10 izazova implementacije opšte uredbe o zaštiti podataka o ličnosti (GDPR)

Ove nedelje održan je 10. Međunarodni program Sedona konferencije, neprofitnog pravnog istraživačkog i obrazovnog instituta. Tema skupa bila je prekogranično prenošenje podataka i zaštita podataka - sa fokusom na nedavni početak implementacije Opšte uredbe EU o zaštiti podataka o ličnosti (GDPR).

108
10 izazova implementacije opšte uredbe o zaštiti podataka o ličnosti (GDPR)

U jednoj od panel diskusija na ovom skupu učestvovale su advokatske kuće, kao i predstavnici globalnih regulatora podataka koji su razgovarali o izazovima implementacije, a koji su se mogli primetiti već u prvih nekoliko nedelja od kada je GDPR stupio na snagu.

Ovih deset pitanja predstavljeno je kao deset najvećih izazova sa kojima se organizacije susreću u primeni GDPR-a:

  1. Upravljanje i odgovornost: Nove odredbe u GDPR-u su stvorile potrebu za fokusom na zaštiti podataka tokom celog procesa životnog ciklusa.
  2. Poboljšana prava nad subjektima: Dodatna prava koja se pružaju subjektima podataka pokazuju da predstavljaju veliki izazov za kontrolore, posebno u kontekstu prekograničnih prenosa podataka gde saglasnost više nije opravdana osnova za oslanjanje u mnogim slučajevima.
  3. Zahtevi za transparentnošću i informacijama: Nivo informacija koje se trebaju pružiti subjektima podataka je značajan, a kontrolori su zabrinuti zbog rizika od pogrešnog tumačenja ovoga.
  4. Prenosivost podataka i zahtevi za pristup subjekata: Opterećenje kontrolora značajno je povećano i postavlja se pitanje kako se prenosivost podataka i prava pristupa preklapaju sa konceptom privilegija, poverljivosti i intelektualne svojine. Potencijalni trošak SAR-a takođe izaziva zabrinutost.
  5. Evidencija o aktivnostima prerade ličnih podataka: Zahtev za održavanjem detaljne evidencije o procesima obrade prema članu 30 je poseban teret. Neki šabloni koje dele organi za zaštitu podataka su previše jednostavni.
  6. Primena na organizacije koje nisu članice EU: Iako postoje neke opšte smernice u vezi sa članom 3 (2) u recitalima GDPR-a i sudskoj praksi, organizacije koje nisu članice EU žele detaljnija uputstava o teritorijalnim granicama GDPR-a. U graničnim slučajevima, neke kompanije zauzimaju stav da nedostupnost usluga evropskim potrošačima,  može dovesti do neadekvatnog primenjivanja sankcija koje su predviđene implementacijom GDPR-a.
  7. Procene uticaja na zaštitu podataka: Obavezne procene uticaja predstavljaju novi izazov i ostaje pitanja kada je su ove procene potrebne. Na primer, neki kontrolori mogu da se uključe u obradu ličnih podataka u velikom obimu, ali kao  pomoćnu svrhu ili funkciju. Obiman proces procene zahteva velike troškove, pa ovo može izuzetno teško za manje kompanije.
  8. Obaveštenje o kršenju privatnosti podataka: Postoji izuzetna zabrinutost oko toga da će oprezni kontrolori napraviti „poplavu obaveštenja“ DPA-ima. Ovo će se verovatno nastaviti sve dok regulatori ne daju više smernica. Vlasti se plaše i da bi ovaj talas prekomernog obaveštavanja mogao da porazi ciljeve politike uvođenja zahteva za obaveštenjem o kršenju obaveza; kontrolori su podjednako zabrinuti i da će obaveštenja dovesti do više sudskih sporova.
  9. Prekogranična primena: Postavilo se i pitanje kako treba da se primenjuju članovi 48. i 49. Članovi 48. i 49. treba da se primenjuju zajedno, a posebno kada postoji ugovora o uzajamnoj pravnoj pomoći (MLAT), koja može značiti da organizacija ne može da se osloni na odstupanja u članu 49. za prenos podataka u treće zemlje. Naime, u prvom delu člana 48. stoji se da se transferi „mogu priznati ili izvršiti na bilo koji način ako se zasniva na međunarodnom sporazumu”. Međutim, kasnije rečenice u članu sugerišu manje restriktivno tumačenje napominjući da je „bez šteta na druge osnove za prebacivanje u skladu s ovim poglavljem” (tj. ne zabranjuje prenos podataka koji se mogu ostvariti drugim odredbama GDPR-a)
  10. Izvršenje nad entitetima koji nisu članice EU: Pored sumnje u obim eksteritorijalne primene, ostaje nejasno da li će i kako DPA-e moći da izdaje naloge ili izvršava administrativne kazne za neusaglašene entitete koji nemaju ustanove ili imovinu u EU.
10 izazova implementacije opšte uredbe o zaštiti podataka o ličnosti (GDPR)
5 (100%) 1 ocena/e

NAPIŠI KOMENTAR

Please enter your comment!
Please enter your name here

three + thirteen =