ZAŠTO GDPR?
1. Zato što je to zakonska obaveza
GDPR je nedvosmisleno najkompleksniji pravni akt u oblasti zaštite privatnosti u svetu. Samim tim, naš Zakon o zaštiti podataka o ličnosti izveden iz GDPR-a takođe ima isti epitet. U našoj zemlji još uvek nema dovoljno svesti o važnosti zaštite podataka o ličnosti iako se vidi jedan osrednji trend rasta interesovanja domaćih kompanija da usklade svoje poslovanje sa Zakonom. U praksi primećujemo konfuziju i nerazumevanje uslova koje kompanija treba da ispuni u cilju harmonizacije svog poslovanja sa Zakonom. Kolizija sa drugim nacionalnim zakonima dodatno magli pogled na privatnost. Na tržištu su se pojavile brojne agencije i pojedinci koji nude tipske akte, pa na terenu srećemo jedan isti akt kako za kompaniju koja angažuje državljane Republike Srbije za rad u inostranstvu, tako i za kompaniju koja se bavi održavanjem i servisiranjem rashladnih uređaja. Da li zaista smatrate da jedan, doslovno isti akt, može ili treba da tretira problematiku podataka o ličnosti u ova dva primera na isti način? Ne!
Za većinu organizacija, definisanje politike privatnosti predstavlja fundamentalni korak u pravcu usklađivanja organizacije za Zakonom o zaštiti podataka o ličnosti. ZZPL naglašava da je rukovalac dužan da preduzme odgovarajuće tehničke, organizacione i kadrovske mere kako bi obezbedio da se obrada vrši u skladu sa zakonom i bio u mogućnosti da to predoči, uzimajući u obzir prirodu, obim, okolnosti i svrhu obrade, kao i verovatnoću nastupanja rizika i nivo rizika za prava i slobode fizičkih lica. Pomenute mere podrazumevaju primenu odgovarajućih internih akata rukovaoca o zaštiti podataka o ličnosti.
Interni akti su na primer Generalna politika privatnosti, Saglasnost za obradu podataka o ličnosti, Akt o bezbednosti IKT sistema, Politika skladištenja i roka čuvanja podataka o ličnosti, Ugovori i Sporazumi sa obrađivačima i/ili zajedničkim Rukovaocima, itd.
2. Zbog izbegavanja visokih novčanih kazni
Zakon o zaštiti podataka o ličnosti predviđa drakonske novčane kazne za prekršaj rukovaoca odnosno obrađivača u slučaju njegovog nepoštovanja. Naime, novčanom kaznom od 50.000 do 2.000.000 dinara kazniće se rukovalac, odnosno obrađivač koji ima svojstvo pravnog lica ako obrađuje podatke o ličnosti suprotno načelima obrade ZZPL, ako obrađuje podatke o ličnosti u svrhe koje nisu prethodno definisane i u skladu sa Zakonom, ako jasno ne selektuje podatke o ličnosti, ako ne obezbedi tačnost i potpunost podataka o ličnosti, ako obrađuje podatke o ličnosti bez saglasnosti lica na koje se podaci odnose, a nije u mogućnosti da predoči da je lice na koje se podaci odnose dalo pristanak za obradu svojih podataka, ako obrađuje posebne vrste podataka o ličnosti i podatke o ličnosti u vezi sa krivičnim presudama, kažnjivim delima i merama bezbednosti suprotno odredbama ZZPL-a. Ista novčana kazna predviđena je i u slučaju kada licu na koje se podaci odnose nije pružena informacija o identitetu i kontakt podacima rukovaoca, kao i njegovog predstavnika, kontakt podaci lica za zaštitu podataka o ličnosti, o svrsi nameravane obrade i pravnom osnovu za obradu kao i o vrsti podataka koji se obrađuju.
ZZPL dalje precizira da će pomenutom novčanom kaznom biti kažnjen rukovalac/obrađivač ako ne postupi u skladu sa zakonskim odredbama koje se odnose na ostvarivanje prava lica na koja se odnose podaci o ličnosti, ako: ne pruži tražene informacije, ne omogući pristup podacima, odnosno ako ne dostavi kopiju podataka koje obrađuje, ograniči delimično ili u celini pravo na pristup podacima; ne ispravi netačne podatke ili ne dopuni nepotpune podatke; ne izbriše podatke o ličnosti; ne ograniči obradu podataka o ličnosti; ne obavesti primaoca u vezi sa ispravkom, brisanjem i ograničenjem obrade; ne informiše lice na koje se podaci odnose o odluci o odbijanju ispravljanja, brisanja, odnosno ograničavanja obrade, kao i o razlogu za odbijanje; ne prekine sa obradom podataka nakon što je lice podnelo prigovor; ne preduzme odgovarajuće tehničke, organizacione i kadrovske mere zaštite podataka o ličnosti; ne uredi odnese između zajedničkih rukovaoca i obrađivača; ako obrađuje podatke bez naloga ili suprotno nalogu rukovaoca; ne obavesti Poverenika i lica na koje se podaci odnose o povredi bezbednosti podataka; ne izvrši procenu uticaja na zaštitu bezbednosti podataka na način predviđen Zakonom; ne odredi lice za zaštitu podataka o ličnosti tamo gde je imenovanje lica za zaštitu podataka obavezno; ako vrši prenos podataka o ličnosti u druge zemlje suprotno zakonu; ne obezbedi primenu efektivnih mehanizama poverljivog prijavljivanja slučajeva povrede ZZPL-a; itd.
Koji interni akti i u kakvom obimu će postojati u organizaciji zavisi od toga šta organizacija radi sa podacima, po kom osnovu i koje svrhe obrađuje podatke o ličnosti. Ako, na primer, vršite obradu podataka o ličnosti u velikom obimu, ili obrađuje posebne kategorije podataka o ličnosti, onda Politika privatnosti Vaše kompanije mora biti sveobuhvatna i proaktivna.
Pored postojanja akata i pravilnika, organizacija mora da bude sigurna u implementaciju istih u praksi. Akt sam po sebi nije ništa drugo do mrtvo slovo na papiru ukoliko nije primenjen u praksi. Primena u praksi se realizuje kroz kontinuirani monitoring, trening i podizanje svesti na nivou organizacije o značaju zaštite podataka o ličnosti. Takođe, akt mora biti podržan i sankcijama u slučaju njegovog nepoštovanja.
3. Radi unapređenja procesa poslovanja
Izrada Politike privatnosti u vidu nabrajanja osnovnih principa, načela i definicija nije prihvatljiva politika privatnosti. Aktovi moraju biti izrađeni na način da odražavaju stvarno stanje i tretiraju realne procese koji se odvijaju u organizaciji. Naime, izrada tipskih akata niti je preporučljiva, niti se njima postiže realno usaglašavanje sa zakonom. Tipski akti koje srećemo u praksi su samo pokriće pred zakonom koje ne funkcioniše na duže staze, a naročite slabosti pokazuje u incidentnim slučajevima.
Politika privatnosti pokazuje Vaš stav prema podacima o ličnosti, ozbiljnost i mere koje preduzimate u cilju zaštite podataka o ličnosti, i pored toga što je preporučljiva, Politika privatnosti je akt koji podrazumeva Zakon o zaštiti podataka o ličnosti kao i drugi zakoni koji tretiraju ovu materiju.
Akt politike privatnosti mora sadržati pravila i smernice kako za zaposlene, tako i za srednji i najviši menadžment, način i odgovorna lica za postupanje u slučaju povrede podataka o ličnosti, obaveštenje povereniku, i jasan smisao šta se želi postići Politikom privatnosti, a u skladu sa konkretnim poslovnim procesima na nivou organizacije.
Interni akt koji tretira zaštitu podataka o ličnosti treba da bude proaktivan, a ne reaktivan; preventivan a ne represivan. Zaštita podataka o ličnosti je centralna tema sadržana u svim elementima akta, sa izraženim merama zaštite u svim ciklusima obrade (prikupljanje, profilisanje, prenos, skladištenje, itd.). Akt mora da ima apsolutnu funkcionalnost u praksi; mora biti transparentan i dostupan, a u isto vreme poverljiv u smislu zaštite podataka o ličnosti.
Iako se preporučuje odmah, u prvim fazama poslovanja, izrada i unapređenje akta je kontinuiran proces koji prati razvoj organizacije i anticipira i predupređuje potencijalne rizike u domenu zaštite podataka o ličnosti. S tim u vezi, identifikacija lica za zaštitu podataka o ličnosti ili angažovanje eksternog DPO-a, smatra se bazičnim alatom koji obezbeđuje nesmetanu kontrolu kontinuiteta poslovanja u skladu sa Zakonom o zaštiti podataka o ličnosti bez obzira da li ste po zakonu dužni da imenujete lice za zaštitu podataka o ličnosti ili ne.
Consultigence Group je visoko specijalizovana konsultantska kompanija koja se sastoji od 6 članica, od kojih je svaka licencirana u okviru svoje oblasti i ekspertize. Između ostalih, DPO-SUPPORT je konsultantska platforma fokusirana na zaštitu podataka o ličnosti / ZZPL / GDPR. Tim stručnjaka obezbeđuje korisnicima usluga celokupnu pravnu usklađenost sa domaćim i važećim međunarodnim zakonodavstvom, posebno primenom GDPR direktive koja je na snazi u državama EU ali i u zemljama koje su kandidati za članstvo.
DPO-SUPPORT za razliku od konkurencije svakom klijentu pristupa individualno kroz standardizovane faze usklađivanja:
- Mapiranje procesa i GAP analiza,
- Procena uticaja na obradu podataka o ličnosti / DPIA,
- Izrada generalnih politika bezbednosti,
- Politika čistog stola i ekrana – Edukacija zaposlenih, srednji i viši menadžment,
- Rukovanje informacionim medijima i uređajima (papir, USB-ovi,…),
- Mere zaštite mreže (posebno Wi-Fi i segmentacija mreže),
- Procesi i lokacije za čuvanje ličnih podataka (u fazi obrade i „u stanju mirovanja“),
- Razvoj, održavanje i skladištenje aplikacija i revizijskih tragova/tokova,
- Provere tražene prema normi ISO 27001 i zakonodavstvom (ček lista Poverenika),
- Imenovanje i obuka lica za zaštitu podataka o ličnosti (DPO),
- Analiza, racionalizacija i minimizacija procesa prikupljanja podataka o ličnosti,
- Definisanje ugovora sa obrađivačima podataka o ličnosti shodno zakonu o ZPL,
- Izrada pravilnika, smernica, odluka i prateće dokumentacije.
Akti izvedeni iz pomenutih procesa su u direktnoj vezi sa poslovanjem svakog pojedinačnog klijenta. Obim, vrsta i sadržaj akata uslovno zavise od prirode poslovanja, zahteva, ciljeva i planiranja kontinuiteta poslovanja u skladu sa Zakonom.
Jeste li se uskladili?
Kliknite na Online mini GAP analiza i saznajte besplatno koliko je vaše poslovanje usklađeno sa Zakonom o zaštiti podataka o ličnosti / GDPR.
Popunjavanjem chek liste dobijate mogućnost preuzimanja originalnog prevoda GDPR na srpskom jeziku i konsultaciju stručnjaka u vezi sa rezultatima ankete.
