InHoReCa  in your country
SRBIJA
Hoteli
21.09.2018.

ZAKONODAVSTVO: JEDINSTVEN SISTEM ZAŠTITE PODATAKA O LIČNOSTI U EU I KOD NAS

Prava pojedinaca u prvom planu

Autor: Svetlana Mišić
Data protection consultant
Data Guard
sveta@dataguard.rs

Opšta uredba Evropske unije o zaštiti podataka o ličnosti stupila je na snagu 25. maja 2018. Poznatija pod svojim engleskim akronimom GDPR, ova uredba je dugo pripremani pravni okvir kojim se reguliše obrada podataka o ličnosti stanovnika Evropske unije. Svaka organizacija ovakve podatke mora koristiti u skladu sa novim pravilima, rizikujući drakonske kazne ukoliko ih se ne pridržava, čak i ako joj je sedište van EU. Kazne za nepoštovanje ovog propisa mogu biti u visini od 20 miliona evra, ili 4% godišnjeg obrta organizacije.

GDPR je obiman i sveobuhvatan set pravila za postupanje sa podacima o ličnosti. Za razumevanje GDPR-a, najvažnije je razjasniti šta je podatak o ličnosti, a šta obrada takvog podatka.

Svaka informacija koja pojedinačno ili uparena sa drugim informacijama može da identifikuje pojedinca jeste ili može postati podatak o ličnosti. To ne mora biti nužno ime, fotografija ili adresa, već i ponašanje na internetu ili društvenim mrežama - broj poseta određenom sajtu, pregledani sadržaj i slično. Obradom se smatra svaka radnja preduzeta nad podatkom, čak i najmanje invazivna, kao što je prikupljanje.

Najjednostavnije rečeno, biti usklađen sa GDPR-om podrazumevaće razumevanje i praćenje životnog ciklusa podataka: odakle dolaze i kako se prikupljaju; za koju se svrhu i po kom zakonskom osnovu koriste; sa kim se i pod kojim uslovima dele, kako se štite i na kraju, kada njihovo čuvanje više nije neophodno ili opravdano - brišu.

Zašto GDPR i zašto baš sad?
Zaštita podataka o ličnosti je do sada na nivou Evropske unije bila uređena Direktivom iz 1995. (Directive 95/46/EC). Osim toga što je prevaziđena intenzivnim tehnološkim napretkom u poslednjih 20 godina, ova direktiva je imala i tu manjkavost da je, po svojoj pravnoj prirodi i minimalnim standardima koje je propisivala, omogućavala velike razlike između nacionalnih zakonodavstava.

Ova dva problema rešava GDPR, koji će kao regulativa biti neposredno primenjivan i pravno obavezujući. Njime će se na celoj teritoriji Evropske unije uspostaviti jedinstven sistem zaštite podataka o ličnosti. U tom sistemu se prava pojedinaca stavljaju u prvi plan, a rukovaocima podacima, bilo da su u pitanju državne institucije ili privredni subjekti, nameću nova pravila i obaveze.

Nastao je iz potrebe da se tehnologije, koje su privatnost učinile utopijom, makar donekle zauzdaju, tako što se pojedincu omogućava kontrola nad svrhama za koje se koriste informacije koje čine njegov identitet.

Zaštita podataka o ličnosti kao ljudsko pravo je derivat prava na privatnost. GDPR je evolucija u zakonodavstvu koje to pravo štiti. Nastao je iz potrebe da se tehnologije, koje su privatnost učinile utopijom, makar donekle zauzdaju, tako što se pojedincu omogućava kontrola nad svrhama za koje se koriste informacije koje čine njegov identitet.

U svetlu sve učestalijeg razotkrivanja zloupotreba podataka o ličnosti, raste i zabrinutost korisnika za posledice koje takvo ugrožavanje privatnosti može imati. Stoga će komparativnu prednost imati kompanije koje klijentima mogu da pokažu da o njihovim podacima i svemu što čini njihov identitet brinu i odgovorno postupaju.

O važnosti ove teme govori i to da je rasprava o GDPR-u trajala od 2012. do 2016. i da je na predloženi tekst podneto više od 4.000 amandmana, što ga čini najlobiranijim propisom u istoriji Evropskog parlamenta. U raspravi su, osim zemalja članica, učestvovale i mnogobrojne organizacije poput privrednih subjekata, finansijskih institucija, udruženja potrošača i sl.

Odlaganja primene GDPR neće biti. U junu prošle godine, Nemačka je bila prva među evropskim zemljama koja je domaće zakonodavstvo usaglasila sa GDPR-om. Upravo u Nemačkoj je ovog jula doneta i prva presuda na osnovu načela o obradi podataka iz GDPR-a.

Međutim, uprkos utisku da je istek dvogodišnjeg roka za usaglašavanje sa GDPR-om dolazak apokalipse za mnoge industrije, pokazalo se da je ovo tek početak primene novih standarda — evolutivnog procesa koji će unaprediti poslovanje u digitalnoj sferi, obnavljajući poverenje korisnika usluga. Ne može se razumno očekivati da se svi zahtevi GDPR implementiraju za kratko vreme, ali pokazati da je plan pripremljen i da su učinjeni makar osnovni koraci može biti dovoljno za dokazivanje dobrih namera.

Na koga se GDPR odnosi?
Teško je zamisliti poslovni proces u kome se ne obrađuju podaci o ličnosti, čak i kada privrednim subjektima obrada podataka nije glavna delatnost. Svako, pa i najosnovnije vođenje poslovne evidencije proizvodi zbirke u kojima će neminovno biti i podaci o ličnosti.

To znači da će, bez obzira na industriju, sektor ili veličinu, sve kompanije koje posluju ili nameravaju da posluju u Evropskoj uniji biti u obavezi da svoje poslovanje usklade sa GDPR-om. Ovo se svakako odnosi na kompanije koje nude svoje usluge ili proizvode u EU, ali i na one čije je poslovanje u bilo kojem kapacitetu usmereno ka tržištu EU. Naročito se ovo odnosi na kompanije iz Srbije koje uslužno obrađuju podatke građana EU za strane kompanije.

GDPR će se u Srbiji takođe ticati svakoga ko na bilo koji način obrađuje podatke o ličnosti građana Evropske unije, uključujući i dostupnost veb-sajta ili mobilne aplikacije na teritoriji Evropske unije, na nekom od jezika koji se tamo koriste.

Rizik neusklađenosti sa GDPR-om i kako ga umanjiti?
Zaštita privatnosti i bezbednost podataka često se smatraju problemom upravljanja rizicima. U poslovnom kontekstu gotovo sve se može meriti na toj osnovi. Osim pomenutih kazni, neadekvatno rukovanje podacima o ličnosti i ugrožavanje privatnosti će kompanije izložiti tužbama, reputacionom riziku, obustavi poslovanja ili ih učiniti neadekvatnima za saradnju sa evropskim kompanijama samim tim - nekonkurentnim.

Uredba ne daje precizna određenja šta organizacije moraju preduzimati da bi njihovo poslovanje bilo usklađeno, već od njih očekuje “odgovarajuće” organizacione i tehničke mere. Šta će za vašu kompaniju biti prikladno zavisiće od vaših okolnosti, kao i podataka koje obrađujete. Iz toga koliki rizik vaše poslovanje može da predstavlja po privatnost pojedinca proizlaziće i srazmeran rizik po vaše poslovanje. Onoliko koliko se sa GDPR-om uskladite, utoliko ćete rizik umanjiti.

Dakle, ne postoji jedinstveno rešenje za usklađivanje sa GDPR-om, ali postoje osnovne mere koje bi trebalo preduzeti kako biste osigurali poslovanje. Kompanije koje identifikuju i mapiraju koje lične podatake imaju, zašto ih i kako koriste, čak i ako još nisu počele sa rešavanjem problema, koje će naizbežno zateći prilikom bavljenja ovim pitanjem - biće u prednosti u odnosu na druge.

GDPR kao novi svetski standard

Ovo je bila vrlo značajna godina u svetu zaštite podataka u kojoj je GDPR zauzimao najviše pažnje i mesta u medijima, i razumljivo, s obzirom na svoju zahtevnost, široku primenu i visoke kazne. Ipak, promene koje se dešavaju u svetu digitalnog poslovanja se neće ograničiti na Evropu, nego postaju svetski standard, šireći se postepeno od zemlje do zemlje. Među zemljama koje su se ove godine pridružile zakonskom unapređivanju privatnosti je i Kalifornija sa svojim Zakonom o zaštiti privatnosti.

Nemogućnost da se dokaže usklađenost sa GDPR učiniće kompanije nepoželjnim za saradnju sa stranim partnerima

Japan, Južna Koreja i Brazil su takođe među zemljama koje su se blagovremeno uhvatile u koštac sa unapređenjem standarda zaštite podataka. Tako je 17. jula potpisan trgovinski sporazum između Japana i Evropske unije u kome se između ostalog našlo i poglavlje koje se odnosi na zaštitu podataka o ličnosti. Na osnovu ovog sporazuma sa EU, Japan će se naći na listi zemalja sa adekvatnom zaštitom podataka i ka kojima se može vršiti nesmetani transfer podataka. Na ovoj listi dosada se našlo tek desetak zemalja, a u interesu domaće privrede je da se i Srbija na ovoj listi nađe i to što pre. Da bi se to desilo najpre je neophodno da se usaglasi domaće sa evropskim zakonodavstvom.

Šta se dešava u Srbiji?
Republika Srbija će i zbog formalne obaveze iz Sporazuma o stabilizaciji i pridruživanju verovatno do kraja 2018. svoje zakonodavstvo iz ove oblasti uskladiti sa standardima evropskog prava.

Tačno kad i na koji način će to biti urađeno ostaje da se vidi. U međuvremenu, i bez ovakve pravne obaveze, rad na dostizanju evropskih standarda je prilika ili čak neophodnost za povećanje konkurentnosti svake pojedinačne kompanije, kao i konkurentnosti celokupne srpske privrede. Nemogućnost da se dokaže usklađenost sa GDPR učiniće kompanije nepoželjnim za saradnju sa stranim partnerima, a otežan uvoz podataka u zemlju može znatno ugroziti domaću privredu, pogotovo u IT sektoru.

O kompaniji
Data guard d.o.o. se bavi upravljanjem rizicima i konsultovanjem u oblasti zaštite podataka. Kompaniju su u Beogradu osnovali Mišo Ravić, inženjer elektrotehnike i Rajan Otman, advokat iz Londona.
Data Guard čini tim pravnika i IT stručnjaka koji pomaže preduzećima da se prilagode novim standardima zaštite podataka uz minimalno remećenje poslovnih procesa. Ovo, pre svega, podrazumeva usklađivanje sa propisima Evropske unije (GDPR i ePrivacy Directive), proveru bezbednosnih sistema i uspostavljanje efikasnog sistema za upravljanje podacima.
Detalje o uslugama koje Data Guard pruža možete pronaći na internet stranici: www.dataguard.rs