SEEbiz SlovenijaSEEbiz SlovenijaSEEbiz SlovenijaSEEbiz SlovenijaSEEbiz SlovenijaSEEbiz SlovenijaSEEbiz Slovenija
SAVETUJEMO
 
GDPR van Evropske unije: Sve što treba da znate o novim EU normama o zaštiti podataka
Autor/izvor: Aleksandar Pešić, Avokado
Datum objave: 13.07.2018. - 10:23:19

BEOGRAD - O GDPR- u je u proteklih nekoliko meseci bilo puno reči u medijima, pošto su se sve kompanije užurbano spremale za primenu novih zakona. Od 25. maja, nov zakon je stupio na snagu, a osim u EU, njegove norme se primenjuju i u drugim evropskim i svetskim zemljama.

To znači da firme, ne samo u Sloveniji i Hrvatskoj, kao članicama EU, nego i u Srbiji, Crnoj Gori i Bosni i Hercegovini, moraju da posluju u skladu sa novim odredbama, ukoliko njihovo poslovanje uključuje veze sa građanima i firmama iz EU.

Šta je GDPR i šta su obaveze firmi u zemljama koje nisu članice EU? Evo našeg vodiča za sve što treba da znate o GDPR-u.

Šta je GDPR?

General Data Protection Regulation (Opšta uredba o zaštiti podataka o ličnosti) ili skraćeno GDPR, je jedna od najznačijanijih, sveobuhvatnih regulativa koje se odnose na modernu tehnologiju i internet. Uredba je odobrena od strane Evropske unije u aprilu 2016. godine, a stupila je na snagu 25. maja 2018.

Sa novim smernicama koje su bolje prilagođene savremenom svetu u kome dominira tehnologija, GDPR zamenjuje Direktivu EU o zaštiti podataka iz 1995. godine. Glavne tačke zakona tiču se prava privatnosti svakodnevnih korisnika i zaštite podataka koji oni ostavljaju onlajn. Na taj način, odredbe GDPR-a utiču na poslovanje raznih kompanija, odnosno na način na koji te kompanije prikupljaju, skladište i čuvaju podatke svojih klijenata.

Izričito je navedeno da će, u skladu sa GDPR-om, kompanije morati da obaveštavaju svoje korisnike svaki put kada koriste njihove lične podatke u bilo koju svrhu. To znači da podaci neće moći da se upotrebljavaju bez saglasnosti klijenata, i da će kompanije morati da detaljno preciziraju svrhu korišćenja sakupljenih ličnih podataka korisnika.

Svi lični podaci takođe moraju biti šifrovani po određenim pravilima, kao deo procesa koji je poznat kao pseudonimizacija i koji podrazumeva da se ta šifra ne može povezati sa određenom osobom bez upotrebe nekih dodatnih informacija o korisniku.

Lični podaci se odnose na širok spektar informacija – skoro sve što bi moglo da se koristi direktno ili indirektno u svrhu identifikovanja neke osobe na mreži. To uključuje imena, imejl adrese, fotografije, bankovne račune i detalje o bankovnim računima, postove na društvenim mrežama, medicinske informacije, čak i IP adresu računara.

Svaki korisnik ima pravo da zna koje detalje kompanija ili organizacija poseduje o njemu. Takođe, korisnik uživa i Pravo na brisanje, što znači da može zahtevati da bilo koja informacija bude izbrisana ukoliko smatra da je bilo koje pravo privatnosti prekršeno u skladu sa novim normama.

Kompanije koje prekrše nečije pravo na zaštitu podataka, bilo slučajno ili kao deo sajber napada, moraće da prijave ovaj događaj nadležnim organima u roku od 72 sata.

Kako će GDPR uticati na video nadzor poslovnog prostora?

Lični podaci se odnose na bilo šta što može identifikovati bilo koju osobu, a ne samo na pisane informacije. To uključuje i video nadzor zaposlenih, što je prema odredbama GDPR-a svrstano u visokorizične aktivnosti.

GDPR u sistemu obezbeđenja podrazumeva da poslodavci imaju pravo da nadgledaju aktivnosti zaposlenih, ali moraju da imaju potrebne zakonske osnove za video nadzor i moraju da o tom nadzoru na odgovarajući način obaveste svoje zaposlene. Isto važi i za njihove klijente.

Mnoge kompanije se trenutno oslanjaju na podrazumevanu saglasnost da bi opravdale nadgledanje aktivnosti zaposlenih, ali GDPR zahteva legalne osnove za saglasnost i treba ih imati gde god je to moguće. Najprikladniju osnovu za pravo nadgledanja predstavljaju legitimni interesi ili zakonske obaveze.

Organizacijama se preporučuje procena uticaja zaštite podataka, kako bi se procenilo u kojoj meri se zahteva video nadzor, gde je neophodan i u koje vreme.

Takođe, podaci moraju biti korišćeni i čuvani na odgovarajući način isključivo da bi se ispunila njihova prvobitna svrha. Na primer, ako je svrha čuvanja podataka da se identifikuju osobe koje su umešane u kriminalane radnje, snimci bi trebalo da budu zadovoljavajućeg kvaliteta i da budu dostupni policiji, kako bi predstavnici policije mogli da privedu te osobe nakon što pregledaju snimak. CCTV snimci i ostali podaci moraju se čuvati na bezbedan način, što podrazumeva i šifrovanje kad god je ono moguće.

Pojedinci imaju pravo da zahtevaju kopiju bilo kog CCTV zapisa na kome su oni u fokusu i/ili jasno identifikovani. Ako je zahtev opravdan i odobren, organizacija mora da obezbedi taj snimak pojedincu u roku od 30 dana. Isto važi i za druge vrste podataka koji se odnose na nadgledanje zaposlenih.

Na koga se odnosi GDPR?

Najjednostavnije rečeno, ako vaša firma nudi robu ili usluge bilo kome ko živi u Evropskoj uniji, GDPR će se odnositi i na vas. To znači da će kompanije koje se nalaze van Evropske Unije takođe morati da obezbede poslovanje u skladu sa ovim zakonom, pošto bi one takođe mogle biti novčano kažnjene ukoliko se utvrdi da korisnici nisu bili upoznati sa svojim pravima o zaštiti podataka.

Ako imate mejl listu za biltene ili promociju, a neki od vaših klijenata su građani Evropske Unije, GDPR se primenjuje i na vas.

Šta treba uraditi da bi se poslovanje uskladilo sa GDPR-om?

Kao što smo gore napomenuli, ako poslujete sa klijentima iz Evropske unije, potrebno je da osigurate da način prikupljanja i skladištenja njihovih podataka bude u skladu sa GDPR-om.

Potrebno je da tačno identifikujete koje podatke trenutno posedujete, kao i načine na koje ste te podatke stekli. Mnoge organizacije možda ne znaju koliko mnogo informacija o svojim klijentima imaju - baš kao što i njihovi klijenti možda ne znaju koliko veliki broj informacija o sebi dele.

Svi podaci će morati da budu pravilno zaštićeni, tako da definitivno vredi podsticati politiku ograničavanja pristupa većini dragocenih podataka korisnika.

Takođe bi trebalo da često pravite rezervne kopije podataka, pošto bi korisnici u svakom trenutku mogli od vas da zatraže pregled tačnih informacija koje imate o njima.

Ako vaše preduzeće ima veliku bazu podataka, biće vam potrebno i da imenujete službenika za zaštitu podataka (DPO – Data Protection Officer). Službenik za zaštitu podataka preuzima odgovorost za veći deo posla kada je u pitanju GDPR, uključujući kontrolu poštovanja ovog zakona i zaštite podataka.

Na kraju, budite sigurni da su svi zaposleni u vašoj firmi upoznati sa onim šta GDPR znači. GDPR pravila nisu samo obaveza IT odseka, već bi mogla da se tiču svakoga u vašoj organizaciji.

Šta se dešava ako niste spremni za GDPR?

Usklađivanje sa GDPR-om je ogroman posao, a zakon je obavezujuće prirode, i predviđa veoma rigorozne kazne za kompanije koje ga ne sprovode. Svaka organizacija za koju se utvrdi na nije uskladila svoje poslovanje sa GDPR pravilima, mogla bi da se suoči sa ogromnim novčanim kaznama, koje iznose 4% godišnjeg prometa ili 20 miliona evra.

Ostaje da se tačno vidi kako će teći sprovođenje GDPR-a, i da li će kazne biti naplaćivane svakoj organizaciji, bez obzira da li je reč o maloj firmi ili velikoj kompaniji. Za sada, ako poslujete sa firmama ili pojedincima koji žive u nekoj zemlji Evropske unije, potrebno je da se što je bolje moguće pripremite za sprovođenje odredbi GDPR-a.