GDPR regulativa
Uredba o opštoj zaštiti podataka rezultat je četiri godine rada Evropske unije i usklađivanja zakonodavstvo s novim, ranije nezamislivim načinima na kojima se podaci o ličnosti danas koriste. GDPR regulativa uvodi veće novčane kazne u ovoj oblasti, a građanima daje više informacija o tome šta kompanije mogu da rade s njihovim podacima.
Dva su razloga za uvođenje GDPR‑a. Prvo, EU želi da građanima omogući veću kontrolu i bolji uvid u to kako se koriste njihovi podaci, imajući u vidu da mnoge kompanije, kao što su Facebook i Google, nude svoje usluge u zamenu za prikupljanje podataka o korisnicima. Sadašnje zakonodavstvo usvojeno je pre nego što su Internet i cloud tehnologija stvorili nove načine iskorišćavanja podataka, a GDPR nastoji da to reši. Jačanjem zakonodavstva o zaštiti podataka i uvođenjem strogih mera za sprovođenje, EU se nada povećanju poverenja u digitalnu ekonomiju u nastajanju.
Zakonom o zaštiti podataka koji važi na celom jedinstvenom tržištu, EU želi da omogući preduzećima jednostavniji i jasniji pravni ambijent (EU procenjuje da će to uštedeti preduzećima i do 2,3 milijarde godišnje). GDPR regulativa primenjivaće se u svim zemljama članicama EU od 25. maja 2018. godine. Budući da je GDPR regulativa, a ne direktiva, zemlje Evropske unije ne moraju izraditi novi zakonski propis – umesto toga, on će se automatski primenjivati.
U SAD će situacija biti nešto drugačija. Naime, samo 43 odsto preduzeća u SAD priprema se za dolazak ove zakonske regulative i menja svoje prakse, a velika je verovatnoća da će ostali angažovati druga preduzeća iz EU, koja će te podatke opsluživati. Uprkos tome, skoro trećina ispitanika u SAD rekla je da se ne priprema za donošenje zakonodavstva, a 28 odsto izjavilo je da ne zna za bilo kakve pripreme koje njihova kompanija možda radi u vezi s GDPR‑om.
Podaci o ličnosti
Sve što se smatralo ličnim podacima iz Zakona o zaštiti podataka takođe se kvalifikuje kao lični podaci u okviru GDPR‑a, ali EU sada znatno proširuje definiciju ličnih podataka. Da bi se odrazile vrste organizacija za prikupljanje podataka o ljudima, online identifikatori kao što su IP adrese sada se kvalifikuju kao lični podaci. Drugi podaci, kao što su oni o ekonomskom, kulturnom ili mentalnom zdravlju, takođe se smatraju ličnim podacima.
Pseudonimizovani lični podaci (podaci koji su vezani za šifru, a šifra se dodeljuje osobama i jedinstvena je) takođe mogu biti predmet GDPR pravila, u zavisnosti od toga koliko je lako ili teško identifikovati čiji su to podaci. Pogledajmo, na primer, račun plaćen 2.000 dinara. To nije lični podatak, ali jeste ako se čuva i informacija ko ga je platio. Svaki podatak koji nam daje više informacija o nekoj osobi jeste podatak o ličnosti.
Osnovni korisnici i institucije koji se moraju pridržavati GDPR regulative jesu „kontrolori“ i „distributeri“. Kontrolor podataka navodi kako i zašto se lični podaci obrađuju, dok je distributer firma koja vrši stvarnu obradu podataka. Kontrolor može biti svaka organizacija, od kompanije koja traži profit, do dobrovoljne ili vladine organizacije. Distributer bi mogla biti IT firma. Čak i ako su kontrolori i distributeri sa središtem van EU, GDPR će se primenjivati i na njih, dokle god imaju podatke o stanovnicima EU.
Odgovornost kontrolora je da obezbedi da njihov distributer poštuje zakon o zaštiti podataka, a distributeri sami moraju poštovati pravila za održavanje evidencija o njihovim procesima obrade. Odgovornost u okviru GDPR‑a je znatno veća nego što je bila pod Zakonom o zaštiti podataka. Kada zakon stupi na snagu, kontrolori moraju osigurati da se lični podaci obrade zakonito, transparentno i za određenu svrhu. Jednom kada je ta svrha ispunjena i podaci više nisu potrebni, kontrolori su u obavezi da te podatke izbrišu.
Saglasnost korisnika
„Zakonito“ ima niz alternativnih značenja. Prvo, može biti zakonito ako se subjekt saglasio sa svojim obrađenim podacima. Alternativno, zakonito može značiti poštovanje ugovora ili zakonske obaveze; da zaštiti interes koji je „bitan za život“ subjekta; ako je obrada podataka u javnom interesu; ili ako je to u zakonitom interesu kontrolora – kao što je sprečavanje prevare.
Kontrolori moraju voditi evidenciju o tome kako i kada osoba daje saglasnost, i taj pojedinac može povući svoju saglasnost kad god poželi. Ako vaš trenutni model za dobijanje saglasnosti ne ispunjava ova nova pravila, moraćete ga menjati ili ćete zaustaviti prikupljanje podataka pod tim modelom kada GDPR počne da se primenjuje. Saglasnost mora biti aktivna, afirmativna akcija od strane subjekta podataka, a ne pasivno prihvatanje po nekim trenutnim modelima klika na neko polje za overu.
Građani imaju pravo da pristupe informacijama koje kompanije čuvaju o njima, kao i pravo da znaju zašto se ti podaci obrađuju, koliko dugo se čuvaju i ko ih sve vidi. Gde god je to moguće, kontrolori podataka treba da obezbede siguran, direktan pristup ljudima da pregledaju koje informacije kontrolor čuva o njima. Građani čije podatke čuva neka kompanija mogu tražiti pristup i uvid u svoje podatke u „razumnim intervalima“, a kontrolori moraju odgovoriti u roku od mesec dana. GDPR zahteva da način prikupljanja i rukovanja prikupljenim podacima bude transparentan. Naime, šta kontrolori i distributeri rade s podacima i kako ih obrađuju mora da bude jasno objašnjeno običnim jezikom, bez suviše stručnih termina koje većina građana ne bi razumela. Najzad, građani mogu tražiti da se podaci o njima, ukoliko nisu tačni ili su nepotpuni, isprave i dopune.
Pravo na zaborav
Pojedinci imaju pravo da zahtevaju da njihovi podaci budu izbrisani ako više nisu neophodni za svrhu za koju su prikupljeni. Ovo je poznato kao „pravo na zaborav“. Prema tom pravilu, građani mogu zahtevati da se njihovi podaci brišu ako su povukli saglasnost da se podaci o njima sakupljaju, ili da se suprotstavljaju načinu na koji se ti podaci obrađuju.
Kontrolor je odgovoran za obaveštavanje drugih organizacija (na primer, Google‑a) da obriše sve veze s kopijama tih podataka, kao i same kopije tih podataka. Kontrolori sada moraju čuvati informacije o ljudima u najčešće korišćenim formatima (kao što su CSV datoteke), tako da mogu da prebace podatke o osobi u drugu organizaciju (kontrolora) i to besplatno, ako osoba to zatraži. Kontrolori moraju to uraditi u roku od mesec dana.
Svaka kompanija koja poseduje podatke o ličnosti svojih zaposlenih i klijenata dužna je da obavesti svoj autoritet za zaštitu podataka o svim kompromitovanjima podataka koji rizikuju ljudska prava i slobode u roku od 72 sata od kada se kompromitovanje otkrije. Svi stručnjaci u Evropi smatraju da je ovde potrebno više ljudskih resursa (misli se na edukovane i kvalifikovane kadrove), koji će raditi na razotkrivanju kompromitovanja podataka, u okviru GDPR. Taj rok je dovoljno dug da verovatno kompanija neće znati svaki detalj kompromitovanja nakon što ga otkrijete. Međutim, početni kontakt sa autoritetom za zaštitu podataka treba da precizira prirodu podataka o kojima je reč, otprilike koliko je ljudi pogođeno, šta bi posledice mogle značiti za njih i koje mere je kompanija preduzela ili planira da preduzme u odgovor. Takođe, kompanije su dužne da obaveste i osobe čiji su podaci eventualno kompromitovani.
Prosečni ukupni troškovi kompromitovanja ličnih podataka procenjeni su na 3,62 miliona dolara. Kompanije koje ne ispune svoje obaveze u roku od 72 sata mogu se suočiti s kaznom, drastično većom nego pre, u visini od dva odsto godišnjeg prihoda u svetu ili 10 miliona evra, u zavisnosti od toga koji je iznos veći. Postoje i druge kazne koje mogu biti i teže, kao na primer u slučaju kada kompanije ne prate osnovne principe obrade podataka, kao što je saglasnost, ignorišu prava pojedinaca o svojim podacima ili prenose podatke u drugu zemlju bez odobrenja vlasnika podataka. Novčane kazne mogu ići i do 20 miliona evra ili četiri odsto godišnjeg prometa.
A u Srbiji? Svako preduzeće koje koristi lične podatke građana EU mora da poštuje ovaj zakon. To znači da, s obzirom na to da nameravamo da pristupimo EU, moramo već sada voditi računa i početi pripreme za primenu GDPR‑a.
Zoran Trdenić je član Upravnog odbora Udruženja eSigurnost
Zoran Trdenić