Verovatno ste poslednjih nedelja bili zatrpavani mejlovima o obaveštenjima koji se tiču zaštite podataka, pogotovo ako ste ostavili podatke na sajtovima poput ali-express-a. Ako ipak ne znate o čemu se radi, mi ćemo danas pisati o novoj regulativi o zaštiti podataka. U pitanju je Opšta regulativa o zaštiti podataka o ličnosti, ili General Data Protection Regulation (skraćeno: GDPR). Ova regulativa predstavlja novi pravni okvir koji propisuje način korišćenja podataka o ličnosti građana EU. Regulativa je stupila na snagu 25.05.2018. godine i predstavlja zamenu Direktive o zaštiti podataka iz 1995. godine.
Novi zakonski okvir koji je stupio na snagu ne obuhvata zaštitu podataka kao što su adresa građana, broj računa, šifre, već i zaštitu podataka koja se odnosi na društvene mreže i mobilne aplikacije. To bi u principu značilo da će se ovaj zakon primenjivati i na sve divelopere aplikacija, koji kroz aplikacije uzimaju neki vid podataka od korisnika.
Slučaj kod mobilnih aplikacija je što one često traže pristup porukama, kontaktima ili fotografijama korisnika, a to je više nego dovoljan razlog za primenu nove regulative. Nepoštovanje regulative kako se najavljuje biće kažnjavano velikim novčanim kaznama koje će ići i do 20 miliona evra. Postavlja se pitanje na šta se odnosi prikupljanje podataka.
Prikupljanje podataka korisnika pretpostavlja osim malo čas napomenutih pristupa porukama, kontaktima i fotografijama koje koriste mobilne aplikacije, i prikupljanje e-mail adresa, imena i prezimena korisnika, datum rođenja, JMBG i mnoge druge podatke, kao što je tip telefona koji korisnik koristi, broj poseta sajtu, dolazak ili odlazak sa određene društvene mreže i slično. I bez obzira da li kompanija čuva te podatke ili ih privremeno koristi, na nju će se takođe primenjivati GDPR.
Načela GDPR-a
Prava građana
Ova regulativa propisuje i to da je jedno od osnovnih prava građana uvid u podatke koje kompanije imaju o njima, to bi značilo da je svaka kompanija dužna da obavesti korisnike o podacima koje ima o njima. Isto tako korisnici imaju pravo da izmene te podatke i imaju pravo na obaveštenja kada kompanija koristi njihove podatke u neke druge svrhe. Suštinski ovo znači, da šta god kompanija radi sa podacima, bilo da ih čuva, briše, menja ili prenosi, koristi za neke druge svrhe mora obavestiti korisnika o tome.
Ono što je problematično je što u Srbiji zakon koji postoji o zaštiti podataka ne prati jasno razvoj informacionih tehnologija i negde se pretpostavlja da će tako biti i sa usklađivanjem sa GDPR-om, iako je najavljeno da će se u maju mesecu 2018. godine rešiti i taj problem.
Imenovanje lica nadležnog za zaštitu podataka
Jedno od bitnih načela novog zakonskog okvira je i imenovanje lica koja će se biti nadležno za zaštitu podataka. Ovo se pogotovo odnosi na sve veće kompanije koje koriste veći broj podataka korisnika. Imenovajem osoba koja će se se baviti samo zaštitom podataka podiže značaj ovog zakona na viši nivo, jer se onda eskpertnost usmerava ka jednom jasnom cilju.
Organizacije nadležne za zaštitu podataka
Isto tako pretpostavlja se i postojanje organizacije ili na teritoriji EU ili lokalni organ vlasti koji će redovno stupati u kontakt sa EU, a u cilju zaštite slobode i prava građana. Svako korišćenje podataka korisnika će zahtevati vođenje evidencije o tome šta se koristi, kada se koristi i u koje svrhe. Naravno, korisnici bi trebalo takođe da budu obavešteni na šta pristaju kada ostavljaju svoje podatke i da u skladu sa tim preuzimaju određeni nivo odgovornosti.
Instrumenti i tehnike zaštite podataka
Kompanije koje čuvaju veliki broj podataka prema GDPR-u treba da nabave posebne instrumente, opremu i mreže, kao i stručnjake koji će znati da koriste ta sredstva, čime se naglašava da je zaštita podataka primarnija u odnosu na poslovanje. Osim toga, ovim se dalje potencira pravilo o bezbednosti podataka, gde je kompanija primorana da vrši posebne enkripcije, bekapove (backup), tačnije svakodnevno kopiranje i čuvanje podataka korisnika, jer u doba novih tehnologija vrlo je moguće da podaci budu hakovani i iskorišćeni u druge svrhe.
Obeveštenje o narušenoj bezbednosti
Isto tako, ako i dođe do ovog problema, da podaci budu hakovani, ukradeni ili kompanija bude sprečena da na bilo koji način sačuva svoje podatke, kompanija je dužna da obavesti nadležni organ u EU o problemu, kao i lica čiji su podaci ugroženi.
Ko rukovodi podacima, a ko ih obrađuje
Pojavom nove zakonske regulative, ispituju se još neke uloge, poput onih ko obrađuje podatke, a ko rukuje podacima. Naime, mnogo veću će odgovornost imati ona osoba koja rukuje podacima, jer se podrazumeva da su mu podaci potrebni da bi ostvario ondređeni cilj kako bi kompanija funkcionisala.
Međutim, za razliku od ove uloge, obrađivači informacija su one osobe ili kompanije koje obrađuju ili skladište informacije za nekoga. Njihova odgovornost je zakonski manja u odnosu na odgovornost rukovodioca, ali i dalje postoji. Ovo sve znači da je potrebno uskladiti posebne zakone na lokalnom i državnom nivou sa promenama koje su propisane u ovoj regulativi.
Potrebno je podsticati transparentnost činjenica u kompaniji, ali i zaštitu podataka korisnika izvan kompanije. Potrebno je takođe izraditi posebne strategije koje će uključivati tipove informacija koje se prikupljaju od korisnika, stepen korišćenja informacija, kao i stepen rizika u slučaju probijanja zaštite i o tome moraju biti obavešteni i korisnici.
Korisnici imaju pravo na kopiju u papirnoj ili elektronskoj formi o podacima koji su ostavili kompaniji, jer se time podrazumeva na šta su pristali i koje podatke daju javno. Isto tako, kompanija ne sme da ima skrivene interese u pogledu prikupljanja podataka, ona jasno i praktično mora obrazložiti zašto traži podatke i sa kojim ciljem, to što se traži od korisnika mora biti jasno formulisano, razumljivo, bez strategija zbunjivanja.
Ostaje nam da vidimo kako će čitava priča biti regulisana u Republici Srbiji i kako će se manifestovati na kompanije u narednom periodu.