Na današnji dan počinje primena evropske Opšte uredbe o zaštiti podataka o ličnosti (General Data Protection Regulation) - GDPR, i sve kompanije koje posluju sa fizičkim ili pravnim licima iz EU u obavezi su da je primenuju, a zaprećene kazne su milionske.

Šta su obaveze naših firmi, kako se prilagoditi novoj regulativi i na koga se odnose moguće kazne, kao i na sve ostale nedoumice, za Blic su odgovorili Milica Andrić i Nikola Kasagić, advokati u "Pricewaterhouse Coopers" (PwC), koja je i članica Inicijative Digitalna Srbija.

Šta je GDPR?

- Opšta uredba o zaštiti podataka o ličnosti (General Data Protection Regulation – GDPR) je uredba usvojena na nivou Evropske unije 2016. godine, a cilj njenog donošenja je unificirana zaštita podataka o ličnosti na tlu EU, kao i u zemljama koje obrađuju podatke o ličnosti državljana EU. Imajući u vidu obim promena koje uredba donosi, ostavljen je period prilagođavanja u kome su, pre svega privredna društva koja su osnovana i/ili posluju u zemljama članicama EU, kao i ona koja nisu, ali obrađuju podatke o ličnosti na koje se može primeniti GDPR, dužna da usklade svoje poslovanje sa njegovim odredbama. Navedeni period prilagođavanja se završava danas, 25. maja 2018. godine.

- Odnosi se na sve osobe koje na bilo koji način obrađuju lične podatke građana EU ili targetiraju građane EU bez obzira imaju li ili nemaju poslovnu jedinicu na teritoriji EU. Svi poslovni subjekti su dužni da se usklade se s GDPR-om. Najviše su ipak u fokusu one delatnosti čije procesi uključuju obradu ličnih podataka u svakodnevnom poslovanju, odnosno čija osnovna delatnosti uključuje intenzivnu obradu ličnih podataka, odnosno koja uključuje redovno praćenje fizičkih lica. Industrije koje su najviše pogođene ovim promenama su primarno telekomunikaciona industrija i finansijski sektor - banke i osiguranja, turističke delatnosti, zdravstvo, industrija igara na sreću, marketinške organizacije i sl.

Kako da kompanije budu sigurne da imaju obavezu, odnosno da je nemaju?

- Primenom testa: Obrađujete li podatke ili targetirate EU građane, bez obzira što vam je sedište u Srbiji, obavezni ste uskladiti se s GDPR-om.

- Pre svega potrebno je utvrditi trenutno stanje obrade podataka putem analize poslovnih procesa, a koja rezultira uvidom u ukupnu obradu ličnih podataka i mapiranjem procesa obrade i vrste podataka koje se obrađuju. Na osnovu takve analize i ocene stepena i vrste rizika, izrađuje se akcioni plan za usklađivanje, kao i implementacijske mere koje je neophodno preduzeti. Kompanije pre svega moraju prilagoditi poslovanje principima GDPR u pogledu transparentnosti prilikom obrade i informisanju o obradi fizičkih lica čiji se lični podaci obrađuju, kao i njihovim pravima iz GDPR-a.

Koji su to lični podaci odnosno informacije koje se mogu koristiti?

- GDPR predviđa da je lični podatak svaka informacija koja se odnosi na identifikovano fizičko lice ili fizičko lice koje se može identifikovati, odnosno identifikovano lice je ono koje se može identifikovati, direktno ili indirektno, naročito putem matičnog broja ili jednog ili više faktora specifičnih za njegov fizički, fiziološki, mentalni, ekonomski, kulturni ili društveni identitet. Smeju se koristiti svi podaci ali pod uslovom da se osigura standard obrade, uključujući i korišćenje, u skladu s GDPR-om. Princip je smanjivanje količine i vrste ličnih podataka koje se obrađuju, a da se pri tome može postići ista svrha zbog koje se podaci obrađuju (princip minimizacije obrade podataka, odnosno srazmernosti obrade).

- Fizička lica moraju biti informisana unapred o tome koje podatke o njima obrađuje kompanija – rukovalac. Takođe, fizička lica čiji se podaci o ličnosti obrađuju u svako doba od rukovaoca mogu tražiti informaciju koji njihovi lični podaci se obrađuju i u koje svrhe (pravo uvida). Najzad, fizičko lice čiji podaci o ličnosti se obrađuju se može pozvati na "pravo na zaborav" koje predviđa GDPR, odnosno tražiti da se njegovi podaci o ličnosti pod određenim uslovima izbrišu. Ukoliko su uslovi ispunjeni podaci mogu biti obrisani u potpunosti uključujući i brisanje iz back-upova.

Na koji način će se podaci čuvati odnosno apdejtovati?

- Rokovi čuvanja trebalo bi da budu jasno definisani posebnim propisima ili određeni interno ukoliko imperativnim propisima pitanje rokova nije uređeno, a tehnološki na način koji pruža najveću moguću zaštitu i prevenciju od tzv. povrede podataka. Uz to načini čuvanja i ažuriranja podataka moraju biti i dodatno interno regulisani politikama i procedurama.

U EU, primenu kontroliše nadzorno telo za zaštitu podataka iz bilo koje EU zemlje, a čiji je državljanjin osoba čiji se podaci obrađuju. Maksimalna kazna iznosi četri odsto svetskog godišnjeg prihoda ili 20 miliona evra, šta god od toga je veće. Kazne se primenjuju u skladu sa smernicama EU o određivanju kazni za povrede odredbi GDPR-a. Treba imati u vidu da je u Srbiji u pripremi novi Zakon o zaštiti podataka o ličnosti koji će u najvećoj mogućoj meri biti usklađen sa odredbama GDPR-a i, pored ostalog, trebalo bi da reguliše nadzorna tela, kao i kazne koje se mogu izreći u slučaju kršenja njegovih odredbi.