GDPR – Zaštita podataka o ličnosti i privatnosti u EU

General Data Protection Regulation

GDPR odnosno Opšta uredba o zaštiti podataka o ličnosti usvojena je u aprilu 2016. god  u EU, a počeće da se primenjuje 2018. god u maju. Koje promene ona donosi korisnicima i upravljačima i obrađivačima podataka?

Evropska unija je usvojila novu uredbu u pogledu zaštite podataka i privatnosti korisnika na internetu, a čiji je cilj da uredi obradu i korišćenje podataka internet korisnika od strane kompanija i drugih entiteta.

Šta podrazumevamo pod ličnim podacima?

Ime, prezime, pol, uzrast, područje, online ID,  informacije o zdravlju, o potrošnji, kulturni profil, itd. Lični podaci jesu oni podaci koji se mogu dovesti u vezu sa određenom osobom i saopštiti nam unikatne informacije o toj osobi.

Sa razvojem interneta i stvaranjem digitalnih baza podataka, kao i celokupne digitalne ekonomije, ovo pitanje je podignuto na viši nivo s obzirom da je i nivo ugroženosti podataka rastao paralelno sa digitalizacijom. U poslednjih nekoliko godina, svedoci smo brojnih napada na banke, državne institucije, organizacije itd. koji raspolažu ogromnom količinom podataka, kako o fizičkim tako i pravnim licima. Najpoznatiji skorašnji slučaj u Sjedinjenim Američkim Državama jeste napada na agenciju za kreditni rejting Equifax. Direktan propust u ovom slučaju jeste od strana same kompanije koja nije implementirala proces zaštite svoga servera, kao i određeni proces obrade podataka koji bi omogućio da se isti zaštite od curenja. Kod nas , najpoznatiji slučaj jeste curenje podataka preko 5 miliona građana Agencije za privatizaciju 2014 godine kao i baze podataka političke stranke o građanima i njihovim glasačkim navikama. Pored imena i prezimena, ovi podaci su takođe sadržali i  druge podatke poput JMBG, mobilnih telefona, fiksnih telefona, datum rodjenja itd. Dovoljno je imati pristup samo JMBG pa da se napravi novčana šteta kao i ugrožavanje bezbednosti lica. Naime, kod nas posedovanje JMBG je mnogima omogućilo da kroz izradu falsifikovanih ličnih karti registruju privredna društva na druga lica koja bi koristila za novčane špekulacije, da bi zatim napravili ogromno dugovanje za koje su bile odgovorne osobe na osnovu čijeg je JMBG registrovano. U pogledu ovog problema, jedan od vidljivih jeste i to što Agencija za privredne registre dozvoljava svakom da sazna JMBG vlasnika privrednog društva ili udruženja, čime ugrožava privatnost i podatke osnivača i ovlašćenih lica, zastupnika.

Uredba uređuje da kompanije i drugi entiteti koji prikupljaju  podatke, da moraju da što jednostavnije, običnim jezikom,  objasne šta prikupljaju od podataka o korisniku, u koju svrhu kao i koliko dugo će isti podaci biti zadržani kao i ko će imati pristup istima. Na što jasniji i vidljiv način mora se predstaviti da se prikupljaju podaci, kao i traženje saglasnosti za iste (npr. traka pri vrhu ili dnu sajta koja vas obaveštava o prikupljanju ,,kolačića” koje sadrže odrešenje informacije o vama i vašoj poseti sajtu). Takođe, uređuje se i mogućnost da građani EU, imaju pristup svojim podacima, odnosno podacima koji se o njima prikupljaju. Ukoliko je određena kompanija ili institucija napadnuta, a čiji je rezultat gubitak ili krađa podataka, ista je dužna da da obaveštenje o istom što je ranije moguće jer u suprotnom snosi kako materijalnu štetu tako i kaznu za neblagovremeno informisanje od strane EU. Svaki građanin, ovom uredbom dobija i mogućnost da traži da se dostupni podaci u bazama o njemu izbrišu, ukoliko se time ne ugrožava sloboda govora i izražavanja. U bankarskom sektoru, ukoliko banka koristi aplikaciju za automatsko profilisanje na osnovu kojih se odobravaju krediti, dužna je da informiše klijenta o tome da se to radi kompjuterskim putem, kao i da omogući klijentu da spori određenu odluku, i da ako se radi o odbijanju aplikacije za kredit to bude urađeno ručno umesto automatski. Iako smo za primer uzeli bankarski sektor, ovo pravilo važi u svim sferama gde se sklapaju pravno obavezujući ugovori. Građani imaju takođe pravo da izaberu da ne budu u bazi marketinških agencija i ne budu pozivani od istih. (Ovo uključuje pozive na promocije uređaja, proizvoda u vidu besplatnih večera, kao i pozive za sprovođenje anketa)

U pogledu određenih podataka, poput, rase pola i političkih opredeljenja, stavlja se poseban naglasak kao i neophodnost dodatne zaštite istih. Svi podaci o građanima EU koji se iznose van EU, treba da budu procesuirani tao da se omogući najveća zaštita istih.

Za proizvođače hardvera i softvera, uređuje sa da zaštita podataka treba da bude deo dizajna proizvoda prilikom izrade.  Ako kompanija obrađuje podatke za drugu kompaniju, potrebno je da njihov ugovor o saradnji sadrži deo o odgovornosti za podatke kao i za koje podatke svaki od partnera odgovara.

Za određene podatke uredba uređuje potrebu za uvođenje Kontrolora zaštite podataka kao radnog mesta u kompanijama gde postoji potreba za obradom podataka. Ovo se naročito donosi na marketinški sektor i zdravsteni sektor, gde je prisustvo istog obavezno.  (Data protection officer).

Mala i srednja preduzeća moraju da zadrže sve podatke čija je obrada regularna, podatke koji ugrožavaju prava i slobode građana, naročito osetljivih podataka i podataka u vezi sa krivičnim profilima.

Zapisi o podacima moraju da sadrže: Ime i kontakt preduzeća, Razloge za obradu podataka, Opis kategorije podataka koji se prikupljaju i od kojih lica se prikupljaju, Kategorija organizacije, odnosno deo sektora kojem pripada, a koja dobija podatke, Podatke o organizaciji ili kompaniji kojoj se podaci šalju, Vremenski limit za posedovanje podataka ako je moguće, Opis preduzetih bezbednosnih mera prilikom obrade podataka.

Najveći rizici u pogledu zaštite podataka leže sa dolaskom novih tehnologija koje nisu dovoljno razvijene,zatim sa automatskom obradom i evaluacijom podataka, CCTV kamere i drugi načini za nadzor ogromnih javnih područja, obrada ogromnih količina osetljivih podataka poput biometrijskih podataka.

U pogledu omogućavanja sprovođenja uredbe stoji sijaset različitih mera. Nadležnost za nadzor nad sprovođenjem pravila uredbe imaju poverenici u svakoj od pojedinačnih zemalja članica. Oni mogu da izdaju upozorenje, zatim ukidanje prava na prikupljanje, suspenziju na određeni period ili novčanu kaznu do 20 miliona evra ili 4% godišnjeg prihoda.

GDPR predstavlja korak napred u pogledu zaštite privatnosti podataka u periodu digitalizacije gde se sve više podataka digitalno obrađuje  a koji su  izloženi napadima od strane mnogih pojedinaca i organizacija sa ciljem korišćenja istih u razne svrhe. Ostaje da vidimo efekat ove uredbe, ali je nesumnjivo da će uticati na mnoge i van EU da prilagode svoj pristup obradi i zaštiti podataka.