GDPR: Neke saglasnosti nisu potrebne, ali mnogi pravilnici jesu

25. maja 2018. godine u potpunosti je stupila na snagu nova uredba EU o zaštiti osobnih podataka. Uredba je obavezujuća i izravno je primjenjiva na sve organizacije, kompanije i pojedince koje koriste osobne podatke u poslovne svrhe. Novi zakon obavezujući je u svih 28 država Europske unije i zamjenjuje trenutne obavezujuće lokalne zakone o zaštiti osobnih podataka. Također je obavezujući i za sve organizacije koje rade sa podacima gradjana EU.

GDPR (Opća uredba o zaštiti podataka), uvodi niz izmjena u pravila koja uređuju zaštitu osobnih podataka, kao što su:

• obaveza primjene zaštite osobnih podataka u fazi projektiranja (npr. u slučaju IT rješenja)
• obaveza vođenja evidencije o aktivnostima obrade podataka
• obaveza izvršavanja procjene učinka na privatnost
• obaveza prijave neovlaštenog pristupa podacima tijelu za zaštitu podataka

Lični ili osobni podatak je bilo kakva informacija koja osobu može identificirati, uključujući bilo koji od navedenih podataka: matični broj, otisak prsta, IP adresu na računaru i telefonima, fotografiju lica pomoću koje otključavate telefon, email adresu... To je niz podataka na osnovu kojih se može odgonetnuti da se radi o osobi s određenim imenom i prezimenom. GDPR će od 25. maja 2018. štititi svaki lični podatak građana. Bez obzira na to koja kompanija, organizacija ili osoba koristi te podatke, ona će morati poštivati GDPR regulativu, bez obzira na to što je firma, naprimjer, iz SAD, a uslugu putem interneta isporučuje građaninu EU.

Vĕra Jourová, Povjerenik za pravdu, potrošače i rodnu jednakost u EU ističe da kompanije koje zarađuju novac iz naših podataka imaju više odgovornosti. Oni bi također trebali dati nešto natrag potrošačima; barem sigurnost njihovih podataka. "Kompanije koje ne obrađuju podatke kao svoju osnovnu poslovnu aktivnost imaju manje obveza i uglavnom moraju osigurati da su podaci koji se obrađuju sigurni i legalno upotrebljavaju", izjavila je Jourová. “Svako, a posebno one kompanije koje monetiziraju naše olične podatke, imat će interes za igranje prema pravilima, dodala je Jourová.”

“U skladu s Općom uredbom o zaštiti podataka, Europa potvrđuje svoj digitalni suverenitet i postaje spremna za digitalno doba. Osim toga, nova pravila počinju postavljati globalni standard za privatnost. Oni će pomoći da se vrati povjerenje koje trebamo kako bi bili uspješni u globalnom digitalnoj ekonomiji", zaključuje Jourová.

Nepoštivanje odredbi nove uredbe može rezultirati izricanjem novčane kazne od strane tijela za zaštitu podataka (do 20 milona EUR ili 4% godišnjeg prometa).

Pogrešno tumačenje GDPR-a

Većina elektronskih poruka koja je ovih dana preplavila prijemnu sandučad širom Evrope od kompanija koje traže pristanak da zadrže primaoce na njihovoj listi nisu potrebne, a neke mogu biti i nezakonite, kažu stručnjaci za privatnost, s obzirom da nova pravila o privatnosti podataka stupaju na snagu danas.

"Mnoge kompanije, djelujući na osnovu lošeg pravnog savjeta, u strahu od novčanih kazni do 20 miliona eura i u nedostatku dobrih primjera za praćenje, uzimale su ono što smatraju najsigurnijom mogućnošću za kreiranje općih pravila o zaštiti podataka, te tražili od klijenata da obnove svoju saglasnost za marketinške komunikacije i obradu podataka. Međutim, mnogi od tih zahtjeva za obnavljanje saglasnosti su bespotrebna papirologija, a neki od njih su čak i nezakoniti", ističe Toni Vitale, direktor Odjela za regulativu, podatke i informacije u Advokatskom uredu Winckworth Sherwood.

"Preduzeća nisu obavezna da automatski osvježe sve postojeće saglasnosti iz 1998. godine u pripremi za GDPR", istakao je Vitale za Guardian. "Prvo pitanje koje treba postaviti je na koje od šest zakonskih osnova u okviru GDPR-a treba da se oslonite za obradu ličnih podataka. Saglasnost je samo jedan korak. Ostali su ugovor, zakonska obaveza, vitalni interesi, javni interes i legitimni interesi.

"Čak i ako se oslanjate na saglasnost, to i dalje ne znači da morate ponovo tražiti saglasnost. Odredba 171 GDPR jasno pokazuje da možete nastaviti da se oslanjate na bilo koju postojeću saglasnost koja je data u skladu sa zahtjevima GDPR umjesto da tražite novu saglasnost. Samo se pobrinite da saglasnosti koje već imate ispunjavaju standarde GDPR i da su te saglasnosti propisno dokumentovane", objašnjava Vitale.

Drugim riječima, ako je preduzeće pristalo da komunicira sa vama prije stupanja na snagu GDPR, ta saglasnost vjerovatno je i dalje važeća i prenosi se iz prethodnog perioda, a, čak i ako se ne prenese, postoji još pet razloga koje kompanija može navesti za nastavak obrade podataka.

Vitale je rekao da ako biznis zaista nema potrebnu saglasnost da komunicira s vama, vjerovatno mu nedostaje saglasnost čak i za e-mail poruku kojom od vas traži da priložite takvu saglasnost.

"U mnogim slučajevima pošiljalac će prekršiti još jedan niz propisa, Pravilnika o privatnosti i elektronskim komunikacijama. Pisanje e-maila nekome od koga tražite saglasnost da im šaljete marketinške poruke putem e-maila predstavlja prekršaj."

Nedostatak razumijevanja kada i zašto je potrebna saglasnost u okviru GDPR podstakla je Ured povjerenika UK za informacije da pokuša riješiti neke od "mitova" GDPR.

"Čuli smo priče o dugim porukama organizacija koje pune prijemna sandučad (inbox) pitajući ljude da li i dalje žele da komunicirali s njima", napisao je Steve Wood, zamjenik komesara za informacije u uputstvima za preduzeća. "Zato razmislite o tome da li morate stvarno osvježiti saglasnost prije nego što pošaljete taj e-mail, a ne zaboravite da postavite mehanizme za korisnike da mogu lako da povuku svoju saglasnost."

Kao i Vitale, Wood je naglasio da bi traženje saglasnosti za marketinšku komunikaciju od ljudi koji je nisu dali u samom početku moglo biti nezakonito. "Takođe je važno zapamtiti da u nekim slučajevima možda nije prikladno tražiti novu saglasnost ako niste sigurni kako ste prvo prikupili kontakt informacije, a saglasnost ne bi ispunila standard prema postojećem Zakonu o zaštiti podataka, " rekao je Wood.

Lukasz Olejnik, istraživač i konsultant za privatnost, rekao je da je dio problema bio da mnoge kompanije nisu imale naviku arhiviranja kada i kako su dobili prvobitnu saglasnost da kontaktiraju kupce, već su samo unosili podatke u velike baze podataka, odnosno e-mailova korisnika. "Neke kompanije jednostavno ne mogu da pokažu da imaju saglasnost, zato što nemaju nikakav pisani trag".

"Ova činjenica - da neke kompanije jednostavno nikada nisu imale saglasnosti ili nisu u mogućnosti da je prilože -  je nešto što se raspravlja između kreatora politike i konsultanata. Postoje i diskusije o kompanijama koje ne poštuju čak ni postojeće propise o zaštiti podataka. "

Paul Jordan, direktor Međunarodnog udruženja eksperata za privatnost (International Association of Privacy Professionals), naglasio je sljedeće: "Mislim da je sasvim jasno da veliki broj kompanija neće biti spremni za GDPR, ali ako mogu da pokažu da su planirali ovaj proces voditi na odgovarajući način onda će im regulatorne agencije pružiti određeni prostor za usklađivanje pravila sa novom regulativom".

Ako ne, te novčane kazne - od 20 miliona evra ili 4% godišnjeg prometa - mogu se čekati.

Šta su obaveze kompanije prema GDPR-u

1. Kontrola podataka

Kako bi sačuvali privatnost predmeta, organizacije moraju:

Obraditi podatke samo za ovlaštene svrhe

Osigurati tačnost i integritet podataka

Minimizirati izlaganje ličnih identiteta i

Provoditi mjere sigurnosti podataka.

2. Sigurnost podataka

Sigurnost podataka ide ruku pod ruku s kontrolom podataka. GDPR stavlja sigurnost u službu privatnosti. Za očuvanje privatnosti subjekata, organizacije moraju provesti:

Zaštitu za čuvanje podataka za dodatnu obradu

Mjere zaštite podataka

Sigurnost kao ugovorni zahtjev, na temelju procjene rizika i šifriranja (enkripcije)

3. Pravo na brisanje

Podaci o licima ne mogu se zadržati na neodređeno vrijeme. GDPR zahtijeva od organizacija da potpuno izbrišu podatke iz svih spremišta kada:

Subjekti podataka ukinu svoj pristanak

Partnerska organizacija traži brisanje podataka, ili

Usluga ili ugovor prestaju

Međutim, važno je napomenuti da lica ne uživaju u apsolutnom pravu da brišu svoje podatke u svim situacijama. Ako postoje zakonski razlozi - navedeni u propisima - organizacija može zadržati i obrađivati lične podatke. Međutim, takvih iznimaka je malo.

4. Smanjenje rizika i dubinska analiza

Organizacije moraju procijeniti rizike za privatnost i sigurnost te pokazati da ih ublažavaju. To zahtijeva:

Provesti potpunu procjenu rizika

Provesti mjere za osiguranje i dokazivanje usklađenosti sa GDPR

Proaktivno pomagati klijentima, trećim stranama i partnerima da se pridržavaju regulative

Dokazati potpunu kontrolu podataka

5. Obavijest o kršenju pravila

Kada sigurnosna povreda ugrožava prava i privatnost subjekta ili podataka lica, organizacije moraju:

Javiti nadležnim tijelima u roku od 72 sata

Opisati posljedice kršenja

Komunicirati povredu izravno svim pogođenim subjektima

Šest koraka do usklađenosti sa GDPR

Za pripremu za GDPR, organizacije mogu koristiti ovaj proces od šest koraka:

1. Razumjeti zakon

Upoznajte svoje obaveze prema GDPR koje se odnose na prikupljanje, obradu i pohranu podataka, uključujući mnoge posebne kategorije zakonodavstva.

2. Izraditi mapu puta za proces uskladjenosti sa regulativom

Obavite analizu podataka i dokumentirajte sve - istraživanja, nalaz, odluke, radnje i rizike za podatke.

3. Znati koji su podaci regulirani

Prvo, odredite jesu li podaci pod posebnom kategorijom GDPR. Zatim klasificirajte ko ima pristup različitim vrstama podataka, ko dijeli podatke i koje aplikacije obrađuju te podatke.

4. Započnite s kritičnim podacima i postupcima

Procijenite rizike za sve privatne podatke i pregledajte pravila i postupke. Primijenite sigurnosne mjere na podatke koji sadrže osnovne vrijednosti, a zatim ih proširite na sigurnosne kopije i druge spremišta.

5. Procijeniti i dokumentirati druge rizike

Istražite sve druge rizike za podatke koji nisu uključeni u prethodne procjene.

6. Pregledajte i ponovite

Ponovite korake od četiri do šest, i po potrebi prilagodite nalaze.

Za organizacije civilnog društva GDPR pruža dobru priliku za nadogradnju sigurnosnih kapaciteta kako bi udovoljile zahtjevima propisa i poboljšale ukupnu sigurnost u odnosu na povjerljivost i privatnost podataka.

Okružite se ekspertima

Sprovesti sve u skladu sa GDPR nije jednostavno. Stoga preporučujemo da se okružite adekvatnim pravnim i tehničkim timom koji će vam pomoći napraviti adekvatne pravilnike. Ukoliko Vam je potrebna pomoć u pronalasku takvih stručnjaka, Diaspora Invest vas poziva da im se obratite kako bi Vam preporučili provjerene kontakte.

Izvor: Diaspora Invest