ŠTA NAM DONOSI PRIMENA GDPR-A?

Kandidatura za članstvo u EU obavezuje Republiku Srbiju da svoje zakonodavstvo uskladi sa evropskim propisima, što znači da će uskoro biti usvojen zakon po uzoru na Opštu uredbu EU o zaštiti podataka, te će i javni i privatni sektor u Srbiji biti u obavezi da štite lične podatke građana u skladu sa evropskim standardima

Tehnološka ekspanzija i ubrzana globalizacija u novom milenijumu postavile su pred nas nove izazove u pogledu zaštite ličnih podataka. Obim prikupljanja i razmene ličnih podataka povećan je, kako bi privredni subjekti i organi vlasti obavljali svoju delatnost. Takođe, primetno je da i sami pojedinci, svesno ili nesvesno, čine svoje lične podatke sve dostupnijim javnosti, što može dovesti do raznih zloupotreba. Usled navedenih pojava, zakonodavni organ EU pristupio je izradi uredbe o zaštiti pojedinaca u vezi sa obradom ličnih podataka i slobodnom kretanju takvih podataka, koja počinje da se primenjuje od 25. maja 2018. godine.

Konkretna uredba odnosi se na obradu ličnih podataka koju vrše organizacije čije je poslovno sedište na prostoru EU, zatim ako su njihove aktivnosti povezane sa nuđenjem robe ili usluga građanima EU ili se prati njihovo „ponašanje“ iako im je sedište van EU. I na kraju, primenjuje se i u slučaju organizacija koje imaju svoja sedišta van EU, ali posluju na lokacijama gde se primenjuje pravo države članice EU na osnovu međunarodnog javnog prava. Kao što vidimo, ova uredba ima široko polje primene.

Načelni stavovi Uredbe o zaštiti podataka

Opšta uredba o zaštiti podataka ima za cilj da olakša protok ličnih podataka u samoj EU i prenos istih u treće zemlje i međunarodne organizacije, osiguravajući pri tome visok stepen zaštite ličnih podataka. Da bi se omogućio takav razvoj, potrebno je da se uspostavi čvrst i usklađen okvir za zaštitu ličnih podataka, koji će se temeljno i dosledno sprovoditi, s obzirom na to da se želi izgraditi poverenje koje će omogućiti razvoj digitalne ekonomije. Iz te ideje su i proistekla načela GDPR-a (General Data Protection Regulation), koja propisuju da obrada podataka mora biti zakonita i transparentna; da prikupljeni podaci moraju biti tačni i prema potrebi ažurirani, primereni, relevantni i minimizirani; da se čuvaju u obliku koji omogućuje identifikaciju osobe, i to samo onoliko dugo koliko je potrebno da se izvrši svrha njihove obrade, kao i da se obrađuju na način kojim se osigurava odgovarajuća sigurnost ličnih podataka, što uključuje i zaštitu od neovlašćene ili nezakonite obrade, slučajnog gubitka, uništenja ili oštećenja podataka.

Uredba nalaže da svako ko obrađuje podatke mora omogućiti pravo na transparentne informacije, ostvarivanje prava na pristup ličnim podacima i pravo na ispravku netačnih ličnih podataka, pravo na brisanje ličnih podataka, tzv. pravo na zaborav, pravo na ograničavanje obrade, pravo na prenosivost ličnih podataka i pravo na prigovor. Navedena prava predstavljaju imperativ, a da bi se u potpunosti ispoštovala obrađivač podataka mora, pre svega, pribaviti pismenu saglasnost osobe čiji se lični podaci obrađuju. Da bi obrada podataka bila legalna i legitimna, saglasnost mora biti nedvosmislena, jasna i dobrovoljna, a osoba se obaveštava da će se njeni lični podaci obrađivati u neku svrhu i da će se određeno vreme čuvati na adekvatan način, kao i da ima pravo na povlačenje saglasnosti.

Implementacija GDPR-a

Prilikom sprovođenja odredaba GDPR-a svaka organizacija bi načelno trebalo da ispoštuje nekoliko koraka. Naime, potrebno je inicirati usaglašavanje GDPR-a i analizirati postojeći sistem unutar organizacije. Potom treba predočiti menadžmentu izazove koje nameće GDPR u vezi sa politikom poslovanja. Nakon toga treba sagledati organizacionu strukturu zaposlenih i one odgovarajućih profesionalnih profila uključiti u proceduru klasifikovanja ličnih podataka koji se obrađuju. Podatke treba razvrstati prema stepenu osetljivosti i ranjivosti, kao i po stepenu rizika koji nosi obrada tih podataka. Zatim valja izvršiti procenu uticaja privatnosti (PIA) i u slučaju visokog rizika za prava i slobode lica čiji se podaci obrađuju, doneti Akt o proceni uticaja na zaštitu podataka (DPIA – Data Protection Impact Assessment). Kada je plan načinjen, pristupa se dizajniranju procedura i unutrašnjih kontrola, koje podrazumevaju podučavanje zaposlenih, imenovanje ili angažovanje službenika za zaštitu podataka (DPO) i upravljanje rizicima.

Nakon svega navedenog, trebalo bi da organizacija izvrši praćenje obrade ličnih podataka, da ih analizira i evaluira i da na određene vremenske periode vrši internu reviziju (audit), tj. proveru svojih tehničkih i organizacionih mehanizama za zaštitu ličnih podataka. Međutim, moguće je da i pored svih mera predostrožnosti dođe do povrede ličnih podataka. U tom slučaju obrađivač je dužan da u roku od najviše 72 sata od trenutka saznanja za povredu prijavi nadzornom organu taj događaj i izvrši sve moguće mere kojima će smanjiti štetu koja može nastati usled povrede ličnih podataka. Interesantna je odredba iz Opšte uredbe o zaštiti podataka kojom se omogućava da određene branše obrađivača ličnih podataka donesu svoje kodekse ponašanja, kojima bi se precizirale odredbe GDPR-a.

Implementaciji odredaba Opšte uredbe o zaštiti podataka trebalo bi pristupiti krajnje profesionalno, s obzirom na visinu propisanih novčanih kazni. Iznosi se kreću do 10.000.000 evra ili do 2% ukupnog godišnjeg prometa za prethodnu finansijsku godinu u slučaju preduzetnika, tj. do 20.000.000 evra ili do 4% ukupnog godišnjeg prometa za prethodnu finansijsku godinu u slučaju preduzetnika, zavisno od toga koje su odredbe prekršene. Uz novčane kazne, obrađivačima podataka mogu se izreći i mere upozorenja, službene opomene, naredbe da se poštuju odredbe Uredbe, ograničenje ili zabrana obrade podataka, naredbe o ispravljanju ili brisanju obrađivanih ličnih podataka, povlačenje izdatog sertifikata ako nisu ispunili ili su prestali da ispunjavaju uslove za sertifikovanje i naredbe o zabrani protoka ličnih podataka u treće zemlje ili međunarodne organizacije.

Tehnološki aspekti primene GDPR-a

Iako odredbe GDPR-a ciljaju prvenstveno na uređenje internih procesa prikupljanja i čuvanja ličnih podataka, ova uredba postavlja značajne izazove pred IT službe u kompanijama. Bez obzira na način na koji se lični podaci prikupljaju, oni danas praktično uvek završavaju i u digitalnoj formi, bilo u strukturiranom (baze podataka) ili nestrukturiranom obliku (dokumenti na fajl serveru ili portalu), pa samim i IT snosi deo odgovornosti za uspešnu primenu Uredbe o zaštiti podataka. Srećom, na tržištu je prisutan veći broj softverskih rešenja koja mogu olakšati različite faze implementacije odredaba GDPR-a.

Iz perspektive IT službi, prvi korak u sprovođenju GDPR-a predstavlja proces otkrivanja postojećih ličnih podataka – gde se nalaze unutar infrastrukture, ko je njihov vlasnik i ko im može pristupati. Podatke je zatim potrebno klasifikovati i indeksirati, kako bi se omogućila pretraga, koja je preduslov za upravljanje podacima u različitim scenarijima koje uredba predviđa, poput brisanja i prenosivosti. Na kraju, podatke je potrebno zaštititi od gubitka i neovlašćenog pristupa, kao i uspostaviti mehanizme za praćenje i otkrivanje pokušaja njihovog kompromitovanja.

U procesu uspostavljanja inicijalne kontrole nad podacima od pomoći mogu biti proizvodi kompanije Veritas, koja je specijalizovana upravo za oblast upravljanja digitalnim informacijama. U svom portfoliju Veritas ima alate za otkrivanje (Information Map), klasifikaciju (Data Insight) i pretragu (eDiscovery Platform). Dodatno, arhiviranjem podataka korišćenjem Veritas Enterprise Vault rešenja omogućava se jednostavno upravljanje polisama retencije, koje definišu koliko dugo se podaci moraju čuvati, kao i automatsko uklanjanje podataka kojima je istekao rok čuvanja, čime se ostvaruju GDPR preporuke u pogledu minimizacije skladištenih podataka.

Važan aspekt implementacije GDPR-a je kontrola integriteta sistema za prikupljanje i čuvanje ličnih podataka. Ovde je ključ u uspostavljanju tzv. audit mehanizama za praćenje ko i kada je pristupao ili menjao prava pristupa ličnim podacima. Netwrix Auditor je jedno od rešenja koja omogućavaju centralizovani monitoring audit događaja na ključnim elementima infrastrukture za smeštanje ličnih podataka, poput AD-a, baza podataka, fajl servera, sharepoint-a i storidž sistema. Alat poseduje ugrađenu pretragu prikupljenih logova, mogućnost obaveštavanja administratora u realnom vremenu o pojavi kritičnih događaja i kreiranja predefinisanih izveštaja koji se mogu koristiti za potrebe interne ili eksterne revizije.

Jedan od imperativa GDPR-a je i obezbeđivanje dostupnosti ličnih podataka i u slučaju fizičkih i tehničkih problema, za šta je od presudnog značaja odgovarajuća bekap i disaster recovery strategija, koja bi omogućila oporavak podataka u slučaju oštećenja medijuma za njihovo skladištenje. Cloud može predstavljati vrlo efikasno i ekonomično rešenje za čuvanje udaljene kopije podataka, koje osigurava njihovu dostupnost čak i u slučaju katastrofalnih događaja u data centru, poput otkazivanja storidž sistema, poplave ili požara. Proizvodi kompanije Veeam omogućavaju kreiranje bekapa u lokalnoj infrastrukturi, ali i na lokaciji izabranog cloud provajdera, pri čemu se podaci do cloud-a prenose kroz siguran kanal i mogu se čuvati u enkriptovanom obliku.

Uprkos tvrdnjama IT vendora, ne postoji univerzalno tehnološko rešenje koje bi jednim klikom miša obezbedilo usklađenost sa GDPR odredbama. Tipovi ličnih podataka, kao i načini njihovog prikupljanja i smeštanja, značajno se razlikuju od kompanije do kompanije, pa uspešna implementacija GDPR-a podrazumeva prvenstveno kvalitetnu analizu, a zatim, u zavisnosti od potreba, kombinovanje namenski razvijenih i rešenja dostupnih na tržištu.

Jelena Malešević, Nebojša Ilić

0 komentara

Najnoviji

Bezbedno otključajte GenAI potencijale

Generative AI revolucija je već stigla. Kakve su njene implikacije? Generativni...

Benefiti uvođenja Business Central

Implementacija Business Central ERP sistema može doneti značajne prednosti...

Najčešće greške pri implementaciji

ERP rešenja mogu značajno unaprediti poslovanje, ali njihovo uvođenje zahteva...

Nova implementacija vs. konverzija

Pri prelasku na novo ERP rešenje pred organizacije se postavlja izbor između...