GDPR 10 MESECI KASNIJE

Bezbednost | Bezbednost-16 | Bezbednost-nova | Business&IT | Business&IT-br.12

Skoro deset meseci nakon početka primene Opšte uredbe EU o zaštiti podataka već možemo da govorimo o njenim prvim efektima. Imajući u vidu ogromno interesovanje javnosti koje su izazivale predviđene kazne, osvrnućemo se i na njih…

Tehnološka ekspanzija i globalizacija postavile su pred nas nove izazove u pogledu zaštite ličnih podataka, a masovno korišćenje interneta i društvenih mreža donelo je potpuno nove načine na koje podaci mogu da budu zloupotrebljeni. Ogroman obim prikupljanja ličnih podataka i trgovina njima uticali su na Evropsku Uniju da revidira dotad važeća pravila u ovoj oblasti, te da donese Opštu uredbu o zaštiti fizičkih lica u odnosu na obradu podataka o ličnosti i o slobodnom kretanju takvih podataka, tj. General Data Protection Regulation (Regulation EU 2016/679 of the European Parliament and of the Council), koja je stupila na snagu 25. maja 2018. godine.
GDPR donosi niz novih pravila sa namerom da se podaci o ličnosti zaštite bolje nego ranije, da se stvori uniformni pravni okvir u svim državama članicama EU, kao i da se obezbedi slobodan i bezbedan protok podataka između država članica, te prenos u treće zemlje i međunarodne organizacije. Opšta uredba sadrži niz novih kategorija u odnosu na prethodni regulatorni okvir, kao što je pojam pseudonimizacija, pravo na zaborav itd.
Nepridržavanje odredaba koje predviđa GDPR može dovesti do izricanja kazni u iznosima do 20 miliona evra ili do 4% ukupnog godišnjeg prometa za prethodnu finansijsku godinu, u zavisnosti od težine prekršaja.

Prve kazne

Sada, skoro deset meseci nakon početka primene, možemo da govorimo o prvim efektima, a imajući u vidu ogromno interesovanje javnosti koje su izazivale predviđene kazne, osvrnućemo se i na njih.

Prva kazna izrečena je u Austriji početkom oktobra 2018. i tiče se nepravilno postavljenog video-nadzora ispred poslovnih prostorija jednog preduzetnika. U ovom slučaju kamere su, osim ulaza, snimale i veliki deo trotoara ispred poslovnih prostorija, te su na taj način kršena načela obrade kojih treba da se pridržava svaki rukovalac. Preduzetnik je kažnjen relativno malim iznosom (4.800 evra), zbog, kako je objašnjeno, želje da kazna bude proporcionalna ekonomskoj moći rukovaoca.

Krajem istog meseca, u Portugalu je setom sankcija u ukupnom iznosu od 400.000 evra kažnjena bolnica u gradu Bareiro zbog toga što je kršila načela integriteta i poverljivosti podataka, te minimizacije podataka. Naime, utvrđeno je da je pristup dosijeima pacijenata bio omogućen za 985 aktivnih naloga u sistemu, iako je bolnica u trenutku kontrole imala 296 lekara.

Sledeća kazna izrečena je u Nemačkoj sredinom novembra 2018. Društvenoj mreži Knuddels.de izrečena je kazna od 20.000 evra nakon hakerskog napada koji je prouzrokovao krađu i online objavljivanje podataka o 808.000 e-mail adresa i 1,8 miliona korisničkih imena i lozinki. U nekim slučajevima bili su objavljeni i podaci o stvarnim imenima i adresama korisnika. Nakon kontrole, otkriveno je da web stranica nije koristila nikakve mere zaštite ličnih podataka u čijem posedu je bila. Relativno blaga kazna izrečena je zbog dobre saradnje rukovaoca sa organom kontrole i brze implementacije mera bezbednosti podataka.

Do sada najviša kazna, u iznosu od 50 miliona evra, izrečena je kompaniji u čijem je vlasništvu Google. Kazna je izrečena od strane organa za zaštitu podataka o ličnosti u Francuskoj nakon pritužbe dva udruženja građana koja se bave zaštitom podataka o ličnosti u ime više od 10.000 pojedinaca, a zbog navoda o nezakonitom prikupljanju saglasnosti korisnika o slanju personalizovanih oglasa i marketinških poruka. Istraga je zaključila da je Google informacije koje su relevantne za obradu podataka o ličnosti smestio u nekoliko dokumenata, te da se do njih teško dolazi zbog toga što je potrebno pratiti razne linkove i preduzeti mnoge korake da bi se informacije našle. Takođe, utvrđeno je da su informacije same po sebi nejasne i zbunjujuće, te da saglasnost koju korisnik daje za prikupljanje ličnih podataka nije posebno ni jasno izražena za svrhu za koju se daje, te da tako data saglasnost ne ispunjava standarde koje GDPR predviđa. Utvrđeno je i da su polja koja bi korisnik trebalo da označi prilikom pružanja saglasnosti bila unapred obeležena, te da na taj način korisnici koji su kreirali novi korisnički nalog nisu imali izbor, nego su bili naterani da daju saglasnost za obradu podataka. Imajući u vidu ekonomsku moć kompanije Alphabet Inc. na globalnom nivou, sama kazna od 50 miliona evra možda neće presudno uticati na promenu ponašanja Google-a na tržištu, ali je pokazatelj da nadležni organi država članica Evropske Unije imaju želju da tehnološke gigante koji stiču profit korišćenjem ličnih podataka u čijem su posedu nateraju da budu otvoreni u vezi sa načinom kako te podatke koriste.

Pred organima država članica EU koji su zaduženi za zaštitu ličnih podataka u toku su brojni procesi, uključujući i one protiv kompanija Amazon, Apple, DAZN, Spotify i Netflix, pa će posledice primene kaznenih odredaba koje GDPR predviđa biti tek sagledane.

Usaglašavanje poslovanja sa GDPR standardima

Ovaj kratki period primene pokazao je da su uočene povrede raznovrsne i da se tiču kako primene novih tehnologija i servisa, tako i „tradicionalnih“ metoda obrade ličnih podataka, kao što je video-nadzor.

Osim visokih kazni, kompanije čije poslovanje nije usaglašeno sa GDPR standardima suočavaju se sa ogromnim rizikom narušavanja poslovnog ugleda, čije posledice mogu biti umnogome teže od samog plaćanja kazne. Široka lepeza prava koja su data pojedincu u vezi sa obradom ličnih podataka, naglašena odgovornost rukovaoca za obradu podataka, uključujući i odgovornost za bezbednost podataka, ističe obavezu kompanija da usaglase svoje poslovanje sa ovom uredbom.

Obaveza usaglašavanja odnosi se na sve kompanije sa sedištem u Evropskoj Uniji, kao i na kompanije sa sedištem van EU koje nude robu ili usluge fizičkim licima koja se nalaze u EU, bez obzira da li se roba ili usluge naplaćuju, kao i na kompanije koje prate ponašanje fizičkih lica, ukoliko se to ponašanje odvija unutar EU.

U Republici Srbiji je 21. novembra 2018. stupio na snagu novi, dugo očekivani Zakon o zaštiti podataka o ličnosti (Službeni glasnik RS, br. 87/2018), koji će početi da se primenjuje devet meseci od dana stupanja na snagu. Ovim zakonom uključeni su u naš pravni okvir instituti koje predviđa GDPR, imajući u vidu da je Republika Srbija kao država kandidat za članstvo u Evropskoj Uniji u obavezi da zakonodavstvo uskladi sa zakonodavnim okvirom EU.

Kompanija COMING – Computer Engineering d.o.o. Beograd uspešno pruža sveobuhvatnu uslugu usklađivanja poslovanja sa pravilima koja predviđaju GDPR i Zakon o zaštiti podataka o ličnosti, a koja obuhvata procenu usaglašenosti kroz skeniranje poslovnih procesa, procenu uticaja obrade na zaštitu podataka o ličnosti, analizu uočenih neusaglašenosti, preporuke za usaglašavanje, kao i isporuku svih najsavremenijih tehnoloških rešenja koja su potrebna da bi podaci i poslovanje bili bezbedni.

Višnja Crnogorac

 

 

0 %s Comments

Prosledi komentar

Vaša adresa e-pošte neće biti objavljena.

Najnoviji

Novi-NetApp-proizvodi
30th oktobar 2023,,

Novi NetApp proizvodi

Da li su vam već poznati novi NetApp sistemi C-serije, sa QLC Flash tipom ...
Detaljnije
Veštačka-inteligencija-u-našim-rukama
30th oktobar 2023,,

Veštačka inteligencija u

Broj oblasti u kojima se eksperimentiše sa različitim dostignućima veštačke ...
Detaljnije
Azure-Active-Directory--postaje-Entra-ID
30th oktobar 2023,,

Azure Active Directory

Azure Active Directory je sada Entra ID. I premda većina korisnika ovu promenu ...
Detaljnije
Transformacija-tehničkog-duga--pomoću-DevOps-tehnologija
30th oktobar 2023,,

Transformacija tehničkog duga

Najveću opasnost za organizacije ne predstavlja samo postojanje tehničkog duga, ...
Detaljnije