- Sponzor članka -
U jednoj od panel diskusija na ovom skupu učestvovale su advokatske kuće, kao i predstavnici globalnih regulatora podataka koji su razgovarali o izazovima implementacije, a koji su se mogli primetiti već u prvih nekoliko nedelja od kada je GDPR stupio na snagu.
Ovih deset pitanja predstavljeno je kao deset najvećih izazova sa kojima se organizacije susreću u primeni GDPR-a:
- Upravljanje i odgovornost: Nove odredbe u GDPR-u su stvorile potrebu za fokusom na zaštiti podataka tokom celog procesa životnog ciklusa.
- Poboljšana prava nad subjektima: Dodatna prava koja se pružaju subjektima podataka pokazuju da predstavljaju veliki izazov za kontrolore, posebno u kontekstu prekograničnih prenosa podataka gde saglasnost više nije opravdana osnova za oslanjanje u mnogim slučajevima.
- Zahtevi za transparentnošću i informacijama: Nivo informacija koje se trebaju pružiti subjektima podataka je značajan, a kontrolori su zabrinuti zbog rizika od pogrešnog tumačenja ovoga.
- Prenosivost podataka i zahtevi za pristup subjekata: Opterećenje kontrolora značajno je povećano i postavlja se pitanje kako se prenosivost podataka i prava pristupa preklapaju sa konceptom privilegija, poverljivosti i intelektualne svojine. Potencijalni trošak SAR-a takođe izaziva zabrinutost.
- Evidencija o aktivnostima prerade ličnih podataka: Zahtev za održavanjem detaljne evidencije o procesima obrade prema članu 30 je poseban teret. Neki šabloni koje dele organi za zaštitu podataka su previše jednostavni.
- Primena na organizacije koje nisu članice EU: Iako postoje neke opšte smernice u vezi sa članom 3 (2) u recitalima GDPR-a i sudskoj praksi, organizacije koje nisu članice EU žele detaljnija uputstava o teritorijalnim granicama GDPR-a. U graničnim slučajevima, neke kompanije zauzimaju stav da nedostupnost usluga evropskim potrošačima, može dovesti do neadekvatnog primenjivanja sankcija koje su predviđene implementacijom GDPR-a.
- Procene uticaja na zaštitu podataka: Obavezne procene uticaja predstavljaju novi izazov i ostaje pitanja kada je su ove procene potrebne. Na primer, neki kontrolori mogu da se uključe u obradu ličnih podataka u velikom obimu, ali kao pomoćnu svrhu ili funkciju. Obiman proces procene zahteva velike troškove, pa ovo može izuzetno teško za manje kompanije.
- Obaveštenje o kršenju privatnosti podataka: Postoji izuzetna zabrinutost oko toga da će oprezni kontrolori napraviti „poplavu obaveštenja“ DPA-ima. Ovo će se verovatno nastaviti sve dok regulatori ne daju više smernica. Vlasti se plaše i da bi ovaj talas prekomernog obaveštavanja mogao da porazi ciljeve politike uvođenja zahteva za obaveštenjem o kršenju obaveza; kontrolori su podjednako zabrinuti i da će obaveštenja dovesti do više sudskih sporova.
- Prekogranična primena: Postavilo se i pitanje kako treba da se primenjuju članovi 48. i 49. Članovi 48. i 49. treba da se primenjuju zajedno, a posebno kada postoji ugovora o uzajamnoj pravnoj pomoći (MLAT), koja može značiti da organizacija ne može da se osloni na odstupanja u članu 49. za prenos podataka u treće zemlje. Naime, u prvom delu člana 48. stoji se da se transferi „mogu priznati ili izvršiti na bilo koji način ako se zasniva na međunarodnom sporazumu“. Međutim, kasnije rečenice u članu sugerišu manje restriktivno tumačenje napominjući da je „bez šteta na druge osnove za prebacivanje u skladu s ovim poglavljem“ (tj. ne zabranjuje prenos podataka koji se mogu ostvariti drugim odredbama GDPR-a)
- Izvršenje nad entitetima koji nisu članice EU: Pored sumnje u obim eksteritorijalne primene, ostaje nejasno da li će i kako DPA-e moći da izdaje naloge ili izvršava administrativne kazne za neusaglašene entitete koji nemaju ustanove ili imovinu u EU.
