Koliko kompanije primenjuju standarde zaštite podataka o ličnosti - Uvedeni novi pojmovi, pravo na prenos podataka, proširena definicija pristanka, duplo veće kazne...

Evropska Opšta uredba o zaštiti podataka (GDPR) stupila je na snagu 25. maja 2018. godine, a Skupština Srbije je početkom novembra 2018. usvojila novi Zakon o zaštiti podataka o ličnosti (ZZPL), čija bi primena trebalo da počne 21. avgusta 2019. Ovaj zakon usklađen je sa GDPR-om i predviđa novine u poslovanju, kako u privatnom, tako i u javnom sektoru.

Visoke kazne koje propisuje GDPR za one koji se ne pridržavaju novih propisa primorao je kompanije da se brzo prilagode zakonskoj regulativi, iako su mnogi još u nedoumici oko precizne primene. Zato su AHK Srbija i njen član Confida Consulting, u saradnji sa Prosper Intelligence Group i Marijom Zdravković, partnerom u advokatskoj kancelariji Moravčević Vojnović i partneri u saradnji sa Schonherr, organizovali 26. februara skup na temu "GDPR i upotreba veštačke inteligencije u primeni standarda zaštite podataka".

Marija Zdravković je ovom prilikom objasnila koje su najznačajnije novine u zakonskoj regulativi koja se tiče zaštite podataka o ličnosti, gde su sličnosti a gde razlike između srpskih i evropskih zakona, i kako izgleda primena GDPR-a u Srbiji.

- Podaci o ličnosti su sve one informacije koje se odnose na određeno ili odredivo fizičko lice i na njih se primenjuju GDPR i Zakon o zaštiti podataka o ličnosti (ZZPL). Kada je reč o novitetima, uvode se novi pojmovi podatka o ličnosti, kao što je identifikator u elektronskoj komunikaciji (utvrđivanje identiteta lica na osnovu njihovih uređaja, aplikacija, tool-ova i protokola, kao što su internet protokol adrese, cookie ili drugi identifikatori kao što su oznake radio frekvencije), genetski i biometrijski podaci... Bitno je da se propisi primenjuju na direktno ili indirektno identifikovanje lica, kao i da se GDPR i ZZPL primenjuju bez obzira na državljanstvo fizičkog lica - bitno je da se nalazi u EU (odnosno Srbiji) - navela je Zdravković.

Ona je istakla da, za razliku od trenutno važećeg zakona prema kojem je obavezna pismena forma pristanka, a što je izazvalo ogromne probleme u praksi imajući u vidu tehnološki napredak, ZZPL (GDPR) sada predviđa proširenu definiciju pristanka.

- Pristanak je sada određen kao svako dobrovoljno, određeno, informisano i nedvosmisleno izražavanje volje lica, kojim to lice daje pristanak za obradu podataka o ličnosti koji se na njega odnose. Pristanak se sada može dati i online po "tick-the-box" principu, što značajno olakšava e-trgovinu i svu vrstu poslovanja korišćenjem savremenih elektronskih tehnologija.

Lice na koje se podaci odnose ima pravo da zahteva od rukovaoca brisanje podataka o ličnosti, zaustavljanje daljeg prenosa podataka, kao i zaustavljanje obrade podataka od strane trećih lica ako podatak nije više potreban za ostvarivanje originalne svrhe ili je lice povuklo saglasnost za obradu.

- Novitet u ovim propisima je i pravo na prenos podataka (jednog rukovaoca drugom), ako je tehnički izvodljiv, a prenos se može tražiti kada je obrada zasnovana na saglasnosti lica ili na ugovoru, kao i kada se vrši automatskim putem - navodi Marija Zdravković.

Propisuje se i veći broj mera zaštite podataka o ličnosti (tehničkih, organizacionih i kadrovskih), kao što su pseudonimizacija i kriptozaštita podataka o ličnosti, obezbeđivanje trajne poverljivosti, integriteta, raspoloživosti i otpornosti sistema i usluga obrade, kao i ponovni pristup i raspoloživost u slučaju fizičkih ili tehničkih smetnji. Obavezno je i redovno testiranje mera bezbednosti obrade.

- Još jedna novina je i obaveza rukovaoca podacima da imenuje lice za zaštitu podataka o ličnosti, i to kada se njegova osnovna delatnost sastoji od obrada koje podrazumevaju sistemsko i sveobuhvatno praćenje lica u velikoj meri, i kada se osnovna delatnost rukovaoca sastoji od masovne obrade posebnih podataka o ličnosti.


Duplo veće kazne za nepoštovanje propisa

Kada je reč o kaznama, ZZPL predviđa duplo veće maksimalne kazne u odnosu na trenutno važeći zakon. Maksimalna kazna za povrede odredbi zakona sada je 2 miliona dinara, odnosno 17.000 EUR, ali Marija Zdravković smatra da u ovom smislu Zakon nije postigao potpunu usklađenost sa GDPR-om, koji predviđa maksimalni iznos kazne do 4% ukupnog godišnjeg prometa kompanije na svetskom nivou u prethodnoj godini, odnosno maksimalno 20 mil EUR.

- Do primena GDPR-a, van teritorije EU, može doći na osnovu usmerene aktivnosti, targetiranja ka teritoriji EU, iako rukovalac ili obrađivač nemaju prisustvo u EU, i to u slučaju nuđenja roba i usluga licima u EU ili praćenja ponašanja lica dokle god se takvo ponašanje odvija unutar EU.

Kada se GDPR primenjuje na rukovaoca, odnosno obrađivača podataka, on je obavezan da ima imenovanog predstavnika u EU. Izuzeci su ako vrši povremenu obradu ili je verovatno da neće dovesti do rizika po prava i slobode fizičkih lica, kao i kada ne uključuje masovnu obradu posebnih kategorija podataka i obradu koje se odnosi na krivične presude i kažnjiva dela.

- Očekuje se da će poslove predstavljanja vršiti posebna pravna lica, ali zbog nejasne odgovornosti i velikog rizika pre se može očekivati da će to vršiti članovi internacionalnih grupa u okviru grupe kompanija - istakla je Zdravković.


Veštačka inteligencija i hardverska enkripcija štite lične podatke

Zoran Jovanović, direktor i osnivač Prosper Intelligence Group, istakao je značaj usklađivanja sa GDPR-om upotrebom veštačke inteligencije. On je naveo da je među najvećim brigama kompanija nedovoljna usklađenost rukovanja bezbednošću podataka sa upravljanjem podacima, što je već identifikovana ranjivost.

Pored upotrebe veštačke inteligencije u primeni standarda zaštite podataka, korišćenje USB fleš diskova koji podržavaju enkripciju takođe adresira nekoliko GDPR zahteva u isto vreme, u slučaju da firma od svih zaposlenih zahteva da počnu da koriste enkriptovane uređaje i zaposlenima obezbedi neophodni trening.

Kako su nedavno predstavili iz kompanije Kingston, uređaji kao što je njihov DataTraveler 2000 imaju na sebi i integrisanu malu numeričku tastaturu, koja unos šifre u potpunosti odvaja od softvera na nekom računaru, donoseći tako najviši mogući stepen zaštite.

Inače, uređaji koji podržavaju hardversku enkripciju spremni su za korišćenje odmah u startu, bez bilo kakvih dodatnih potreba za konfigurisanjem, što je i dokaz da su firme preduzele odgovarajuće "tehničke i organizacione mere" kako bi informacije bile sigurne.