GDPR i Crna Gora: Država i kompanije nespremne za nova pravila
Da se predsjednički izbori u Sjedinjenim Američkim Državama održavaju poslije 25. maja 2018. godine, veliko je pitanje da li bi Donald Tramp sjedio u Bijeloj kući, kao što se to dogodilo poslije novembra 2016, zaključuje portal eKapija i objašnjava da razlog tome nije kontroverzna biografija, već zato što je dvije godine od predizborne kampanje za ove izbore u javnost “procurjela” informacija o tome da su podaci 50 miliona korisnika Facebooka dospjeli u ruke kompanije za obradu podataka Cambridge Analytica, povezanom sa izbornim štabom Donalda Trampa.
Među njima bi mogli da budu i lični podaci oko 2,7 miliona evropskih korisnika ove društvene mreže, saopštila je Evropska komisija pozivajući se na podatke koje joj je dao Facebook.
Lični podaci korisnika te društvene mreže, koji su od 25. maja 2018. godine, kada je na snagu stupila nova Opšta uredba EU o zaštiti podataka o ličnosti (General Data Protection Regulation – GDPR), tretirati kao bilo koja druga lična imovina, tako su zloupotrebljeni.
Iako je prikupljanje ovakvih podataka i do sada bilo zakonski uređeno, nova uredba donosi mnogo novina, ali i “drakonske kazne” za kršenje odredbi ovog propisa.
Novi propis biće obavezan i za Crnu Goru, s obzirom da sve zakonske akte prilagođavamo onima u EU. Samo kada? Prema podacima s kojima raspolaže portal Investitor, u Vladi nemaju namjeru da se sada bave ovim pitanjem jer ga ne tretiraju prioritetnim. S druge strane, kompanije koje su u vlasništvu stranih, ili rade intenzivno sa stranim firmama, našli su se u “sivoj zoni” – iz jedne kompanije u vlasništvu austrijskih investitora pitali su Agenciju za zaštitu podataka kada će Crna Gora uskladiti propise sa EU a odatle su ih uputili na Ministarstvo unutrašnjih poslova (MUP) kao nadležno.
“Tamo su nam rekli da to još nije u planu”, kazao je izvor Investitora iz te kompanije, dodajući da će zbog toga sigurno imati problema.
“Svaka naša firma koja posluje s firmom iz EU i pritom razmjenjuje bilo kakve podatke, biće pitana – a jeste li se uskladili s GDPR-om? A podaci koji spadaju pod taj zakon su svakakvi: Od imena i prezimena, raznih brojeva, ugovora, aplikacija za posao, baze klijenata, mailing liste… Nas već pitaju takva pitanja i mi im pokušavamo objasniti da to u Crnoj Gori ide sporije. Biće tu problema dok se Vlada ne sjeti da to nije ništa apstraktno, već vrlo realno što može napraviti velike probleme u svakodnevnom poslovanju”, kazao je izvor Investitora.
A šta je, zapravo, GDPR?
Ako vaš Inbox elektronske pošte u posljednje vrijeme “zatrpavaju” obavještenja različitih organizacija o promjeni načina prikupljanja podataka, nemojte ih ignorisati, već obratite pažnju na to šta je u njima navedeno, odnosno koje podatke o vama posjeduju.
Naime, kada se govori o Opštoj regulativi o zaštiti podataka o ličnisti ili GDPR-u, misli se na nov pravni okvir koji određuje način korišćenja podataka o ličnosti građana Evropske unije, kao što su ime, prezime, JMBG, e-mail adresa, broj telefona, ali i pristup različitim veb sajtovima, odnosno podacima koji se ne odnose samo na to ko je osoba, već i na to kako doći do nje.
Tako će, u skladu sa ovim dokumentom, svaka organizacija koja na bilo koji način obrađuje podatke građana Evropske unije, ali i onih lica koja nijesu državljani EU već samo stanuju u njenim okvirima, morati da se pridržava novih pravila o zaštiti podataka o ličnosti, podsjeća eKapija.
Prema GDPR-u, svaki građanin Evropske unije može od svake kompanije da traži informaciju o tome zašto se podaci prikupljaju, kao i da se podaci koje je firma prikupila izbrišu. Nova regulativa se odnosi ne samo na organizacije iz Evropske unije, već i na pravna lica registrovana van zajednice, a koje posluju sa stanovnicima EU.
Uredba propisuje i obaveze za pravna i fizička lica koja nijesu iz Evropske unije. Tako je, između ostalog, propisano da kompanije sa sjedištem van EU imaju predstavnika u toj zajednici koji će biti zadužen za određena pitanja u vezi sa zaštitom podataka, kao i da vode evidenciju aktivnosti obrade ličnih podataka u određenim slučajevima.
Takođe, svi koji nude svoje usluge i robu na teritoriji neke države članice ili usmjeravaju internet poslovanje ka Evropskoj uniji, moraće da primjenjuju ovu Uredbu. Oni koji nude posebne usluge i popuste bilo na nekom od specifičnih jezika neke od država ili ciljano na stanovnike Evropske unije biće u obavezi da se usklade sa Uredbom.
Prema tome, iako nacionalna regulativa u ovoj oblasti još nije donesena, kompanije iz Crne Gore koje posluju sa stanovnicima EU, moraju da se usklade sa GDPR-om.
Kako se Crna Gora ne nalazi na listi zemalja Evropske komisije koje primjenjuju adekvatne mjere zaštite ličnih podataka, GDPR propisuje preduzimanje dodatnih mjera zaštite ukoliko podaci iz EU idu u Crnu Goru (ugovorne klauzule, kodeksi ponašanja, obavezna korporativna pravila).
Crna Gora će imati problem i zbog toga što još ne postoji sertifikaciono tijelo koje utvrđuje da li kompanija posluje u skladu sa odredbama ove uredbe ili ne.
Šta nam donosi GDPR: Moraćemo mijenjati Zakon o zaštiti ličnih podataka
GDPR je usvojen 2016. godine i kompanije su imale dvije godine da se prilagode njegovim odredbama. Domaći Zakon o zaštiti podataka o ličnosti trebalo bi da bude prilagođen novoj regulativi a to nas najkasnije očekuje tokom pretpristupnih pregovora sa Briselom.
U Srbiji pripremaju novi zakon
Srbija će dobiti inovirani Zakon o zaštiti ličnih podataka prilgođen GDPR-u do kraja ove godine i kompanije će imati rok od šest mjeseci da se prilagode novim pravilima.
Prema istraživanju KPMG-a, veliki broj kompanija u Srbiji još nije utvrdio da li se na njih odnosi opšta uredba EU o zaštiti podataka. Čak se, kako se navodi u saopštenju te konsultantske kuće, i kompanije koje su sigurne da se na njih odnosi ova uredba nalaze u početnoj fazi usklađivanja, vrše utvrđivanje vrsta ličnih podataka koji se obrađuju, kao i gdje se sve ti podaci nalaze.
Da kompanije u Srbiji nijesu ozbiljno shvatile regulativu koja se nameće, potvrđuju i primjeri iz prakse, piše eKapija. Tako se, prema ovom istraživanju, pokazalo da se u mnogim kompanijama niko detaljno nije bavio ličnim podacima i njihovom zaštitom, da su u velikim sistemima službe decentralizovane, da se neki podaci čuvaju na papiru, neki na serveru.
“Neophodno je da firme najprije urade analizu postojećeg stanja, intervjuišu sve službe koje obrađuju i čuvaju lične podatke kako bi se ustanovilo koji su podaci u pitanju, da li se čuvaju u papirnom, elektronskom obliku, u zemlji, možda u inostranstvu”, ukazuje Marija Milojević iz konsultantske kuće KPMG.
Kako se dodaje, trebalo bi utvrditi i kako kompanija štiti lične podatke – da li preduzima odgovarajuće tehničke ili organizacione mjere, propisuje ograničenje prava pristupa fajlovima i slično. Nakon toga, definišu se koraci koje bi kompanije trebalo da preduzmu.
A za kršenje uredbe GDPR predviđa kazne čak i do 20 miliona eura ili 4 odsto globalnog godišnjeg prometa. Ipak, suština novog propisa nije na represiji, već na preventivi, sa krajnjim ciljem da se spriječi da do povrede prava pojedinaca dođe.
Jednaka zaštita za sve građane
Jedan od ciljeva Opšte uredbe jeste da nivo zaštite podataka o ličnosti bude isti na cijeloj teritoriji Evropske unije. Organi za zaštitu podataka o ličnosti dobiće nova ovlašćenja, kao i obaveze.
Imajući u vidu sve češće postavljeno pitanje da li privatnost i dalje postoji, s obzirom na to kolika je količina informacija koje ostavljamo na društvenim mrežama, dok krstarimo ili kupujemo na internetu, na skupu je istaknuto da pravo nije nestalo, i da upravo ovi državni organi služe za zaštitu privatnosti i podataka o ličnosti, a ne za kršenje ovih prava.
Način na koji postupamo sa podacima u velikoj mjeri će odrediti našu ličnu bezbjednost i uticaće na razvoj digitalne ekonomije, jedan je od zaključaka skupa na kojem su učestvovali, između ostalih, i predstavnici iz regiona – Bosne i Hercegovine, Makedonije, Moldavije, Slovenije, Hrvatske i Crne Gore.
Kako je zaključeno u izvještaju KPMG-a, u sistemima zaštite ličnih podataka u Srbiji, primjer dobre prakse predstavljaju banke, koje su bile na meti visokotehnološkog kriminala, pa su, na primjer, implementirale posebne alate kojima mogu da identifikuju neovlašćeni pristup i korišćenje podataka o ličnosti.
Kako bi se prilagodila novim pravilima, marketinška agencija Ipsos preduzela je mnoge akcije u skladu sa GDPR-om. Tako je, kako je saopšteno iz ove komanije, 1. marta 2017. godine Rupert van Hullen imenovan za globalnog direktora za zaštitu privatnosti podataka (CPO – Chief Privacy Officer) i lokalnih službenika za privatnost podataka (DPO – Data Privacy Officers).
Takođe, kako navode, Ipsos koristi tehnike anonimizacije za zaštitu ličnih podataka ispitanika kao dio procesa prikupljanja podataka, tako da mogu da im pristupe samo timovi na terenu i to samo u mjeri u kojoj im je to neophodno, dok je pristup ličnim podacima zaposlenih strogo ograničen na osoblje koje se bavi upravljanjem ljudskim resursima. Ipsos primjenjuje različite vrste enkripcije na laptop računarima svih zaposlenih, dok podizvođače za obradu ličnih podataka biraju na osnovu njihove sposobnosti da postupaju u skladu sa Ipsosovim zahtjevima u vezi sa zaštitom informacija.