Zakon o zaštiti podataka ličnosti i GDPR: obaveze vs. realnost
Koji su zakonski okviri i obaveze, na kakve izazove u sprovođenju Zakona o zaštiti podataka o ličnosti nailaze fizička lica i kompanije? Koje su najbitnije novine koje novi zakon uvodi, a na šta kompanije treba da obratite pažnju kada se radi o implementaciji ovog zakona u poslovanju?
Datum: 02.Jun.2021
Odgovore na ova i mnoga druga pitanja na panelu „Zakon o zaštiti podataka ličnosti i GDPR: obaveze vs. realnost“ dali su panelisti Jelena Jovičić, advokatica i partnerka - AK Cvetković, Skoko & Jovičić, Darko Ćalasan, Business Development Manager for CyberSecurity SAGA, i Ivana Stamenković, direktorka za kontrolu usklađenosti poslovanja i sprečavanje pranja novca, Generali Srbija. U panel su nas uveli Jelena Bulatović, izvršna direktorka, SAM-a, i Goran Zarić, programski direktor, Propulsion, a moderator je bila Dunja Tasić, advokatica Cyberavocado.
Panel je održan u okviru inicijative "2 dana digitalnih tema u SAM-u", koju je pokrenuo Propulsion u partnerstvu sa Američkom agencijom za međunarodni razvoj (USAID) i SAM-om.
Panel možete pogledati na linku.
Novi Zakon o zaštiti podataka ličnosti
Novi Zakon o zaštiti podataka ličnosti počeo je da se primenjuje 2019. godine. Ne odnosi se samo na donošenje pravnih akata, već je sinergija pravnog, organizacionog i tehničkog dela. U odnosu na prethodni uneo je mnogo novina i obaveze za rukovaoce i obrađivače i odnosi se na uvođenje obaveza rukovaoca da uvedu tehničke, kadrovske i organizacione mere kako bi obezbedili odgovarajući nivo bezbednosti podataka o ličnosti. Vodi se računa i o stepenu tehnoloških dostignuća kao i o obimu, prirodi, okolnostima i svrsi obrade koja se vrši, sve u cilju ocenjivanja verovatnoće nastupanja rizika za slobodu i prava lica čiji se podaci obrađuju kao i nivoa ugroženosti. Od obaveza su važna obaveštavanja poverenika u roku od 72 sata ukoliko dođe do povrede podataka, što predstavlja rizik za prava i slobode. Obaveza obaveštavanja sada je detaljnije obrađena u odnosu na prethodni zakon i svi su prinuđeni da je vrše i imaju u vidu. Pored toga, postoji i obaveza vođenja evidencije koja je sada samo obaveza rukovaoca i obrađivača, i obaveza poštovanja načela Zakona o zaštiti obrade podataka.
Implementiranje novog zakona
Klijenti su zainteresovani za svoje obaveze, svi su doneli obaveštenja u obradi, kada ulaze u ugovorne odnose sa rukovaocima i obrađivačima, trude se da unose urede ugovorom. Klijenti koji su povezani vlasničkom strukturom sa kompanijama iz Evropske unije, preduzeli su najviše mera, napravili presek stanja, utvrdili šta obrađuju, pa su doneli procedure kako će se podaci zaštititi i koje će se mere primeniti. To je najpotpunija moguća zaštita, vodeći se time da se ove mere stalno ažuriraju i proveravaju. Kod svih srednjih i manjih privrednih društava ima manje spremnosti da se izvrše početna podešavanja odnosno rad tog mapiranja i utvrđivanja početnih parametara.
Kao prvi početni korak implementacije upravo je najbitnije mapiranje podataka, da kompanija upozna sebe i vidi koje sve procese obrade ima, koje baze podataka obrađuje. Sve mere su propisane tako da imaju za cilj da privredna društva sama moraju shvatiti šta treba da se radi, tako je koncipiran ceo zakon. Postoje brojni pravni standardi i često se kompanije nalaze u situaciji da same tumače zakon i svoje obaveze, tako da je najsigurnije da budu transparentne, da obaveštavaju lica o obradi kao i da izmapiraju sve podatke.
Cyber bezbednost
Ovaj zakon propisuje obavezu svim entitetima koji obrađuju podatke o ličnosti da implementiraju odgovarajuće tehničke mere. Ne predviđa ih konkretno, već to ostavlja na slobodnu procenu kompaniji koja će mere implementirati uzimajući u obzir i baze podataka koje obrađuje.
Što se tiče tehničkih sistema zaštite, kod svake kompanije i svakog korisnika, uvek se ide sa analizom rizika kroz testove ili se gleda na kojem su nivou. Ako gledamo podatke o ličnosti, oni su podskup informacione bezbednosti sa svojim specifičnostima i tu se gledaju i linije odbrane – „final defense“, na kom segmentu odbrane mreže se može doći do neke slabosti i dodatnog rizika, ojačavajući joj te prve linije odbrane. Sve kompanije imaju neke tehničko aplikativne sisteme zaštite. Ovo je jedan sistematski rad i broj zaposlenih nije garancija da je obrada podataka velika i masovna. Postoje i jako male ili srednje kompanije koje rade sa velikim brojem podataka ličnosti, što pokazuje da se ne može mapirati prema veličini kompanije.
Kako se prikupljaju podaci, kako na to reaguju korisnici?
Kompanije koje obrađuju osetljive podatke usvajaju većinu mera za zaštitu podataka, jako skupa rešenja, jer je u interesu i njih i njihovih korisnika da se ti podaci čuvaju na pravi način. Po prirodi posla, osiguranja obrađuju posebne kategorije podataka o ličnosti. U zavisnosti od toga, da li je osiguranje životno ili neživotno, na različite načine se prikupljaju podaci. Za životno osiguranje, da bi se procenila vrsta rizika i da bi se ponudilo adekvatno osiguranje, potrebno je saznati da li postoje prethodni rizici koji se odnose na osiguranje. Iz tih razloga nekada se prikuplja upitnik o zdravstvenom stanju, a nekada je potrebno ići na sistematski pregled da se utvrdi visina rizika osiguranika. Uglavnom ne postoji problem da lica daju podatke jer je i njima u interesu da se osiguraju. Postoji problem druge vrste. Zakon predviđa, kada su posebne kategorije podataka u pitanju, određeni osnov, koji nije ugovor. Onda bi to bio pristanak ali on ipak ne ispunjava uslove koje zakon traži jer je uslovljen. A lice, ukoliko ne daje pristanak za obradu podataka, ne može da dobije zaključenje ugovora niti je moguće da se ugovor izvrši. To je primer da nijedan zakon ne može predvideti sve moguće, pa bi ovaj problem trebalo rešiti nekim drugim zakonima.
Još uvek nerazvijena svest o pravima lica čiji se podaci obrađuju
Čini se da još uvek ne postoji dovoljna svest o tome kako ljudi mogu da koriste svoja prava. Olako popunjavaju mnoge upite i formulare, još uvek nisu svesni štete koja im može biti naneta korišćenjem tih podataka. Korisnici često nemaju ni uvid u mogućnost sudskih sporova na ovu temu, a ni parnični sudovi još nisu stekli praksu za naknadu štete povodom povrede prava o zaštiti ličnosti. Kompanijama pak kazna ne mora uvek biti novčana koju one obično mogu da isplate, već zabrana skupljanja podataka, koju poverenik može da izrekne, što može da znači prestanak biznisa.
Zaštita podataka više nije samo pravno pitanje, već i reputacioni rizik
Posledice povrede zaštite podataka mogu biti male, ali i izuzetno velike poput krađe identiteta, finansijskih gubitaka, povrede tajnosti... Ozbiljnost kompanija prilikom poštovanja Zakona o ličnosti moraju biti na visokom nivou, morao bi da postoji security operation center koji radi 24 časa i tim forenzičara koji otkriva ko i kada i u kom obimu podatke neautorizovano objavljuje. I korisnici usluga moraju biti obavešteni o svojim pravima. Što vreme više prolazi, svest se povećava, sve se više govori o zaštiti podataka ličnosti. To više nije samo pravno pitanje, već i reputacioni rizik. Korisnici gube poverenje u kompanije u kojima se dešavaju propusti u zaštiti podataka.