ŠTA JE GDPR I KAKO “IGRATI PO PRAVILIMA” U SRBIJI - ContraTeam

gdpr pravila srbija

ŠTA JE GDPR I KAKO “IGRATI PO PRAVILIMA” U SRBIJI

Objavljeno: jul 16, 2018 10:20 am U kategoriji:

Sigurno ste primetili da se u prethodnom periodu u svim medijima mnogo pominjao termin “GDPR”, kao i drakonske kazne koje sleduju onima koji ne budu „igrali po pravilima“ istog. Takođe ste se verovatno zapitali i kako će ova uredba uticati na srpske firme i šta je potrebno uraditi da bi uskladile politike privatnosti sa ovim zakonom. Nakon nešto više od mesec dana od početka primene GDPR-a postoje mnoge nedoumice koje ćemo u ovom tekstu pokušati da otklonimo.

Naši lični podaci se nalaze širom interneta, na brojnim društvenim mrežama koje većina nas koristi, u bazama mobilnih operatera, banaka i drugih preduzeća kojima je posao njihovo skladištenje i obrada. Međutim, problem predstavlja što se tim podacima može lako pristupiti i što je zaštita tih podataka (uglavnom) na niskom nivou. Upravo je iz tih razloga Evropska unija donela ovu zakonsku regulativu koja će bitno promeniti način poslovanja subjekata koji se bave prikupljanjem i obradom ličnih podataka.

Opšta uredba o zaštiti podataka o ličnosti, odnosno GDPR (General Data Protection Regulation) usvojena je još 2016. godine od strane Evropskog parlamenta i Saveta EU, ali je usled neophodnog perioda adaptacije počela sa primenom 25. maja 2018. godine. Uredba od pomenutog datuma ima obaveznu primenu u svim državama, članicama Evropske unije, ali se isto tako primenjuje i na subjekte u svim drugim zemljama koje na bilo koji način posluju sa EU i koje u svom internet poslovanju na bilo koji način prikupljaju podatke građana EU. Suština primene ovog zakona je u snažnijoj zaštiti podataka o ličnosti koji su u današnje vreme sve češće predmet zloupotrebe na internetu.

Bitno je napomenuti da danas maltene ne postoji web stranica koja na neki način ne prikuplja podatke o svojim korisnicima (cookies, Google analytics, Facebook pixel i sl.), pa je ova tema bitna kako za brojne kompanije širom sveta, tako i za one u Srbiji.

Razlozi zbog kojih se prikupljaju podaci mogu biti različiti, počevši od poboljšanja onlajn prodaje, unapređenja korisničkog iskustva, poslovanja kompanije, povezivanja sa društvenim mrežama i mnogi drugi.

Takođe razlikujemo i dve vrste podataka koji se prikupljaju, a to su: lični podaci (ime, prezime, broj telefona, adresa stanovanja, email i dr.) i podaci o korišćenju sajta tj. kolačići (eng. cookies) koji predstavljaju skupove jednostavnih datoteka koje se čuvaju u web pregledaču (browseru) korisnika i koji ukazuju na njegove interakcije sa sajtom (poseta određenim stranicama, vreme zadržavanja na njima, poseta sporednim linkovima i sl.). Prihvatanjem politike korišćenja određenog sajta posetilac daje saglasnost za prikupljanje ove vrste podataka.

Dve suštinske stvari po pitanju GDPR-a su “uplašile” firme u Srbiji. Prva se odnosi na ogromne novčane kazne  koje su propisane u slučaju nepoštovanja ove uredbe, a druga je način na koji bi trebalo uskladiti politiku privatnosti sa GDPR-om, odnosno ispuniti sve uslove propisane uredbom.

Pošto već i vrapci na granama znaju koliki je iznos pomenutih kazni (20 miliona € ili 4% godišnjeg prihoda firme), ono na šta bi ovde prevashodno stavili akcenat je da postoji vrlo izvesna pretpostavka da će u Srbiji biti znatno manji novčani penali. Ovo pak ne znači da treba bežati od odgovnornosti, već da bi trebalo uraditi sve što je moguće kako ne bi došlo do kaznenih mera.

Druga bitna stvar je kako da uskladimo politiku privatnosti sa GDPR-om. Za početak treba reći da je GDPR zakon koji je donet u okviru Evropske unije i da u Srbiji još nije donet zakon koji će biti paralela GDPR-u (u nekim medijima se pominje da bi to moglo biti krajem godine).

Firme koje koriste lične podatke u poslovne svrhe moraju staviti u fokus kako da od svojih korisnika dobiju pristanak za korišćenje njihovih podataka i da im objasne u koje svrhe će te podatke koristiti.

Evo i nekoliko stavki koje bi svakako MORALI da navedete u politici privatnosti ukoliko želite da je prilagodite GDPR-u:

  • Koje lične podatke prikupljate i u koju svrhu ih koristite,
  • Da li delite podatke sa trećim licima i, ukoliko da, u koju svrhu,
  • Gde se prikupljeni podaci čuvaju i koliko dugo,
  • Omogućavanje korisniku da u svakom trenutku može da obriše svoje podatke kao i da nakon toga bude zaboravljen tj. izbrisan iz baze podataka.

Jedna od uredbi GDPR-a kaže da će određene kompanije (koje obrađuju veliku količinu podataka) morati da imaju spoljašnjeg saradnika na teritoriji Evropske unije (Data Protection Officer) koji će kontrolisati tretiranje podataka. Dakle, proces tretiranja i obrade podataka neće više biti samo u okviru države, pa se postavlja pitanje koliko je realno da firme u Srbiji ispune ovaj zahtev s obzirom da to za njih predstavlja dodatni (i ne tako jeftin) izdatak.

Daćemo jedan vrlo jednostavan primer iz kojeg bi mogli da izvedemo i zaključak ovog teksta, a koji je u svom predavanju o GDPR-u “Domaća preduzeća i primena GDPR-a” naveo prof. Dr Milan Kukrika, predsednik Evropskog instituta za zaštitu ličnih podataka:

Recimo da planirate da posetite Vašu tetku u Nemačkoj i na to putovanje ste krenuli automobilom. U Nemačkoj se sigurno primenjuje malo drugačiji zakon o saobraćaju u odnosu na Srbiju, međutim osnovna pravila su ista (saobraćajni znaci, vožnja desnom stranom i sl.). Dakle kada bi povukli paralelu sa zakonom o saobraćaju i GDPR-om dolazimo do sledećeg zaključka. Ukoliko u svojoj politici privatnosti ispoštujete osnovna pravila ovog zakona (neka od njih su navedena u prethodnom pasusu), na dobrom ste putu da budete usaglašeni sa GDPR-om u meri u kojoj je to u Srbiji moguće.

PODELITE