
GDPR u evropskim zemljama predstavlja osnovni pravni okvir za zaštitu ličnih podataka i privatnosti pojedinaca. Opšta uredba o zaštiti podataka, poznata kao GDPR, primenjuje se od 25. maja 2018. godine i donela je jedinstveniji sistem pravila za obradu ličnih podataka u Evropskoj uniji.
Cilj GDPR-a je da građanima omogući veću kontrolu nad njihovim podacima, a kompanijama, institucijama i drugim organizacijama nametne jasne obaveze prilikom prikupljanja, korišćenja, čuvanja i deljenja podataka.
Lični podaci nisu samo ime, prezime i adresa. Oni mogu obuhvatiti broj telefona, email adresu, identifikacione brojeve, podatke o lokaciji, IP adresu, fotografije, zdravstvene podatke, podatke o zaposlenima i druge informacije na osnovu kojih se osoba može direktno ili indirektno identifikovati.
Kako se primenjuje GDPR u evropskim zemljama?
GDPR se neposredno primenjuje u državama članicama Evropske unije, ali svaka država ima svoj nadzorni organ koji kontroliše primenu propisa i postupa po prijavama građana.
Iako je osnovni tekst Uredbe isti, pojedina nacionalna pravila mogu dodatno uređivati pitanja kao što su obrada podataka zaposlenih, starosna granica za saglasnost dece, zdravstveni podaci i ovlašćenja nadzornih organa.
Zbog toga organizacije koje posluju u više evropskih država ne treba da poznaju samo tekst GDPR-a već i relevantne nacionalne propise i praksu nadležnih organa.
GDPR se u određenim situacijama može primeniti i na kompanije koje nemaju sedište u Evropskoj uniji, ako nude robu ili usluge osobama u EU ili prate njihovo ponašanje.
Koja prava pojedinci imaju prema GDPR-u?
Jedna od najvažnijih karakteristika GDPR-a jeste širok skup prava koja omogućavaju pojedincima da kontrolišu način na koji se njihovi podaci koriste.
Zvanični evropski izvori navode prava na informisanje, pristup, ispravku, brisanje, ograničenje obrade, prenosivost, prigovor i zaštitu u vezi sa automatizovanim odlučivanjem.
Pravo na informisanje
Osoba ima pravo da dobije jasne i razumljive informacije o tome ko prikuplja njene podatke, zašto se podaci obrađuju, koliko dugo se čuvaju i kome se mogu dostaviti.
Organizacije ove informacije najčešće pružaju kroz obaveštenje ili politiku privatnosti. Obaveštenje mora biti lako dostupno, transparentno i napisano jasnim jezikom.
Pravo na pristup
Pojedinac može da zatraži potvrdu da li organizacija obrađuje njegove lične podatke, kao i kopiju tih podataka i dodatne informacije o obradi.
Organizacija je, po pravilu, dužna da dostavi prvu kopiju podataka bez naknade.
Pravo na ispravku
Ako su podaci netačni ili nepotpuni, osoba može da zahteva njihovu ispravku ili dopunu.
Na primer, korisnik može zatražiti promenu netačne adrese, kontakt podataka ili drugih informacija koje organizacija vodi o njemu.
Pravo na brisanje
Pravo na brisanje često se naziva „pravom na zaborav“. Pod određenim uslovima, pojedinac može tražiti uklanjanje svojih podataka.
Ovo pravo nije apsolutno. Organizacija ponekad mora da sačuva podatke radi ispunjavanja zakonske obaveze, ostvarivanja javnog interesa ili zaštite pravnih zahteva.
Pravo na ograničenje obrade
U određenim situacijama pojedinac može tražiti da organizacija privremeno ograniči korišćenje njegovih podataka.
Podaci mogu ostati sačuvani, ali se ne mogu koristiti na isti način dok se ne razjasne okolnosti zbog kojih je ograničenje zatraženo.
Pravo na prenosivost podataka
Pojedinac može, kada su ispunjeni propisani uslovi, dobiti podatke koje je pružio organizaciji u strukturiranom, uobičajeno korišćenom i mašinski čitljivom formatu.
Te podatke može preneti drugoj organizaciji, na primer prilikom promene pružaoca određene usluge.
Pravo na prigovor
Pojedinac može uložiti prigovor na određene vrste obrade, naročito kada se podaci koriste za direktno oglašavanje ili na osnovu legitimnog interesa organizacije.
Koje obaveze imaju kompanije prema GDPR-u?
Organizacije koje obrađuju lične podatke moraju da dokažu da to rade zakonito, pošteno, transparentno i bezbedno.
Pravni osnov za obradu podataka
Nije tačno da je saglasnost potrebna za svaku obradu podataka.
GDPR predviđa više pravnih osnova, uključujući:
- saglasnost;
- izvršenje ugovora;
- ispunjavanje pravne obaveze;
- zaštitu životno važnih interesa;
- obavljanje poslova od javnog interesa;
- legitimni interes rukovaoca ili trećeg lica.
Organizacija mora pre početka obrade utvrditi odgovarajući pravni osnov i dokumentovati razloge za njegovo korišćenje.
Kada se obrada zasniva na saglasnosti, ona mora biti slobodno data, konkretna, informisana i nedvosmislena. Pojedinac mora imati i mogućnost da je povuče.
Transparentnost obrade
Kompanije moraju jasno objasniti koje podatke prikupljaju, zašto ih koriste, kome ih dostavljaju i koliko dugo ih čuvaju.
Politika privatnosti ne bi trebalo da bude samo formalni dokument. Ona mora odgovarati stvarnim procesima u organizaciji.
Ako kompanija promeni svrhu obrade, uvede novi digitalni alat, angažuje novog dobavljača ili počne da prenosi podatke u drugu državu, mora proveriti da li je potrebno ažurirati informacije koje pruža korisnicima.
Tehničke i organizacione mere zaštite
Organizacije moraju primeniti mere koje odgovaraju prirodi podataka i rizicima obrade.
To može uključivati:
- kontrolu pristupa;
- jake lozinke i višefaktorsku autentifikaciju;
- enkripciju;
- pravljenje rezervnih kopija;
- evidencije aktivnosti;
- obuku zaposlenih;
- interne procedure;
- plan za reagovanje na incidente;
- redovno testiranje bezbednosti sistema.
Nije dovoljno imati politiku bezbednosti ako se njena pravila ne primenjuju u praksi.
Kada je potrebno imenovati DPO?
Službenik za zaštitu podataka, odnosno DPO, ne mora biti imenovan u svakoj organizaciji.
Imenovanje je obavezno u određenim slučajevima, na primer kada obradu vrši organ javne vlasti, kada osnovne aktivnosti uključuju redovno i sistematsko praćenje lica u velikom obimu ili kada se u velikom obimu obrađuju posebne kategorije podataka.
DPO prati usklađenost, savetuje organizaciju, učestvuje u procenama uticaja i sarađuje sa nadzornim organima.
Obaveštavanje o povredi podataka
Povreda ličnih podataka može obuhvatiti gubitak, neovlašćeni pristup, otkrivanje, menjanje ili uništavanje podataka.
Rukovalac je dužan da obavesti nadležni organ kada povreda može predstavljati rizik za prava i slobode pojedinaca. Obaveštenje se, kada je moguće, podnosi u roku od 72 sata od saznanja za povredu.
Povrede koje verovatno ne predstavljaju rizik ne moraju se prijavljivati, ali organizacija i dalje treba da ih dokumentuje i proceni.
Kada postoji visok rizik za pojedince, organizacija može biti dužna da obavesti i pogođene osobe.
Prednosti usklađivanja sa GDPR-om
Usklađenost sa GDPR-om ne treba posmatrati samo kao obavezu i način izbegavanja kazni.
Veće poverenje korisnika
Pojedinci više veruju organizacijama koje jasno objašnjavaju šta rade sa podacima i koje poštuju zahteve za pristup, ispravku i brisanje.
Bolja reputacija
Odgovoran odnos prema privatnosti pokazuje da organizacija ozbiljno pristupa zaštiti korisnika, zaposlenih i poslovnih partnera.
Smanjenje pravnih i finansijskih rizika
Uređeni procesi, jasne odgovornosti i redovne kontrole smanjuju mogućnost incidenata, regulatornih postupaka i novčanih kazni.
Unapređenje bezbednosti podataka
Popisivanje podataka, kontrola pristupa, upravljanje dobavljačima i testiranje sistema pomažu organizaciji da bolje zaštiti informacije od napada, gubitka i zloupotrebe.
Konkurentska prednost
Organizacije koje mogu dokazati visok nivo zaštite podataka često imaju bolju poziciju prilikom sklapanja poslova sa velikim kompanijama, institucijama i međunarodnim partnerima.
Zašto je važno poznavati GDPR u evropskim zemljama?
GDPR u evropskim zemljama utiče na gotovo svaku organizaciju koja obrađuje podatke korisnika, zaposlenih, saradnika ili poslovnih partnera.
Pravnici, DPO službenici, rukovodioci, stručnjaci za ljudske resurse, marketing, IT i bezbednost moraju razumeti svoja ovlašćenja i odgovornosti.
Posebno je važno pratiti:
- odluke nacionalnih nadzornih organa;
- praksu Evropskog odbora za zaštitu podataka;
- međunarodne prenose podataka;
- upotrebu veštačke inteligencije;
- automatizovano odlučivanje;
- obradu podataka zaposlenih;
- odnose sa obrađivačima i podobrađivačima.
GDPR u evropskim zemljama na ICOOLAW 2027
Tema GDPR-a u evropskim zemljama biće važan deo stručnih razgovora na VI Međunarodnom kongresu pravnika – ICOOLAW 2027.
Na Kongresu će se govoriti o praktičnoj primeni pravila zaštite podataka, ulozi DPO-a, odgovornosti organizacija, regulatornoj praksi, međunarodnim prenosima podataka i odnosu između GDPR-a i veštačke inteligencije.
Učesnici će imati priliku da kroz predavanja, panele i praktične diskusije analiziraju probleme sa kojima se kompanije i institucije susreću u svakodnevnom poslovanju.
Razumevanje načina na koji se primenjuje GDPR u evropskim zemljama nije važno samo zbog izbegavanja kazni. Ono predstavlja osnovu odgovornog poslovanja, zaštite poverenja korisnika i sigurnog razvoja novih tehnologija.
Više informacija o programu i prijavi za ICOOLAW 2027 biće objavljeno na zvaničnoj stranici Kongresa.
Posetite stranicu Kongresa.
