Дана 25.5.2018. године почела је примена европске Опште уредбе о заштити података о личности (Генерал Дата Протецтион Регулатион) – ГДПР, и све компаније које послују са физичким или правним лицима из ЕУ у обавези су да је применују, а запрећене казне су милионске.
Шта су обавезе наших фирми, како се прилагодити новој регулативи и на кога се односе могуће казне, као и на све остале недоумице, за Блиц су одговорили Милица Андрић и Никола Касагић, адвокати у „Прицеwатерхоусе Цооперс“ (ПwЦ), која је и чланица Иницијативе Дигитална Србија.
Шта је ГДПР?
– Општа уредба о заштити података о личности (Генерал Дата Протецтион Регулатион – ГДПР) је уредба усвојена на нивоу Европске уније 2016. године, а циљ њеног доношења је унифицирана заштита података о личности на тлу ЕУ, као и у земљама које обрађују податке о личности држављана ЕУ. Имајући у виду обим промена које уредба доноси, остављен је период прилагођавања у коме су, пре свега привредна друштва која су основана и/или послују у земљама чланицама ЕУ, као и она која нису, али обрађују податке о личности на које се може применити ГДПР, дужна да ускладе своје пословање са његовим одредбама. Наведени период прилагођавања се завршава данас, 25. маја 2018. године.
Шта за предузетнике, мала и средња предузећа и компаније у Србији значи 25. мај и примена ГДПР? Шта се од тог дана мења у њиховом пословању?
– Од 25. маја предузетници који обрађују податке грађана ЕУ или таргетирају грађане ЕУ како би им понудили односно продали своје производе или услуге су у ризику од казни које прописује ГДПР. Такође, ови ентитети су и у ризику да физичка лица, чији се подаци о личности обрађују, траже остваривање својих права по ГДПР-у. Сви који у свом пословању обрађују личне податке грађана ЕУ из било које земље, морају прилагодити своје пословање и ускладити га с ГДПР-ом како би смањили ризик и наставили пословати на тржишту ЕУ.
На кога се ГДПР односи конкретно, које врсте делатности ће се највише тицати?
– Односи се на све особе које на било који начин обрађују личне податке грађана ЕУ или таргетирају грађане ЕУ без обзира имају ли или немају пословну јединицу на територији ЕУ. Сви пословни субјекти су дужни да се ускладе се с ГДПР-ом. Највише су ипак у фокусу оне делатности чије процеси укључују обраду личних података у свакодневном пословању, односно чија основна делатности укључује интензивну обраду личних података, односно која укључује редовно праћење физичких лица. Индустрије које су највише погођене овим променама су примарно телекомуникациона индустрија и финансијски сектор – банке и осигурања, туристичке делатности, здравство, индустрија игара на срећу, маркетиншке организације и сл.
Како да компаније буду сигурне да имају обавезу, односно да је немају?
– Применом теста: Обрађујете ли податке или таргетирате ЕУ грађане, без обзира што вам је седиште у Србији, обавезни сте ускладити се с ГДПР-ом.
Шта је прво што би фирме требало да учине а да би биле спремне за ГДПР?
– Пре свега потребно је утврдити тренутно стање обраде података путем анализе пословних процеса, а која резултира увидом у укупну обраду личних података и мапирањем процеса обраде и врсте података које се обрађују. На основу такве анализе и оцене степена и врсте ризика, израђује се акциони план за усклађивање, као и имплементацијске мере које је неопходно предузети. Компаније пре свега морају прилагодити пословање принципима ГДПР у погледу транспарентности приликом обраде и информисању о обради физичких лица чији се лични подаци обрађују, као и њиховим правима из ГДПР-а.
Који су то лични подаци односно информације које се могу користити?
– ГДПР предвиђа да је лични податак свака информација која се односи на идентификовано физичко лице или физичко лице које се може идентификовати, односно идентификовано лице је оно које се може идентификовати, директно или индиректно, нарочито путем матичног броја или једног или више фактора специфичних за његов физички, физиолошки, ментални, економски, културни или друштвени идентитет. Смеју се користити сви подаци али под условом да се осигура стандард обраде, укључујући и коришћење, у складу с ГДПР-ом. Принцип је смањивање количине и врсте личних података које се обрађују, а да се при томе може постићи иста сврха због које се подаци обрађују (принцип минимизације обраде података, односно сразмерности обраде).
Како корисници могу да знају које тачно податке нека компанија има о њима, и како ће бити процедура да се подаци ако желе заувек избришу?
– Физичка лица морају бити информисана унапред о томе које податке о њима обрађује компанија – руковалац. Такође, физичка лица чији се подаци о личности обрађују у свако доба од руковаоца могу тражити информацију који њихови лични подаци се обрађују и у које сврхе (право увида). Најзад, физичко лице чији подаци о личности се обрађују се може позвати на „право на заборав“ које предвиђа ГДПР, односно тражити да се његови подаци о личности под одређеним условима избришу. Уколико су услови испуњени подаци могу бити обрисани у потпуности укључујући и брисање из бацк-упова.
На који начин ће се подаци чувати односно апдејтовати?
– Рокови чувања требало би да буду јасно дефинисани посебним прописима или одређени интерно уколико императивним прописима питање рокова није уређено, а технолошки на начин који пружа највећу могућу заштиту и превенцију од тзв. повреде података. Уз то начини чувања и ажурирања података морају бити и додатно интерно регулисани политикама и процедурама.
Ко ће контролисати његову примену и колике су казне?
У ЕУ, примену контролише надзорно тело за заштиту података из било које ЕУ земље, а чији је држављањин особа чији се подаци обрађују. Максимална казна износи четри одсто светског годишњег прихода или 20 милиона евра, шта год од тога је веће. Казне се примењују у складу са смерницама ЕУ о одређивању казни за повреде одредби ГДПР-а. Треба имати у виду да је у Србији у припреми нови Закон о заштити података о личности који ће у највећој могућој мери бити усклађен са одредбама ГДПР-а и, поред осталог, требало би да регулише надзорна тела, као и казне које се могу изрећи у случају кршења његових одредби.
Извор: сајт Блиц-а
Наслов: Редакција