoj meri i u onom obimu koja je neophodna za ispunjenje svrhe obrade i ne bi trebalo da ih čuvaju duže nego što je neophodno u ove svrhe. Konkretno, obrađivač podataka mora da osigura da, po defaultu,  lični podaci nisu nikome dostupni, osim u slučaju zahteva nosioca podataka.

Mada postojeća direktiva sadrži zahteve u vezi sa osiguranjem da se prekomerni lični podaci ne obrađuju, odnosno da se zadržavaju samo dok je to neophodno, GDPR sadrži izričitu obavezu sprovođenja odgovarajućih tehničkih i organizacionih mera za ispunjavanje pomenutih zahteva.

Koje su posledice u praksi?

Pojmovi „privatnosti po dizajnu“ i „privatnost po defaultu“ se eksplicitno spominju u GDPR-u, što znači da kompanije imaju obavezu da sprovode interne procedure i postupke kako bi osigurale primenjivanje ovih zahteva. Neki od koraka u ovom smeru mogu biti:

  • Kreiranje studije uticaja na privatnost koju kompanija može popuniti svaki put kad projektuje, nabavlja ili implementira novi sistem;
  • Revidiranje standardnih ugovora s obrađivačima podataka kako bi se utvrdilo kako će se rizik, odnosno obveza ispunjavanja navedenih zahteva podeliti između partnera;
  • Usklađivanje formi za prikupljanje podataka na web stranicama kako bi se osiguralo da se ne prikupljaju prekomerni podaci;
  • Implementacija automatizovanih postupaka brisanja za određene lične podatke, implementacija tehničkih mera kako bi se osiguralo da su lični podaci označeni za brisanje nakon određenog perioda itd.

IAB Srbija nastavlja sa nizom aktivnosti, koje imaju za cilj podizanje svesti u domaćim kompanijama o potrebi implementacije GDPR propisa i edukaciji stručne javnosti. U narednom periodu možete očekivati nastavak serijala GDPR tekstova koje će IAB Srbija objavljivati u saradnji sa Netokracijom.

Autor teksta:
Igor Černiševski
Član Legal & Policy Komiteta IAB Serbia
Direct Media, Digital Group Account Manager

Odgovori

Tvoja e-mail adresa neće biti objavljena.

Popularno

Tehnologija

Kako paušalci mogu pristupiti svom eSandučetu i poreskom rešenju za 2020. godinu?

Januar 2020. za preduzetnike paušalce doneo je još jednu novost – rešenje o porezu direktno u njihovo eSanduče. Međutim, sudeći po reakcijama preduzetnika, taj proces nije jednostavan kao što izgleda. O tome šta vam je sve potrebno kako biste pristupili rešenju o prispelim obavezama analiziramo u nastavku teksta.

Kultura 2.0

Predstavljamo rezultate istraživanja: Koliko srpske IT-jevce košta sedenje za računarom?

Rezultati naše online ankete u kojoj je učestvovalo ravno 700 profesionalaca koji rade u srpskom IT sektoru potvrđuju da dugo sedenje za računarom i savremen stil života ostavljaju posledice po zdravlje. Fokus ankete bio je na ispitivanju uticaja na koštano-mišićni sistem i prikupljanju informacija o najzastupljenijim načinima lečenja, prosečnim troškovima koje lečenje iziskuje, kao i o prevenciji u vidu fizičke aktivnosti.

Kultura 2.0

Da li je vaša AliExpress porudžbina bezbedna od korona virusa?

Sve oči svetske javnosti okrenute su ka Kini koja se, u ovom trenutku, bori sa širenjem smrtonosnog korona virusa. I dok čekamo da saznamo da li postoji rešenje za ovaj ozbiljan globalni zdravstveni problem, zapitali smo se - da li virus koji je par hiljada kilometara daleko može da se prenese i robom sa AliExpress-a?

Propustili ste

Kultura 2.0

Uputstvo za primenu Testa samostalnosti konačno je objavljeno

Uputstvo za tumačenje kriterijuma Testa samostalnosti pomoći će paušalnim preduzetnicima i poreskim inspektorima da pravilno protumače devet kriterijuma koji određuju da li su ovi preduzetnici u svom poslovanju nezavisni u odnosu na svog nalogodavca ili ne.

Tehnologija

Plaćanje QR kodovima uveliko dolazi u Srbiju – koje prednosti donosi i šta treba da znamo o tome?

Uskoro bi u prodavnicama širom zemlje trebao da bude integrisan sistem instant plaćanja, odnosno instrukcija - NBS IPS QR kod. Mi smo analizirali šta to znači za korisnike i trgovce i koje benefite donosi.

Kultura 2.0

Lako je isključiti Slack i mail, ali kako se gase misli o poslu?

Ako ovaj tekst čitate posle radnog vremena, koliko puta ste pogledali na mail, pomislili na svoj posao ili zadatak koji morate da završite sutra? Ni statistika, a bogami ni praksa vam ne idu u prilog, pa ste verovatno to učinili barem jednom, a u nastavku ćete otkrićete kako (i zašto) bi to trebalo smanjiti na minimum.

Mobilno

Da li ste i dalje spremni da za telefon platite 1.000 evra – kada sličan možete naći za duplo manje novca?

Pre nekoliko meseci, svoj telefon star pet godina, zamenio sam novim, prošlogodišnjim modelom. I dok sam tražio adekvatnu zamenu, prvi put sam se zapitao ima li uopšte razlike između današnjih 'flagship' uređaja i da li nas velike kompanije danas više privlače primamljivim reklamama nego inovacijama koje su nam zaista potrebne.

Kultura 2.0

4 poslovne lekcije koje sam naučio iz druge sezone Narcos Mexico

Oni su trgovci narkoticima, nemaju visoko obrazovanje i fensi MBA programe u svojim CV-jevima. Prodaju 'bijelo' za život, odrasli su na ulicama, nemaju stvarni dodir sa poslovnim svijetom i njegovim trendovim. Ili to samo tako izgleda?

Startapi i poslovanje

Nakon 10 godina u advertajzingu odlučili su da pokrenu restoran u Beogradu – zašto?

Tehnologija i hrana danas su nerazdvojni - kao meso i kiseli kupus. U priči koja sledi, otkrivamo kako je jedna beogradska agencija završila u food-tech vodama i upoznajemo vas sa novim konceptom restorana koji preti da u potpunosti promeni ovu industriju.