From past to policy
Pre nego što je GDPR postao noćna mora (ili spas) za kompanije širom Evrope, njegov nastanak je bio odgovor na digitalnu revoluciju i rastuću zabrinutost oko privatnosti podataka.
Kako je nastao GDPR i zašto je bio neophodan?
Sve je počelo ovako..
Opšta uredba o zaštiti podataka o ličnosti (GDPR) stupila je na snagu 25. maja 2018. godine, zamenjujući zastarelu Direktivu o zaštiti podataka iz 1995. godine. U svetu pre skoro tri decenije, internet je bio u povojima, društvene mreže nisu postojale, a obrada podataka se uglavnom odvijala offline. Međutim, digitalna revolucija donela je eksploziju online servisa, e-trgovine, društvenih mreža i veštačke inteligencije, što je stvorilo potrebu za modernijim i strožim pravilima zaštite privatnosti.
GDPR nije samo nova regulativa – on je odgovor na rastuću zabrinutost oko privatnosti i sigurnosti podataka. Njegov osnovni cilj je jačanje prava pojedinaca, davanjem veće kontrole nad ličnim podacima, dok istovremeno nameće strože obaveze kompanijama i organizacijama koje te podatke prikupljaju i obrađuju.
Ključna novina koju je GDPR doneo jeste snažniji mehanizam sprovođenja: nadzorna tela sada imaju pravo da izriču visoke kazne, koje mogu dostići i do 20 miliona evra ili 4% globalnog prihoda preduzeća – što god je veće. Uz to, građani su dobili pravo da traže naknadu štete ako njihova prava budu narušena.
Kao zemlja kandidat za članstvo u EU, Srbija je 2019. godine donela novi Zakon o zaštiti podataka o ličnosti, koji je u velikoj meri usklađen sa GDPR-om. Time su postavljeni moderni standardi zaštite podataka u poslovanju, ali su domaće kompanije i institucije istovremeno suočene s izazovima njegove primene.
Ključni pojmovi GDPR-a
Da biste bolje razumeli kako GDPR funkcioniše u praksi, važno je znati osnovne pojmove koji se često koriste u ovoj regulativi:
🔹Lični podaci – Bilo koja informacija koja može identifikovati fizičko lice, direktno ili indirektno. To može biti ime, e-mail adresa, IP adresa, ali i biometrijski podaci, politička uverenja i druge osetljive informacije.
🔹 Obrada podataka – Svaka radnja koja se vrši nad ličnim podacima, bilo automatski ili ručno. To uključuje prikupljanje, skladištenje, korišćenje, deljenje, pa čak i brisanje podataka.
🔹 Subjekt podataka – Osoba čiji se podaci obrađuju. To mogu biti klijenti, korisnici sajta, zaposleni – ukratko, svi čiji se lični podaci nalaze u sistemima neke organizacije.
🔹 Rukovalac podacima – Organizacija ili pojedinac koji odlučuje o tome kako i zašto se lični podaci obrađuju. To može biti kompanija, vladina institucija, ali i preduzetnik koji prikuplja podatke svojih klijenata.
🔹 Obrađivač podataka – Treća strana koja obrađuje podatke u ime rukovaoca. To su, na primer, cloud servisi poput Google Drive-a, e-mail servisi poput ProtonMail-a ili eksterni call centri koji obrađuju podatke kupaca za neku firmu.
Ovi pojmovi su osnova za razumevanje GDPR-a i ključni su za pravilnu primenu regulative u poslovanju.
Osnovni principi GDPR-a
Svaka kompanija koja obrađuje lične podatke mora se pridržavati sedam ključnih principa GDPR-a. Oni nisu samo formalna pravila – njihov cilj je da osiguraju zaštitu privatnosti i transparentnost u radu sa podacima.
🔹 Zakonitost, poštenje i transparentnost – Podaci se moraju obrađivati na zakonit način. Korisnici moraju znati kako se njihovi podaci koriste.
Primer: Kompanije moraju imati lako dostupnu i jasnu politiku privatnosti koja objašnjava svrhu obrade podataka.
🔹 Ograničenje svrhe – Podaci se mogu koristiti samo u svrhe za koje su prikupljeni. Ne smeju se dalje obrađivati na nespojiv način.
Primer: Ako korisnik ostavi svoj e-mail prilikom registracije, taj e-mail se ne sme koristiti za slanje reklama bez njegove saglasnosti.
🔹 Minimizacija podataka – Prikupljaju se samo oni podaci koji su zaista neophodni. Manje podataka znači manji rizik.
Primer: Prilikom kreiranja naloga za online kupovinu, dovoljno je tražiti e-mail i adresu za dostavu, bez dodatnih ličnih informacija.
🔹 Tačnost i ažurnost podataka – Kompanije moraju obezbediti tačnost i ažurnost podataka koje čuvaju.
Primer: Banke moraju omogućiti korisnicima da redovno ažuriraju kontakt podatke kako bi izbegle greške u dostavi važnih informacija.
🔹 Ograničenje skladištenja – Podaci ne smeju biti čuvani duže nego što je potrebno. Kada svrha istekne, podaci moraju biti obrisani ili anonimizovani.
Primer: Kompanija može čuvati podatke o bivšim zaposlenima samo onoliko dugo koliko je potrebno za poreske i pravne obaveze.
🔹 Integritet i poverljivost – Lični podaci moraju biti zaštićeni od neovlašćenog pristupa, gubitka ili zloupotrebe.
Primer: Primena enkripcije i dvofaktorske autentifikacije sprečava krađe identiteta i curenje podataka.
🔹 Odgovornost (Accountability) – Kompanije moraju poštovati GDPR i dokazati usklađenost sa regulativom.
Primer: Vođenje evidencije o obradi podataka, sprovođenje provera i imenovanje službenika za zaštitu podataka (DPO).
Ovi principi su osnovni za GDPR. Ako ih kompanija razume i primeni, izbegnuće pravne probleme i steći poverenje korisnika.
Prava pojedinaca prema GDPR-u
GDPR daje građanima Evropske unije snažna prava koja im omogućavaju da zadrže kontrolu nad svojim ličnim podacima. Evo koja su to prava:
🔹 Pravo na informisanost – Korisnici imaju pravo da budu obavešteni o tome kako se koriste njihovi podaci i ko ih obrađuje.
Primer: Svaka organizacija mora jasno informisati korisnike o svrsi obrade njihovih podataka, putem politike privatnosti ili drugih kanala.
🔹 Pravo na pristup podacima – Korisnici mogu zatražiti kopiju svih podataka koje organizacija čuva o njima.
Primer: Ako korisnik želi da sazna koji podaci o njemu postoje u bazi podataka firme, može to zatražiti i dobiti odgovor.
🔹 Pravo na ispravku – Ako su podaci netačni ili nepotpuni, korisnici mogu zahtevati ispravku.
Primer: Ako korisnik primeti grešku u svom adresnom podatku, može zahtevati ispravku tog podatka.
🔹 Pravo na brisanje („pravo na zaborav“) – Korisnici mogu zahtevati da se njihovi podaci obrišu, naročito ako više nisu potrebni za prvobitnu svrhu.
Primer: Ako korisnik više ne želi da koristi online servis, može zahtevati brisanje svog naloga i podataka.
🔹 Pravo na ograničenje obrade – Korisnici mogu tražiti da se obrada njihovih podataka privremeno zaustavi, u određenim situacijama.
Primer: Ako korisnik ospori tačnost podataka, može zatražiti da obrada bude pauzirana dok se ne utvrdi tačnost.
🔹 Pravo na prenosivost podataka – Korisnici mogu preuzeti svoje podatke u standardnom formatu i preneti ih drugom pružaocu usluga.
Primer: Ako korisnik želi da pređe na drugi servis, može preneti svoje podatke (kao što su kontakti ili e-mailovi) sa jednog servisa na drugi.
🔹 Pravo na prigovor – Korisnici mogu uložiti prigovor na obradu svojih podataka, posebno kada se koriste za direktni marketing.
Primer: Ako korisnik ne želi da prima marketinške poruke, može se protiviti daljoj obradi svojih podataka u tu svrhu.
🔹 Pravo na ljudsku intervenciju u automatskom odlučivanju – Ako korisnik bude podvrgnut automatskom procesu (kao što je skeniranje aplikacija za kreditnu sposobnost), može zahtevati ljudsku intervenciju.
Primer: Ako automatski algoritam odbije kreditnu prijavu, korisnik može tražiti da neko iz kompanije pregleda odluku.
Ova prava omogućavaju građanima EU da aktivno upravljaju svojim ličnim podacima i da osiguraju da se njihova privatnost poštuje.
Zaključak
GDPR je značajno promenio način na koji kompanije obrađuju lične podatke, postavljajući visoke standarde zaštite privatnosti. Njegov uticaj se oseća u svim sektorima privrede, posebno u IT industriji, gde se podaci korisnika obrađuju na masovnom nivou. Pravilno usklađivanje sa ovom regulativom nije samo pravna obaveza, već i način da se izgradi poverenje korisnika i osigura dugoročni uspeh kompanije.
Serbian 
English
Оставите одговор