Da se predsednički izbori u Sjedinjenim Američkim Državama održavaju posle 25. maja 2018. godine veliko je pitanje da li bi Donald Tramp sedeo u Beloj kući, kao što se to dogodilo posle novembra 2016. I to ne zbog kontroverzne biografije, već zato što je dve godine od predizborne kampanje za ove izbore u javnost „procurela““ informacija o tome da su podaci 50 miliona korisnika Facebooka dospeli u ruke kompanije za obradu podataka Cambridge Analytica, povezanom sa izbornim štabom predsednika SAD Donalda Trampa.
Među njima bi mogli da budu i lični podaci oko 2,7 miliona evropskih korisnika ove društvene mreže, saopštila je Evropska komisija pozivajući se na podatke koje joj je dao Facebook.
Lični podaci korisnika te društvene mreže, koji će se od 25. maja 2018. godine, kada na snagu stupi nova Opšta uredba EU o zaštiti podataka o ličnosti (General Data Protection Regulation – GDPR), tretirati kao bilo koja druga lična imovina, tako su zloupotrebljeni.
Iako je prikupljanje ovakvih podataka i dosada bilo zakonski uređeno, nova uredba donosi mnogo novina, ali i „drakonske kazne“ za kršenje odredbi ovog propisa.
Šta je, zapravo, GDPR?
Ako vaš Inbox elektronske pošte u poslednje vreme „zatrpavaju“ obaveštenja različitih organizacija o promeni načina prikupljanja podataka, nemojte ih ignorisati, već obratite pažnju na to šta je u njima navedeno, odnosno koje podatke o vama poseduju.
Naime, kada se govori o Opštoj regulativi o zaštiti podataka o ličnisti ili GDPR-u, misli se na nov pravni okvir koji određuje način korišćenja podataka o ličnosti građana Evropske unije, kao što su ime, prezime, JMBG, e-mail adresa, broj telefona, ali i pristup različitim veb sajtovima, odnosno podacima koji se ne odnose samo na to ko je osoba, već i na to kako doći do nje.
Tako će, u skladu sa ovim dokumentom, svaka organizacija koja na bilo koji način obrađuje podatke građana Evropske unije, ali i onih lica koja nisu državljani EU već samo stanuju u njenim okvirima, morati da se pridržava novih pravila o zaštiti podataka o ličnosti.
Prema GDPR-u svaki građanin Evropske unije može od svake kompanije da traži informaciju o tome zašto se podaci prikupljaju, kao i da se podaci koje je firma prikupila izbrišu. Ovde je bitno naglasiti da se ova nova regulativa odnosi ne samo na organizacije iz Evropske unije, već i na pravna lica registrovana van zajednice, a koje posluju sa stanovnicima EU.
Uredba propisuje i obaveze za pravna i fizička lica koja nisu iz Evropske unije. Tako je, između ostalog propisano da kompanije sa sedištem van EU imaju predstavnika u toj zajednici koji će biti zadužen za određena pitanja u vezi sa zaštitom podataka, kao i da vode evidenciju aktivnosti obrade ličnih podataka u određenim slučajevima.
Takođe, svi koji nude svoje usluge i robu na teritoriji neke države članice ili usmeravaju internet poslovanje ka Evropskoj unije moraće da primenjuju ovu Uredbu. Oni koji nude posebne usluge i popuste bilo na nekom od specifičnih jezika neke od država ili ciljano na stanovnike Evropske unije biće u obavezi da se usklade sa Uredbom.
Prema tome, iako nacionalna regulativa u ovoj oblasti još nije donesena, kompanije iz Srbije, koje posluju sa stanovnicima EU, moraju da se usklade sa GDPR-om.
Napomenimo i to da, kako se Srbija ne nalazi na listi zemalja Evropske komisije koje primenjuju adekvatne mere zaštite ličnih podataka, GDPR propisuje preduzimanje dodatnih mera zaštite ukoliko podaci iz EU idu u Srbiju (ugovorne klauzule, kodeksi ponašanja, obavezna korporativna pravila).
Takođe, kako je rečeno na nedavno održanom Digital Dayu, u Srbiji zasada ne postoji sertifikaciono telo koje utvrđuje da li kompanija posluje u skladu sa odredbama ove uredbe ili ne.
Usvajanje Zakona o zaštiti podataka o ličnosti do kraja 2018?
GDPR je usvojen 2016. godine i kompanije su imale dve godine da se prilagode njegovim odredbama. Domaći Zakon o zaštiti podataka o ličnosti trebalo bi da bude usvojen do kraja 2018. On je, prema rečima Saše Gajina iz Centra za unapređenje pravnih studija, prošao evropsku kontrolu i sada je na domaćim političarima da ga usvoje.
Nacrt novog Zakona o zaštiti ličnih podataka u velikom delu podudara sa odredbama GDPR-a, te će kompanije u Srbiji morati da primene skoro sve što pravna i fizička lica iz EU u vezi sa zaštitom ličnih podataka već sada počinju da primenjuju, a što znači mnogo više obaveza nego što GDPR trenutno propisuje za treće zemlje.
Kako kaže Marija Milojević iz konsultantske kuće KPMG, to predviđa i postojanje lica u firmi koje se bavi zaštitom ličnih podataka, obavezu vođenja jedinstvenog registra, obavezu da se svaka povreda prijavi u roku od 72 sata…
Kompanije će imati šest meseci da svoje poslovanje usklade sa ovim zakonom.
Firme u Srbiji nespremno dočekuju GDPR
Prema istraživanju KPMG-a, veliki broj kompanija u Srbiji još nije utvrdio da li se na njih odnosi opšta uredba EU o zaštiti podataka. Čak se, kako se navodi u saopštenju te konsultantske kuće, i kompanije koje su sigurne da se na njih odnosi ova uredba nalaze u početnoj fazi usklađivanja, vrše utvrđivanje vrsta ličnih podataka koji se obrađuju, kao i gde se sve ti podaci nalaze.
Da domaće kompanije nisu ozbiljno shvatile regulativu koja se nameće, potvrđuju i primeri iz prakse. Tako se, prema ovom istraživanju, pokazalo da se u mnogim kompanijama niko detaljno nije bavio ličnim podacima i njihovom zaštitom, da su u velikim sistemima službe decentralizovane, da se neki podaci čuvaju na papiru, neki na serveru.
– Neophodno je da firme najpre urade analizu postojećeg stanja, intervjuišu sve službe koje obrađuju i čuvaju lične podatke kako bi se ustanovilo koji su podaci u pitanju, da li se čuvaju u papirnom, elektronskom obliku, u zemlji, možda u inostranstvu – ukazuje Marija Milojević iz konsultantske kuće KPMG.
Kako se dodaje, trebalo bi utvrditi i kako kompanija štiti lične podatke – da li preduzima odgovarajuće tehničke ili organizacione mere, propisuje ograničenje prava pristupa fajlovima i slično. Nakon toga, definišu se koraci koje bi kompanije trebalo da preduzmu.
Sa tim da Srbija nespremno dočekuje GDPR saglasan je i Poverenik za informacije od javnog značaja i zaštitu podataka o ličnosti Rodoljub Šabić.
– Uredba će biti relevantna za naše građane i za privredne subjekte, koje tretiramo kao najinteresantniji deo naše ekonomije. Svi koji posluju na evropskom tržištu ne treba da imaju iluzuju da je EU samo proklamovala pravila, ona ima instrumente i kako da primeni sankcije za kršenje uredbe – rekao je nedavno Šabić na međunarodnoj konferenciji koja je bila posvećena ovoj uredbi.
A za kršenje uredbe GDPR predviđa kazne čak i do 20 mil EUR ili 4% globalnog godišnjeg prometa. Ipak, suština novog propisa nije na represiji, već na preventivi, sa krajnjim ciljem da se spreči da do povrede prava pojedinaca dođe.
Prema Šabićevim rečima, kancelarija poverenika pomoći će građanima i privrednim subjektima kako bi bili spremni za primenu Uredbe, posebno jer se u Srbiji „ugrožavanje prava na privatnost i zloupotreba ličnih podataka ne doživljavaju kao ozbiljan delikt“.
Prema njegovim rečima, uredba je dugo očekivan „simbol otpora“ trendu koji je izgledao zastrašujuće i koji je ostavljao utisak da će pravo na privatnost nestati.
– Ova uredba uspostavlja novi standard, nov kvalitet na evropskom prostoru i Srbija će morati da harmonizuje svoja pravila u skladu sa njom – istakao je Šabić i dodao da bi nas, da je usvojen nov zakon o zaštiti podataka o ličnosti kakav je predlagao, on „značajno približio“ usvojenoj Uredbi.
Oni za koje se sada pravila dodatno pooštravaju su kompanije koje vrše obradu podataka – rukovaoci i obrađivači. Rukovaoci će moći da imaju samo one podatke o pojedincu koji su mu neophodni, jer obrada svakog podatka ujedno je i odgovornost za njega. Da bi mogli da vrše radnje obrade podataka obrađivači će morati da zaključe poseban ugovor sa rukovaocem kojim će jasno urediti obaveze i odgovornost.
Jednaka zaštita za sve građane
Jedan od ciljeva Opšte uredbe jeste da nivo zaštite podataka o ličnosti bude isti na celoj teritoriji Evropske unije. Organi za zaštitu podataka o ličnosti dobiće nova ovlašćenja, kao i obaveze.
Imajući u vidu sve češće postavljeno pitanje da li privatnost i dalje postoji, s obzirom na to kolika je količina informacija koje ostavljamo na društvenim mrežama, dok krstarimo ili kupujemo na internetu, na skupu je istaknuto da pravo nije nestalo, i da upravo ovi državni organi služe za zaštitu privatnosti i podataka o ličnosti, a ne za kršenje ovih prava.
Način na koji postupamo sa podacima u velikoj meri će odrediti našu ličnu bezbednost i uticaće na razvoj digitalne ekonomije, jedan je od zaključaka skupa na kojem su učestvovali, između ostalih, i predstavnici iz regiona – Bosne i Hercegovine, Makedonije, Moldavije, Slovenije, Hrvatske i Crne Gore.
Kako je zaključeno u izveštaju KPMG-a, u sistemima zaštite ličnih podataka u Srbiji, primer dobre prakse predstavljaju banke, koje su bile na meti visokotehnološkog kriminala, pa su, na primer, implementirale posebne alate kojima mogu da identifikuju neovlašćeni pristup i korišćenje podataka o ličnosti.
Kako bi se prilagodila novim pravilima, marketinška agencija Ipsos preduzela je mnoge akcije u skladu sa GDPR-om. Tako je, kako je saopšteno iz ove komanije, 1. marta 2017. godine Rupert van Hullen imenovan za globalnog direktora za zaštitu privatnosti podataka (CPO – Chief Privacy Officer) i lokalnih službenika za privatnost podataka (DPO – Data Privacy Officers).
Takođe, kako navode, Ipsos koristi tehnike anonimizacije za zaštitu ličnih podataka ispitanika kao deo procesa prikupljanja podataka, tako da mogu da im pristupe samo timovi na terenu i to samo u meri u kojoj im je to neophodno, dok je pristup ličnim podacima zaposlenih strogo ograničen na osoblje koje se bavi upravljanjem ljudskim resursima. Ipsos primenjuje različite vrste enkripcije na laptop računarima svih zaposlenih, dok podizvođače za obradu ličnih podataka biraju na osnovu njihove sposobnosti da postupaju u skladu sa Ipsosovim zahtevima u vezi sa zaštitom informacija.
Autorka teksta: Katarina Stevanović