Članci

Nakon 25. maja sve će biti drugačije. Jeste li već spremni?

14 feb 2018

Predstojeća opšta uredba o zaštiti ličnih podataka (GDPR) predstavlja prekretnicu na području zaštite ličnih podataka, iako u širem kontekstu ne možemo govoriti o revoluciji, već samo o evoluciji na području zaštite ličnih podataka. Uredba je očekivan korak, imajući u vidu razvoj informaciono‑komunikacione tehnologije, zbog koje posljednjih godina svjedočimo značajnim promjenama u intenzitetu i načinu upotrebe ličnih podataka. Uredba tako proširuje pojam lični podaci i prilagođava ga savremenim tehnologijama. Po novoj definiciji, lični podatak je bilo koja informacija koja određuje fizičko lice, odnosno na osnovu koje se fizičko lice može odrediti. To su, između ostalog, ime i prezime, adresa, lokacija, mrežni identifikator (IP, kolačići), podaci o zdravstvenom stanju itd.

Cilj uredbe je, prije svega, da zaštiti pojedinca i vrati mu nadzor nad sopstvenim ličnim podacima. Posebnost je u tome što nastoji da ujednači pravila o prikupljanju, čuvanju i upotrebi ličnih podataka u svim članicama EU.

 

Na koga se uredba odnosi?

Uredba se jednako primjenjuje na sva društva sa sjedištem u državama članicama EU koja na bilo koji način prikupljaju, čuvaju ili koriste lične podatke. Ali skrećemo pažnju – uredbu su dužna da poštuju i preduzeća izvan EU koja robu i usluge nude pojedincima u EU i u tu svrhu prikupljaju i čuvaju njihove lične podatke.

Pravila koja donosi uredba su kompleksna, pa je zato važno da preduzeća koja žele da sačuvaju povjerenje, ugled, te da posluju transparentno, što prije pristupe izradi plana za obezbjeđivanje usklađenosti poslovanja sa odredbama uredbe.

5 ključnih novina GDPR

  1. Strožiji  zahtjevi za dobijanje saglasnosti

Saglasnost je samo jedan od načina na osnovu kog je moguće zakonito obrađivati lične podatke. Mora biti izjavljena jasno, razumljivo, nedvosmislenom potvrdnom akcijom (opt‑in) i dokazivo. To znači da pristanak pružen u opštim uslovima ili preko prethodno prihvaćenih obrazaca neće biti važeći. Neće biti dovoljan ni „pretpostavljeni pristanak”, koji bi se mogao zaključiti iz šutnje ili neodazivanja pojedinca. Pored toga, bit će  neophodno provjeriti jesu li prethodno dobijeni pristanci usklađeni sa uredbom, i ukoliko nisu, dobiti ih ponovo.

2.     Ovlašteno lice za zaštitu podataka o ličnosti (DPO)

Preduzeća koja redovno i sistematski obrađuju podatke o ličnosti u velikom obimu (banke, osiguravajuće kuće, klubovi potrošača, kadrovske agencije i slično), odnosno preduzeća koja obrađuju posebne vrste podataka o ličnosti (osjetljivi lični podaci i lični podaci u vezi sa krivičnim djelima i prekršajima) morat će da imenuju ovlašteno lice za zaštitu podataka o ličnosti. Na mjesto ovlaštenog lica može biti imenovana osoba koja ima odgovarajuće stručno znanje na području zaštite podataka o ličnosti i koja je nezavisna od rukovodstva organizacije. Glavni zadaci ovlaštenog lica, prije svega, bit će obrazovanje zaposlenih u preduzeću, savjetovanje rukovodstva, kao i saradnja sa nadzornim organom. Preduzeća će morati da objave kontaktne podatke ovlaštenog lica na internet stranicama, kao i da ih proslijede nadzornom organu.

3.     Nova prava pojedinaca

Težnja uredbe da se nadzor nad obradom ličnih podataka ponovo prenese na pojedince, ostvaruje se i preko dvaju novih prava. Prvo je pravo na zaborav, koje pojedincu omogućava da od preduzeća zahtijeva brisanje svojih ličnih podataka. Preduzeće će, u slučaju da ne postoje zakonski razlozi za njihovo dalje čuvanje, morati da izbriše podatke o ličnosti. Drugo je pravo na prenosivost, koje pojedincu omogućava da svoje lične podatke dobije u struktuiranom, uobičajeno korištenom i elektronski čitljivom formatu, te da ih prenese drugom preduzeću, uključujući i konkurentna preduzeća.

4.     Obavještavanje o kršenjima

Važna novina za preduzeća, koja je dosad bila samo nepisano pravilo, jeste obaveza obavještavanja o kršenjima zaštite podataka o ličnosti. Preduzeća će bez nepotrebnog odlaganja morati da prijave svako kršenje nadzornom organu, a najkasnije u roku od 72 sata. U slučaju ozbiljnijih kršenja, koja bi mogla da ugroze prava i slobode pojedinca, bit će neophodno obavijestiti i samog pojedinca. Preduzeća moraju što prije uvesti učinkovit mehanizam otkrivanja kršenja i dogovoriti se o načinu izvještavanja o kršenjima.

5. Obavezna ocjena uticaja na privatnost

Riječ je o proaktivnom djelovanju kojim preduzeća mogu spriječiti kršenja zaštite podataka o ličnosti. Ocjena uticaja na privatnost namijenjena je otkrivanju vjerovatnoće kada bi određena vrsta obrade podataka o ličnosti mogla da izazove veliki rizik po prava i slobode pojedinaca, a preduzeća će morati da je pripremaju unaprijed.

Dodatna „motivacija”: visoke kazne

Visina kazne, u zavisnosti od prirode kršenja, može dostići do 20 miliona eura ili do 4% ukupnog godišnjeg prometa kršioca. Međutim, novčana kazna nije jedino što može zadesiti preduzeće u slučaju kršenja zaštite podataka o ličnosti. Svojom neusklađenošću sa uredbom, preduzeća na kocku stavljaju svoj ugled, čiji gubitak može ostaviti mnogo dugoročnije posljedice po preduzeće nego sama novčana kazna. Dakle, ne zatvarajte oči, već se pripremite na GDPR već danas.

 

Autor: Sandra Pjanić

General Affairs Specialis