GDPR – Opšte pravilo o zastiti podataka (GDP – General Data Protection Regulation)
Direktiva čija zakonska primjena u EU počinje 25. Maja 2018. godine, je najbolja praksa sa organizacionim, bezbjednosnim i tehničkim mjerama zaštite privatnosti lica kroz zaštitu u postupanju sa privatnim podacima i informacijama koje se odnose na ta lica čija bi bezbjednost, ili neko drugo pravo moglo biti narušeno, u slučaju zloupotrebe istih.
GDPR se bavi pitanjima zaštite privatnih informacija i predviđa niz mjera zaštite koje organizacija ili poslovni sistem mora da usvoji kako bi ispunila minimalne regulativom propisane norme za koje se vjeruje da će u značajnoj mjeri obezbijediti i očuvati privatnost nad privatnim podacima i informacijama, kako zaposlenih, tako i korisnika usluga ili kupaca kompanije, odnosno korisnika usluga javnih servisa i državnih servisa.
Pod privatnim podacima u smislu GDPR smatraju se svi podaci o identitetu lica, ili podaci iz kojih se može jednoznačno utvrditi identitet lica, te podaci o političkoj, seksualnoj orijentaciji, rasi, imovnom stanju, ali i podaci kao što su istorija pretraga, meta podaci na fajlovima koje je napravila određena osoba, a koji mogu otkriti identitet, podaci o zdravlju, imovnom stanju, kretanju, navikama, te drugi personalni podaci čijim bi se objavljivanjem ili zloupotrebom mogla ugroziti osoba.
GDPR se primjenjuje samo na lične podatke, što podrazumijeva i sve jedinstvene identifikatore, te predviđa pseudomizaciju podataka kako bi se izbjegla mogućnost da se isti zloupotrijebe. GDPR predviđa implementaciju razumnih mjera zaštite privatnosti. Pod ovim se podrazumijevaju bezbjednosne, tehničke i organizacione mjere zaštite. GDPR se ne odnosi samo na podatke i postupanje sa njima, odnosni se i na poslovne procese, te na one koji procesiraju podatke. U ovom smislu GDPR predviđa i prenos obaveza, naime, za organizacije koje autsorsuju dio poslova one same su odgovorne za one kojima autsorsuju dio posla.
Kompanije koje vrše obradu ili monitoring ličnih podataka, moraju na vrlo visokom nivou imenovati službenika za zaštitu podataka (Data Protection Officer – DPO). DPO je odgovoran za usklađivanje rada kompanije sa GDPR-om. U slučaju da efikasna kompanija ne poštuje pravila ili nije usklađena sa GDPR-om, pravne posljedice mogu uključivati kazne do 20 miliona eura ili 4 posto godišnjeg prometa.
Prema GDPR-u, prava subjekta podataka uključuju:
- Pravo na zaborav – subjekti podataka mogu zatražiti brisanje ličnih podataka koje kompanija vodi o njima.
- Pravo pristupa – subjekti podataka mogu pregledati podatke koje kompanija vodi o njima.
- Pravo na zaštitu – subjekti podataka mogu zabraniti kompaniji da koristi ili obrađuje lične podatke o njima.
- Pravo na ispravku – subjekti podataka mogu zahtijevati da se njihovi netačni lični podaci isprave.
- Pravo prenosivosti – subjekti podataka mogu pristupiti ličnim podacima koje kompanija ima o njima i prenijeti ih.
Osnovni koraci za primjenu GDPR u organizaciji su, u načelu, sledeći:
- Podizanje svijesti o GDPR i o drugim zakonskim i organizacionim i bezbjednosnim promjenama koje ova regulativa
- Audit o informacijama koje se čuvaju i koriste u organizaciji
- Upoznavanje zaposlenih sa povjerljivošću informacija
- Definisanje individualnih prava – procedure moraju da pokrivaju sva individualna prava (pravo na brisanje podataka ili davanje podataka u elektronskom formatu)
- Usaglašavanje svih procedura za pristupanje, upravljanje i postupanje sa podacima
- Usaglašenost pravnih osnova
- Definisati procedure sa kojima su zaposleni upoznati i saglasni. Zaposleni moraju biti upoznati sa procedurama kako će se sa njihovim ličnim podacima i zapisima postupati i biti saglasni sa tim.
- Definisanje procedura za postupanje sa podacima vezanim za djecu i maloljetne osobe i pribavljanje roditeljske /starateljske saglasnosti za iste
- Definisanje procedura u vezi sa bezbjednosnim probojem i curenjem podataka i informacija te njihovom zloupotrebom. U okviru ovog koraka definisali bi se odgovarajuće procedure za detekciju, izvještavanje i istragu.
- Definisanje strategije zaštita podataka kroz dizajn i procjena uticaja mjera zaštite podataka
- Definisanje zaduženja i opisa radnog mjesta za bezbjednosnog oficira – Data Protection Officer koji predviđa regulativa
- Ako kompanija posluje u više od jedne zemlje EU GDPR predviđa i supervizora za bezbjednost.