Zaštita podataka o ličnosti - GDPR

Zaštita podataka o ličnosti – GDPR postala je bezbednosni imperativ čemu je doprineo Zakon o zaštiti podataka o ličnosti („Sl. glasnik RS“, br. 87/2018) i novi pravni okvir Evropske unije, a to je GDPR uredba (General Data Protection Regulation) koja je počela sa primenom od 25. maja 2018. godine i obavezujuća je za zemlje članice Evropske Unije, ali i za kompanije van EU koja posluju sa zemljama članicama.

Ono što je ubrzalo donošenje ovakve uredbe jeste podatak da se preko 80% bezbednosnih incidenata u kojima dođe do gubitka podataka dogodi zbog nemara, neznanja i nedostatka bezbednosne kulture zaposlenih. Nastalu štetu je moguće sprečiti adekvatnom i stalnom edukacijom kao i drugim proceduralno – preventivnim merama, što je često i korak koji većina preduzeća i organizacija previdi ili preskoči.

Šta donose Zakon o zaštiti podataka o ličnosti i GDPR uredba?

Zakon o zaštiti podataka o ličnosti i Uredba Evropske unije o zaštiti podataka o ličnosti – GDPR, predstavljaju novi balans koji je dobio svoj regulatorni smisao i neophodno je ukazati da ova regulativa stvara potrebu za revizijom poslovnih modela i strategija kod mnogih evropskih i vanevropskih kompanija koje nude svoje usluge i robu u EU. Regulatorne promene koje donosi GDPR Uredba o zaštiti podataka o ličnosti odnose se na promenu tradicionalnih bezbednosnih pristupa i pravnih instituta, ali i na uvođenje novih poslovnih pravila i unapređene bezbednosne strategije.

Jedna od kontroverznijih činjenica vezanih za GDPR jeste da svaki subjekt koji posluje ili ima registrovano prebivalište na teritoriji Evropske unije podleže ovoj zakonskoj regulativi. U praksi, to znači da svako ko je u dodiru sa korisničkim informacijama (od e-mail adrese do podataka o kreditnim karticama) mora da se prilagodi odredbama GDPR-a. Ono što je novina u ovoj regulativi jeste da korisnik povraća pravo na sopstvene informacije, i to kroz mogućnost da može tražiti brisanje svojih podataka sa svih digitalnih servisa kompanije ili institucije kojima su podaci povereni na čuvanje.

Shodno zakonskoj regulativi pravno lice je dužno da pribavi pismenu saglasnost fizičkog lica za obradu i rukovanje njegovim ličnim podacima u koje spada: lično ime, jedinstveni matični broj građana JMBG, broj pasoša ili lične karte, email adresa, bankovni račun, adresa i drugo obeležje fizičkog, psihološkog, verskog, ekonomskog, kulturnog ili društvenog identiteta.

U slučaju da dođe do kompromitovanja ili potpunog gubitka ličnih podataka klijenata i ustanovi se direktna odgovornost preduzeća sankcije za propuste su izuzetno visoke i kreću se i do 4% godišnjeg prometa. Samim tim dalje poslovanje može biti dovedeno u pitanje, jer retko koji budžet malog ili srednjeg preduzeća može da preživi ovakav incident.

Zakon o zaštiti podataka o ličnosti – GDPR uredba se prvenstveno odnosi na:

• Čuvanje i skladištenje korisničkih podataka i informacija o licima;
• Korišćenje ličnih uređaja (mobilnih telefona, eksternih memorija, USB stikova, profila socijalnih mreža i slično) na poslovnoj mreži;
• Poslovnu korespodenciju (e-mail komunikacija prema proverenim i neproverenim kontaktima);
• Uvođenje bezbednosnih procedura i protokola koji će regulisati način rukovanja i obrade podataka korisnika unutar kompanije;
• Konstantnu edukaciju zaposlenih na temu sajber rizika, sajber bezbednosti, čuvanja podataka i tekućih regulativa;
• Unapređenje i internu promociju bezbednosne kulture kao najbolje preventivne mere.

Naše usluge uključuju:

• Revizije i procene usklađenosti i zakonske usaglašenosti;
• Savetodavne i konsultantske usluge za implementaciju ZZPL / GDPR uredbe;
• GAP analiza i mapiranje podataka o ličnosti
• Procena uticaja na zaštitu podataka o ličnosti – DPIA (Data Protection Impact Assessment)
• Lice za zaštitu podataka – Data Protection Officer (DPO);
• Implementacija organizaciono – tehničkih mera i procedura za zaštitu podataka;
• Upravljanje incidentima i povredama bezbednosne politike;
• Usluge brzog reagovanja, izveštaja o šteti i sanacije nastalih posledica;
• Obuke, edukacije i testiranje zaposlenih u domenu ZZPL / GDPR;
• Obezbeđenje softvera za praćenje usklađenosti sa GDPR uredbom;
• Industrijsko-poslovni kodeksi i najbolje prakse.

Procena uticaja obrade na zaštitu podataka o ličnosti 

Procena uticaja na zaštitu podataka o ličnosti ili popularnije DPIA (Data Protection Impact Assessment) predstavlja prvenstveno proces pomoći i podrške u identifikaciji podataka o ličnosti koji se obrađuju od strane Rukovaoca za koje on nije siguran u kojoj meri ga isti izlažu riziku i kakve konsekvence mogu proizvesti po lica subjekte obrade ali i sopstveno poslovanje koje se mora uskladiti sa zakonskom regulativom.  Nakon što je utvrđeno koje podatke o ličnosti rukovalac obrađuje ili planira da obrađuje poželjno je, a u nekim situacijama i obavezno, sprovesti procenu uticaja obrade podataka na zaštitu podataka o ličnosti.

Procena uticaja na zaštitu podataka o ličnosti obavezno se vrši u slučaju:

1. sistematske i sveobuhvatne procene stanja i osobina fizičkog lica, koja se vrši pomoću automatizovane obrade podataka o ličnosti, uključujući i profilisanje, a na osnovu koje se donose odluke od značaja za pravni položaj pojedinca ili na sličan način značajno utiču na njega;
2. obrade posebnih vrsta podataka o ličnosti ili podataka o ličnosti u vezi sa krivičnim presudama i kažnjivim delima u velikom obimu;
3. sistematskog nadzora nad javno dostupnim površinama u velikoj meri;
4. obrade podataka o ličnosti dece i maloletnika u svrhu profilisanja, automatizovanog odlučivanja ili u marketinške svrhe;
5. upotrebe novih tehnologija ili tehnoloških rešenja za obradu podataka o ličnosti ili sa mogućnošću obrade podataka o ličnosti koji služe za analizu ili predviđanje ekonomske situacije, zdravlja, sklonosti ili interesovanja, pouzdanosti ili ponašanja, lokacije ili kretanja fizičkih lica;
6. obrade podataka o ličnosti na način koji uključuje praćenje lokacije ili ponašanja pojedinca u slučaju sistemske obrade podataka o komunikaciji nastalih upotrebom telefona, interneta ili drugih sredstava komunikacije;
7. obrade biometrijskih podataka u cilju jedinstvene identifikacije zaposlenih od strane poslodavca i u drugim slučajevima obrade podataka o ličnosti zaposlenih od strane poslodavca upotrebom aplikacija ili sistema za praćenje njihovog rada, kretanja, komunikacije i slično;
8. obrade podataka o ličnosti ukrštanjem, povezivanjem ili proverom podudarnosti iz više izvora;
9. obrade posebnih vrsta podataka o ličnosti u svrhu profilisanja ili automatizovanog odlučivanja.

Ovo svakako ne znači da rukovaoci koji se ne prepoznaju u nekom od navedenih slučajeva ne treba da rade procenu, naprotiv. Najbolja praksa ukazuje da se procena uticaja radnji obrade vrši kontinuirano za svaku evidenciju ili projekat koji uključuje obradu podataka jer se na taj način obezbeđuje revidiranje prilikom svake promene kod načina obrade podatka čime se vrši značajna minimizacija rizika i predupređuju sve moguće neusaglašenosti.

Procena uticaja radnji obrade na zaštitu podataka o ličnosti praktično predstavlja višedimenzionalno sagledavanje procesa obrade podataka, uzroka za obradu, rizika koji mogu da nastanu po lica čiji se podaci obrađuju i mera koje su preduzete ili koje će se preduzeti da bi se ti rizici umanjili. Jedan od ciljeva sprovođenja procene je da rukovalac može da izvrši balansiranje između svojih interesa za obradom podataka i interesa privatnosti lica čiji se podaci obrađuju. Rukovalac može lako prilikom mapiranja podataka utvrditi da postoji legitimni interes za određenu obradu ali tek sagledavanjem rizika koji takva obrada sa sobom nosi može da sagleda da li je interes rukovaoca izbalansiran u odnosu na interes lica čiji se podaci obrađuju. Što je veći rizik za lice to je potreban „ozbiljniji“ legitimni interes rukovaoca. U suprotnom, rukovalac ne bi mogao da se pozove na legitimni interes kao pravni osnov obrade podataka.

Veoma je važno naglasiti da ne postoji obrada podataka koja sa sobom ne nosi nikakav rizik što je čest prvi izgovor kompanija koje kreću u projekat usklađivanja. Koja god metodologija procene rizika da se koristi rizik nikada se ne može kvantitativno predstavi nulom, odnosno ne može se utvrditi da rizik ne postoji. Nakon utvrđivanja rizika potrebno je odrediti adekvatne tehničke i organizacione mere kako bi se taj rizik sveo na najmanju moguću meru. Koje konkretne mere će biti primenjene zavisi od velikog broja faktora uključujući i finansijski, ali ono što je bitno kod njihovog određivanja jeste da one budu pogodne da rizik obrade smanje na prihvatljiv nivo.

Potreba za redovnim proveravanjem i preispitivanjem procene uticaja obrade podataka proizilazi i zbog brzog napretka i razvoja tehnologije usled čega određene tehničke mere zaštite podataka mogu brzo da postanu zastarele i neefikasne u odnosu na neke nove tehnologije. Rukovaoci bi takođe trebalo da obrate pažnju i na tehničke i organizacione mere koje primenjuju obrađivači koje su angažovali za obradu podataka. I naš lokalni zakon, kao i GDPR, predviđaju obavezu obrađivača da u određenoj meri pomažu rukovaocima prilikom procene uticaja obrade podataka.

Tek se uz mapu podataka i procenu uticaja obrade podataka može pristupiti regulisanju načina obrade podataka, utvrđivanju pravila ponašanja za lica koja dolaze u kontakt sa podacima o ličnosti kao i sačinjavanju adekvatnog obaveštenja za lica čiji se podaci obrađuju.

Ono što je bitno naglasiti jeste da se procena uticaja na zaštitu podataka o ličnosti sprovodi pre obrade koja može prouzrokovati visok rizik za prava i slobode fizičkih lica, odnosno pre započinjanja obrade što nažalost nije čest slučaj kod organizacija sa niskim nivoom bezbednosne kulture.

Naš stručni tim će Vam pružiti podršku ne samo u izradi, već i u usvajanju poslovnih kodeksa i prakse za upravljanje ličnim podacima, a takođe i u periodičnom testiranju otpornosti sistema na potencijalne pretnje i opasnosti.

Pripremite svoju organizaciju za promene koje donosi Zakon o zaštiti podataka o ličnosti i uredba GDPR čime izbegavate negativne konsekvence po sopstvenu bezbednost, imidž kompanije i uspeh poslovanja.

Za konsultacije i saradnju budite slobodni da nas kontaktirate.