GDPR – Opšta uredba o zaštiti podataka
Novi izazovi u zaštiti podataka ličnosti rezultat su tehnološkog razvoja i globalizacije. Obim podataka o ličnosti koji se prikupljaju i razmenjuju značajno se povećao poslednjih godina. Njihova zloupotreba dovela je do uspostave novog pravnog okriva tzv. Opšte uredbe o zaštiti podataka ličnosti. Rezultat je višedecinijskih napora Evropskog parlamenta i Saveta Evropske unije, a stupila je na snagu 25. maja 2018. godine. Primenjuje se na sve zemlje članice EU i Evropskog ekonomskog prostora (EEA). Međutim, čak i i ako organizacija nije u EU, a obrađuje lične podatke građana ili stanovnika EU, ili nudi robu ili usluge državljanima iz EU, onda se GDPR primenjuje i na takvu organizaciju.
Opšta uredba o zaštiti podataka nameće oštre kazne organizacijama koje krše njene standarde bezbednosti i privatnosti, a mogu se kretati se u milionima evra. Takođe, propisuje kretanje podataka o ličnosti van granica Evropske unije. To je dozvoljeno samo u određenim situacijama odnosno ako zemlje ispunjavaju jedan od posebnih uslova:
Zemlja se nalazi na listi zemalja za koje je Evropska komisija utvrdila da postoji adekvatan sistem zaštite podataka o ličnosti
Postoji konkretno odobrenje nadležne institucije za zaštitu podataka o ličnosti iz EU za izvoz podataka
Postoji konkretna saglasnost lica na koje se podaci odnose
Transfer je neophodan za izvršenje ugovora, zaštitu vitalnih interesa građana, zaštitu javnog interesa
Postoji neki drugi mehanizam koji dokazuje da postoje odgovarajuće zaštitne mere za ovaj transfer kao npr. usvajanje obavezujućih korporativna pravila (Binding Corporate Rules), potpisivanje standardnih klauzula o zaštiti podataka o ličnosti, usvojen kodeks ponašanja, izvršena sertifikacija
Zakon o zaštiti podataka ličnosti RS
Kako bi uskladila svoje zakonodavstvo sa zakonodavstvom EU po ovom pitanju, Republika Srbija je 13.11.2018. godine donela Zakon o zaštiti podataka o ličnosti („Sl.glasnik RS“ br. 87). Detaljnije o zakonu RS možete pronaći na linku: https://www.paragraf.rs/propisi/zakon_o_zastiti_podataka_o_licnosti.html
Ako Vaša organizacija obrađuje podatke, morate to da uradite u skladu sa sedam principa zaštite i odgovornosti navedenih u članu 5 Zakona o zaštiti podataka ličnosti.
Podatke o ličnosti morate obrađivati zakonito, pošteno i transparentno;
Morate da obrađujete podatke u legitimne svrhe koje su eksplicitno navedene subjektu podataka kada ste ih prikupili;
Trebalo bi da prikupljate i obrađujete samo onoliko podataka koliko je apsolutno neophodno za navedene svrhe;
Lične podatke morate održavati tačnim i ažurnim;
Možete da čuvate lične podatke samo onoliko dugo koliko je potrebno za određenu svrhu;
Obrada mora biti obavljena na takav način da se obezbedi odgovarajuća bezbednost, integritet i poverljivost (npr. korišćenjem šifrovanja);
Sličnosti i razlike GDPR-a i ISO 27701 standarda
Opšta uredba koja se tiče zaštite podataka je obavezna za organizacije koje posluju sa pravnim ili fizičkim licima iz EU, dok ISO 27701 podrazumeva dobrovoljna sertifikacija sistema menadžmenta zaštite podataka o ličnosti. Isto tako, uključuje pravo potrošača da se njegovi podaci uklone, kao i pravo da kontroliše kako se podaci dele sa trećim licima. Nasuprot tome, standard za bezbednost informacija ne uključuje direktno takve odredbe.
Prema uredbi, organizacije moraju da obaveste nadzorne organe o povredi ličnih podataka u roku od 72 sata od otkrivanja. Glavna razlika je, međutim, u tome što uredba predviđa da potrošači (ili subjekti podataka) budu obavešteni kada kršenje predstavlja visok rizik od povrede njihovih individualnih prava. Novčane kazne povezane sa kršenjem zahteva za sajber bezbednost i obradu podataka navedenih u opštoj uredbi o zaštiti podataka mogu biti do 4 procenta globalnog prihoda organizacije. Sa tako visokim posledicama, kompanije ne mogu sebi priuštiti da zanemare odgovarajuću pomoć ISO 27701 u vidu procene rizika i zaštite podataka o ličnosti.
Dobijanjem sertifikata, organizacija može istovremeno da obezbedi usklađenost sa General Data Protection Regulation i smanji mogućnost skupih kazni. Sertifikat posmatra lične podatke kao sredstva obezbeđenja informacija. Kao takva, ta sredstva su podložna ograničenjima u vezi sa skladištenjem, dužinom skladištenja, prikupljanjem i pristupom što su istovremeno i zahtevi GDPR-a. Opšta regulativa o zaštiti podataka ličnosti podrazumeva način prikupljaju i obrade ličnih podatka, dok standard pruža smernice o tome kako podaci koji su prikupljeni mogu ostati poverljivi i bezbedni.
Regulacija privatnosti podataka postaje sve složenija, te se svake godine dodaju nove odredbe i zaštite. Gledajući unapred, organizacije koje žele stratešku prednost nad konkurentima moraće da ugrade bezbednosne standarde u sve aspekte svog poslovanja. U nekim slučajevima je organizacija dužna da imenuje Službenika za zaštitu podataka (DPO – Data Protection Officer) o čemu ćemo zasebno pisati u narednim blog postovima.
Ukoliko želite da budete u toku sa našim novim objavama zapratite nas na Linkedin društvenoj mreži.