GDPR nam stiže, ali nema razloga za paniku.
Evo odgovora na deset ključnih pitanja vezanih za tu temu.
Uredba EU o opštoj zaštiti podataka (General Data Protection Regulation = GDPR) nam kuca na vrata. Sa sobom nosi obećanje da će promeniti način na koji vi i vaši klijenti obrađujete privatne podatke svojih korisnika i potrošača. Uredba stupa na snagu 25. maja u svim zemljama-članicama Evropske unije. Što se tiče Velike Britanije, malo je verovatno da će Bregzit uticati na njenu primenu, s obzirom da je britanska vlada rešena da je primeni.
Kompanije koje se budu oglušile o nova pravila mogle bi se suočiti sa kaznama i do 20 miliona eura ili 4% svog ukupno ostvarenog prometa poslovanja. Ovo zvuči pomalo drastično, zar ne? Neke firme, suočene sa poprilično složenom zakonskom regulativom u okviru GDPR, već su počele da paniče. U celoj toj frci, dolivajući ulje na vatru, ide i određena doza preterivanja koja dolazi od strane samih zakonodavaca.
Hajde da to pogledamo sa druge strane. Smatramo da nema potrebe za paničarenjem. Kompanije bi, zapravo, o ovoj Uredbi trebalo da razmišljaju na sledeći način: tu se radi samo o sistematizovanju praksi koje su se pokazale kao najbolje, i njihovoj primeni na polju zaštite privatnosti podataka. Drugim rečima, GDPR obezbeđuje sprovođenje mera koje ćete vi i vaši kupci ionako morati da uspostavite.
Krajnji korisnici bi trebalo da budu u centru vaše pažnje, a ne oni koji su doneli Uredbu. Na kraju krajeva, ukoliko su klijenti zadovoljni načinom na koji koristite njihove lične podatke, onda neće biti potrebe da se pozovu na zakone.
Ukoliko ste cenjeni pružalac usluga malim i srednjim preduzećima koji su vaši klijenti, evo kako im možete pomoći da prođu kroz ovaj proces završnih priprema za primenu Uredbe. Što bi se reklo - pa kako izgleda ta najbolja praksa i šta sve vaši klijenti treba da urade?
Kako bi smo malo pojednostavili stvari, hajde da odgovorimo na sledećih deset pitanja.
Kako bi smo malo pojednostavili stvari, hajde da odgovorimo na sledećih deset pitanja.
1. Kada kompanije mogu legalno da koriste lične podatke?
GDPR kaže da postoje šest razloga zašto neka kompanija može da u razumnoj meri očekuje legalnu obradu ličnih podataka svojih klijenata/korisnika. Najočigledniji je onaj kada korisnici kažu da su zadovoljni zbog toga. U komercijalnom scenariju, kompanija će od svojih klijenata zatražiti određene akreditive kako bi ostali u kontaktu. GDPR nalaže kompaniji da saglasnost za tu radnju treba da bude eksplicitna, klijent dobro informisan, kao i da nema gomile drugih uslova i odredbi ugovora koji ga zamagljuju. Ostali razlozi za zadržavanje tih podataka uključuju: pojedinačni ugovor (npr. sa zaposlenim), zakonsku obavezu, vitalni značaj (npr. kada je obrada podataka neophodna zarad opšteg dobra), javni interes, legitimni interes (npr. kada postoji nužan razlog za obradu ličnih podataka bez saglasnosti).
2. Da li GDPR važi samo za evropske kontinentalne kompanije?
Ne! GDPR se odnosi na građane Evropske unije, a ne na kompanije koje obrađuju njihove podatke. Dakle, ukoliko klijent vaše kompanije ima sedište van Evrope ali u njoj ima korisnike, moraće da se pridržava ovih pravila. Organi EU za zaštitu podataka, poput britanskog Ureda komesarijata za informacije, mogu preduzeti mere protiv organizacija bez obzira gde se u svetu nalazile, ukoliko to predstavlja rizik po britanske državljane.
3. Ko može da pristupi ličnim podacima?
Za početak, vaši veći klijentimoraju da imenuju službenika zaduženog za zaštitu podataka. Nadležni će kontaktirati takvu osobu radi provere usklađenosti sa Uredbom i uspostaviti ispravne procese i protokole. Osim toga, samo ovlašćeni zaposleni (za koje to zahteva potreba posla) smeju da imaju pristup podacima klijenata.
4. Na koji način kompanije treba da osiguraju podatke?
GDPR zahteva visok nivo bezbednosti, mada je o specifičnostima poprilično nejasan. On ne određuje konkretne mere, već kaže da će od kompanija biti zahtevano da "obezbede nivo bezbednosti koji odgovara stepenu rizika".
5. Koji je najbolji format za držanje podataka klijenata?
Iako je od ključnog značaja obezbeđenje i kvalitetno kriptovanje podataka, kako i mirovanju tako i u tranzitu, podjednako je važno i učiniti ih dostupnima za korisnike kada ih oni zatraže. U okviru GDPR, ljudi mogu u bilo kom trenu zatražiti svoje podatke na uvid, zahtevati da budu obrisani ili ih preneti kod nekog drugog provajdera. Zbog toga, Uredba kaže da kompanije moraju obezbediti prenos ličnih podataka u "strukturiranim, obično korišćenim i mašinski čitljivim formatima".
6. Šta je "dizajnirana privatnost" i šta ona znači za mene kao pojedinca?
Najbolji način za obezbeđenje informacija u svakom trenutku predstavlja upotreba softvera koji je dizajniran sa naglaskom na zaštiti podataka. GDPR ohrabruje preduzeća da prihvate tu "dizajniranu privatnost" kako bi mogla da obrađuju podatke bez potrebe za dodatnim compleksnim modifikacijama koje troše vreme, samo zarad obezbeđenja usklađenosti sa Uredbom.
7. Na koji način kompanije treba da reaguju u krizi?
Najvažnija je blagovremena priprema. GDPR traži od kompanija da imaju procenu uticaja na privatnost (Privacy Impact Assessment = PIA). U suštini, to podrazumeva postavljanje pitanja "Kako bi naši klijenti/korisnici mogli da budu izloženi riziku u slučaju zloupotrebe podataka od strane loših momaka?", i potom zapisivanje zdravorazumskog pristupa zarad upravljanja tim rizicima. Kada preduzeće postane svesno postojanja curenja podataka, u roku od 72h mora da o tome obavesti kako lokalni organ za zaštitu podataka tako i sve korisnike koji su tim curenjem bili pogođeni. Plus, sva korespondencija sa klijentima mora biti obavezno na engleskom jeziku razumljivog nivoa.
8. Kakve su kazne za nepoštovanje Uredbe?
Jednom rečju: kaznene. Nadležni organi mogu napisati kazne do 20 miliona evra ili 4% ukupnog opšteg prometa. U stvarnosti, nadamo se da će na samom početku oni radije tražiti garancije da kompanija ima aktivan plan i da na najbolji način radi na rešavanju bilo kakvih problema.
9. Kakav je to dil između onih koji "kontrolišu" i onih koji "obrađuju" podatke?
GDPR navodi dve strane koje idolaze u kontakt sa podacima: jedna koja ih kontroliše i druga koja ih obrađuje. Oni koji kontrolišu su na višem položaju u toj hijerarhiji, jer oni odlučuju koji će podaci biti prikupljeni i šta će sa njima biti rađeno. Oni koji obrađuju, samo sprovode instrukcije onih koji kontrolišu. U dosadašnjem režimu, "kontrolori" su imali najveći deo pravne odgovornosti. Po GDPR-u,"obrađivači" će takođe biti odgovorni za akcije koje imaju uticaj na lične podatke.
10. Šta je sa drugim kompanijama u tom ekosistemu, poput SaaS provajdera?
GDPR proširuje odgovornost na sve organizacije koje manipulišu ličnim podacima. Ukoliko neka treća strana, koja ima pravo pristupa bazi podataka vaših kupaca, nije kompatibilna sa Uredbom, onda ni vaši kupci automatski nisu kompatibilni. To znači da oni moraju otresti prašinu sa tih ugovora i obezbediti da njihovi dobavljači budu deo rešenja, a ne problema.
Jasno je da u GDPR-u postoji mnogo više od ovih deset tačaka, ali one predstavljaju dobar primer na koji to način većina pravila jednostavno odražava pametnu biznis-praksu. Kada su klijenti srećni i zadovoljni, onda će to podjednako važiti i za donosioce Uredbe.
Ako sumnjate da vaši klijenti nisu u potpunosti pripremljeni, uverite ih da je moguće mnogo toga postići sa 12 jednostavnih i praktičnih koraka, baš kako to preporučuje britanski ICO.
Arne Uppheim: GDPR is coming - here's why you don't need to panic (Avast blog, 23.05.2018)
Erik Preisser: Are your SMB clients GDPR-ready? (Avast blog, 24.05.2018)
General Data Protection Regulation (GDPR) - final text neatly arranged (Intersoft consulting)
Regulation (EU) 2016/679 of the European Parliament and of the Council (pdf)
Preparing for the General Data Protection Regulation (GDPR) - 12 steps to take now (ICO 2018)
Naravno, bez obzira da li ste državljanin (ili ne) neke od članica EU, a koristite razne društvene mreže, platforme i slične servise (poput blogova), Uredba se odnosi i na vas dokle god budete imali posetioce vašeg sajta koji su građani EU. Iako su blogovi "lična stvar" a ne firme, ne dajte se time zavaravati da pravila igre ne važe i za vas. Zbog toga je Google blogger (platforma na kojoj je i ovaj blog) obavestila svoje korisnike o sledećem:
- Zakoni Evropske unije od vas zahtevaju da vašim posetiocima koji su iz EU obavezno pružite informacije o "kolačićima" koje koristite i podacima koje na svom blogu prikupljate (koristeći npr. Google analytics i slične alate). U mnogim slučajevima, ti zakoni takođe od vas zahtevaju obavezno pridobijanje saglasnosti korisnika za takve radnje. Iz čiste ljubaznosti prema vama, na vaš blog smo dodali jednu notu da bi smo objasnili na koji način koristimo određene Blogger i Google "kolačiće", uključujući i one za Google Analytics i AdSense, kao i za ostale podatke koje Google prikuplja. Na vama je odgovornost da potvrdite da će ova nota zaista biti u funkciji na vašem blogu, i da je na njemu jasno vidljiva. Ukoliko koristite i druge "kolačiće" (npr. dodavanjem opcija trećeg lica), ova opcija možda kod vas neće raditi. Ukoliko na svom blogu koristite i neke opcije drugih provajdera, moguće je da postoji prikupljanje nekih dodatnih informacija vaših korisnika.
Dakle, nisi u EU ali moraš da poštuješ pravila igre. Zbog njih ali i zbog samog sebe.
Ko ovo ne ukapira - ode blog.
Aha, pitajte Marka Cukerberga šta o tome misli...
Cookies notification i European union countries (Google Blogger support, 24.05.2018)
2. Da li GDPR važi samo za evropske kontinentalne kompanije?
Ne! GDPR se odnosi na građane Evropske unije, a ne na kompanije koje obrađuju njihove podatke. Dakle, ukoliko klijent vaše kompanije ima sedište van Evrope ali u njoj ima korisnike, moraće da se pridržava ovih pravila. Organi EU za zaštitu podataka, poput britanskog Ureda komesarijata za informacije, mogu preduzeti mere protiv organizacija bez obzira gde se u svetu nalazile, ukoliko to predstavlja rizik po britanske državljane.
3. Ko može da pristupi ličnim podacima?
Za početak, vaši veći klijentimoraju da imenuju službenika zaduženog za zaštitu podataka. Nadležni će kontaktirati takvu osobu radi provere usklađenosti sa Uredbom i uspostaviti ispravne procese i protokole. Osim toga, samo ovlašćeni zaposleni (za koje to zahteva potreba posla) smeju da imaju pristup podacima klijenata.
4. Na koji način kompanije treba da osiguraju podatke?
GDPR zahteva visok nivo bezbednosti, mada je o specifičnostima poprilično nejasan. On ne određuje konkretne mere, već kaže da će od kompanija biti zahtevano da "obezbede nivo bezbednosti koji odgovara stepenu rizika".
5. Koji je najbolji format za držanje podataka klijenata?
Iako je od ključnog značaja obezbeđenje i kvalitetno kriptovanje podataka, kako i mirovanju tako i u tranzitu, podjednako je važno i učiniti ih dostupnima za korisnike kada ih oni zatraže. U okviru GDPR, ljudi mogu u bilo kom trenu zatražiti svoje podatke na uvid, zahtevati da budu obrisani ili ih preneti kod nekog drugog provajdera. Zbog toga, Uredba kaže da kompanije moraju obezbediti prenos ličnih podataka u "strukturiranim, obično korišćenim i mašinski čitljivim formatima".
6. Šta je "dizajnirana privatnost" i šta ona znači za mene kao pojedinca?
Najbolji način za obezbeđenje informacija u svakom trenutku predstavlja upotreba softvera koji je dizajniran sa naglaskom na zaštiti podataka. GDPR ohrabruje preduzeća da prihvate tu "dizajniranu privatnost" kako bi mogla da obrađuju podatke bez potrebe za dodatnim compleksnim modifikacijama koje troše vreme, samo zarad obezbeđenja usklađenosti sa Uredbom.
7. Na koji način kompanije treba da reaguju u krizi?
Najvažnija je blagovremena priprema. GDPR traži od kompanija da imaju procenu uticaja na privatnost (Privacy Impact Assessment = PIA). U suštini, to podrazumeva postavljanje pitanja "Kako bi naši klijenti/korisnici mogli da budu izloženi riziku u slučaju zloupotrebe podataka od strane loših momaka?", i potom zapisivanje zdravorazumskog pristupa zarad upravljanja tim rizicima. Kada preduzeće postane svesno postojanja curenja podataka, u roku od 72h mora da o tome obavesti kako lokalni organ za zaštitu podataka tako i sve korisnike koji su tim curenjem bili pogođeni. Plus, sva korespondencija sa klijentima mora biti obavezno na engleskom jeziku razumljivog nivoa.
8. Kakve su kazne za nepoštovanje Uredbe?
Jednom rečju: kaznene. Nadležni organi mogu napisati kazne do 20 miliona evra ili 4% ukupnog opšteg prometa. U stvarnosti, nadamo se da će na samom početku oni radije tražiti garancije da kompanija ima aktivan plan i da na najbolji način radi na rešavanju bilo kakvih problema.
9. Kakav je to dil između onih koji "kontrolišu" i onih koji "obrađuju" podatke?
GDPR navodi dve strane koje idolaze u kontakt sa podacima: jedna koja ih kontroliše i druga koja ih obrađuje. Oni koji kontrolišu su na višem položaju u toj hijerarhiji, jer oni odlučuju koji će podaci biti prikupljeni i šta će sa njima biti rađeno. Oni koji obrađuju, samo sprovode instrukcije onih koji kontrolišu. U dosadašnjem režimu, "kontrolori" su imali najveći deo pravne odgovornosti. Po GDPR-u,"obrađivači" će takođe biti odgovorni za akcije koje imaju uticaj na lične podatke.
10. Šta je sa drugim kompanijama u tom ekosistemu, poput SaaS provajdera?
GDPR proširuje odgovornost na sve organizacije koje manipulišu ličnim podacima. Ukoliko neka treća strana, koja ima pravo pristupa bazi podataka vaših kupaca, nije kompatibilna sa Uredbom, onda ni vaši kupci automatski nisu kompatibilni. To znači da oni moraju otresti prašinu sa tih ugovora i obezbediti da njihovi dobavljači budu deo rešenja, a ne problema.
Jasno je da u GDPR-u postoji mnogo više od ovih deset tačaka, ali one predstavljaju dobar primer na koji to način većina pravila jednostavno odražava pametnu biznis-praksu. Kada su klijenti srećni i zadovoljni, onda će to podjednako važiti i za donosioce Uredbe.
Ako sumnjate da vaši klijenti nisu u potpunosti pripremljeni, uverite ih da je moguće mnogo toga postići sa 12 jednostavnih i praktičnih koraka, baš kako to preporučuje britanski ICO.
Arne Uppheim: GDPR is coming - here's why you don't need to panic (Avast blog, 23.05.2018)
Erik Preisser: Are your SMB clients GDPR-ready? (Avast blog, 24.05.2018)
General Data Protection Regulation (GDPR) - final text neatly arranged (Intersoft consulting)
Regulation (EU) 2016/679 of the European Parliament and of the Council (pdf)
Preparing for the General Data Protection Regulation (GDPR) - 12 steps to take now (ICO 2018)
Naravno, bez obzira da li ste državljanin (ili ne) neke od članica EU, a koristite razne društvene mreže, platforme i slične servise (poput blogova), Uredba se odnosi i na vas dokle god budete imali posetioce vašeg sajta koji su građani EU. Iako su blogovi "lična stvar" a ne firme, ne dajte se time zavaravati da pravila igre ne važe i za vas. Zbog toga je Google blogger (platforma na kojoj je i ovaj blog) obavestila svoje korisnike o sledećem:
- Zakoni Evropske unije od vas zahtevaju da vašim posetiocima koji su iz EU obavezno pružite informacije o "kolačićima" koje koristite i podacima koje na svom blogu prikupljate (koristeći npr. Google analytics i slične alate). U mnogim slučajevima, ti zakoni takođe od vas zahtevaju obavezno pridobijanje saglasnosti korisnika za takve radnje. Iz čiste ljubaznosti prema vama, na vaš blog smo dodali jednu notu da bi smo objasnili na koji način koristimo određene Blogger i Google "kolačiće", uključujući i one za Google Analytics i AdSense, kao i za ostale podatke koje Google prikuplja. Na vama je odgovornost da potvrdite da će ova nota zaista biti u funkciji na vašem blogu, i da je na njemu jasno vidljiva. Ukoliko koristite i druge "kolačiće" (npr. dodavanjem opcija trećeg lica), ova opcija možda kod vas neće raditi. Ukoliko na svom blogu koristite i neke opcije drugih provajdera, moguće je da postoji prikupljanje nekih dodatnih informacija vaših korisnika.
Dakle, nisi u EU ali moraš da poštuješ pravila igre. Zbog njih ali i zbog samog sebe.
Ko ovo ne ukapira - ode blog.
Aha, pitajte Marka Cukerberga šta o tome misli...
Cookies notification i European union countries (Google Blogger support, 24.05.2018)
No comments:
Post a Comment