Kopirani prvi tekst.
Uredba o opštoj zaštiti podataka rezultat je četiri godine rada Evropske
unije i usklađivanja zakonodavstvo s novim, ranije nezamislivim načinima na
kojima se podaci o ličnosti danas koriste. GDPR regulativa uvodi veće
novčane kazne u ovoj oblasti, a građanima daje više informacija o tome šta
kompanije mogu da rade s njihovim podacima.
Dva su razloga za uvođenje GDPR‑a. Prvo, EU želi da građanima omogući veću
kontrolu i bolji uvid u to kako se koriste njihovi podaci, imajući u vidu
da mnoge kompanije, kao što su Facebook i Google, nude svoje usluge u
zamenu za prikupljanje podataka o korisnicima. Sadašnje zakonodavstvo
usvojeno je pre nego što su Internet i cloud tehnologija stvorili nove
načine iskorišćavanja podataka, a GDPR nastoji da to reši. Jačanjem
zakonodavstva o zaštiti podataka i uvođenjem strogih mera za sprovođenje,
EU se nada povećanju poverenja u digitalnu ekonomiju u nastajanju.
Zakonom o zaštiti podataka koji važi na celom jedinstvenom tržištu, EU želi
da omogući preduzećima jednostavniji i jasniji pravni ambijent (EU
procenjuje da će to uštedeti preduzećima i do 2,3 milijarde godišnje). GDPR
regulativa primenjivaće se u svim zemljama članicama EU od 25. maja 2018.
godine. Budući da je GDPR regulativa, a ne direktiva, zemlje Evropske unije
ne moraju izraditi novi zakonski propis – umesto toga, on će se automatski
primenjivati.
U SAD će situacija biti nešto drugačija. Naime, samo 43 odsto preduzeća u
SAD priprema se za dolazak ove zakonske regulative i menja svoje prakse, a
velika je verovatnoća da će ostali angažovati druga preduzeća iz EU, koja
će te podatke opsluživati. Uprkos tome, skoro trećina ispitanika u SAD
rekla je da se ne priprema za donošenje zakonodavstva, a 28 odsto izjavilo
je da ne zna za bilo kakve pripreme koje njihova kompanija možda radi u
vezi s GDPR‑om.
Podnaslov: Podaci o ličnosti
Sve što se smatralo ličnim podacima iz Zakona o zaštiti podataka takođe se
kvalifikuje kao lični podaci u okviru GDPR‑a, ali EU sada znatno proširuje
definiciju ličnih podataka. Da bi se odrazile vrste organizacija za
prikupljanje podataka o ljudima, online identifikatori kao što su IP adrese
sada se kvalifikuju kao lični podaci. Drugi podaci, kao što su oni o
ekonomskom, kulturnom ili mentalnom zdravlju, takođe se smatraju ličnim
podacima.
Pseudonimizovani lični podaci (podaci koji su vezani za šifru, a šifra se
dodeljuje osobama i jedinstvena je) takođe mogu biti predmet GDPR pravila,
u zavisnosti od toga koliko je lako ili teško identifikovati čiji su to
podaci. Pogledajmo, na primer, račun plaćen 2.000 dinara. To nije lični
podatak, ali jeste ako se čuva i informacija ko ga je platio. Svaki podatak
koji nam daje više informacija o nekoj osobi jeste podatak o ličnosti.
Osnovni korisnici i institucije koji se moraju pridržavati GDPR regulative
jesu „kontrolori“ i „distributeri“. Kontrolor podataka navodi kako i zašto
se lični podaci obrađuju, dok je distributer firma koja vrši stvarnu obradu
podataka. Kontrolor može biti svaka organizacija, od kompanije koja traži
profit, do dobrovoljne ili vladine organizacije. Distributer bi mogla biti
IT firma. Čak i ako su kontrolori i distributeri sa središtem van EU, GDPR
će se primenjivati i na njih, dokle god imaju podatke o stanovnicima EU.
Odgovornost kontrolora je da obezbedi da njihov distributer poštuje zakon o
zaštiti podataka, a distributeri sami moraju poštovati pravila za
održavanje evidencija o njihovim procesima obrade. Odgovornost u okviru
GDPR‑a je znatno veća nego što je bila pod Zakonom o zaštiti podataka. Kada
zakon stupi na snagu, kontrolori moraju osigurati da se lični podaci obrade
zakonito, transparentno i za određenu svrhu. Jednom kada je ta svrha
ispunjena i podaci više nisu potrebni, kontrolori su u obavezi da te
podatke izbrišu.
Podnaslov: Saglasnost korisnika
„Zakonito“ ima niz alternativnih značenja. Prvo, može biti zakonito ako se
subjekt saglasio sa svojim obrađenim podacima. Alternativno, zakonito može
značiti poštovanje ugovora ili zakonske obaveze; da zaštiti interes koji je
„bitan za život“ subjekta; ako je obrada podataka u javnom interesu; ili
ako je to u zakonitom interesu kontrolora – kao što je sprečavanje prevare.
Kontrolori moraju voditi evidenciju o tome kako i kada osoba daje
saglasnost, i taj pojedinac može povući svoju saglasnost kad god poželi.
Ako vaš trenutni model za dobijanje saglasnosti ne ispunjava ova nova
pravila, moraćete ga menjati ili ćete zaustaviti prikupljanje podataka pod
tim modelom kada GDPR počne da se primenjuje. Saglasnost mora biti aktivna,
afirmativna akcija od strane subjekta podataka, a ne pasivno prihvatanje po
nekim trenutnim modelima klika na neko polje za overu.
Građani imaju pravo da pristupe informacijama koje kompanije čuvaju o
njima, kao i pravo da znaju zašto se ti podaci obrađuju, koliko dugo se
čuvaju i ko ih sve vidi. Gde god je to moguće, kontrolori podataka treba da
obezbede siguran, direktan pristup ljudima da pregledaju koje informacije
kontrolor čuva o njima. Građani čije podatke čuva neka kompanija mogu
tražiti pristup i uvid u svoje podatke u „razumnim intervalima“, a
kontrolori moraju odgovoriti u roku od mesec dana. GDPR zahteva da način
prikupljanja i rukovanja prikupljenim podacima bude transparentan. Naime,
šta kontrolori i distributeri rade s podacima i kako ih obrađuju mora da
bude jasno objašnjeno običnim jezikom, bez suviše stručnih termina koje
većina građana ne bi razumela. Najzad, građani mogu tražiti da se podaci o
njima, ukoliko nisu tačni ili su nepotpuni, isprave i dopune.
Podnaslov: Pravo na zaborav
Pojedinci imaju pravo da zahtevaju da njihovi podaci budu izbrisani ako
više nisu neophodni za svrhu za koju su prikupljeni. Ovo je poznato kao
„pravo na zaborav“. Prema tom pravilu, građani mogu zahtevati da se njihovi
podaci brišu ako su povukli saglasnost da se podaci o njima sakupljaju, ili
da se suprotstavljaju načinu na koji se ti podaci obrađuju.
Kontrolor je odgovoran za obaveštavanje drugih organizacija (na primer,
Google‑a) da obriše sve veze s kopijama tih podataka, kao i same kopije tih
podataka. Kontrolori sada moraju čuvati informacije o ljudima u najčešće
korišćenim formatima (kao što su CSV datoteke), tako da mogu da prebace
podatke o osobi u drugu organizaciju (kontrolora) i to besplatno, ako osoba
to zatraži. Kontrolori moraju to uraditi u roku od mesec dana.
Svaka kompanija koja poseduje podatke o ličnosti svojih zaposlenih i
klijenata dužna je da obavesti svoj autoritet za zaštitu podataka o svim
kompromitovanjima podataka koji rizikuju ljudska prava i slobode u roku od
72 sata od kada se kompromitovanje otkrije. Svi stručnjaci u Evropi
smatraju da je ovde potrebno više ljudskih resursa (misli se na edukovane i
kvalifikovane kadrove), koji će raditi na razotkrivanju kompromitovanja
podataka, u okviru GDPR. Taj rok je dovoljno dug da verovatno kompanija
neće znati svaki detalj kompromitovanja nakon što ga otkrijete. Međutim,
početni kontakt sa autoritetom za zaštitu podataka treba da precizira
prirodu podataka o kojima je reč, otprilike koliko je ljudi pogođeno, šta
bi posledice mogle značiti za njih i koje mere je kompanija preduzela ili
planira da preduzme u odgovor. Takođe, kompanije su dužne da obaveste i
osobe čiji su podaci eventualno kompromitovani.
Prosečni ukupni troškovi kompromitovanja ličnih podataka procenjeni su na
3,62 miliona dolara. Kompanije koje ne ispune svoje obaveze u roku od 72
sata mogu se suočiti s kaznom, drastično većom nego pre, u visini od dva
odsto godišnjeg prihoda u svetu ili 10 miliona evra, u zavisnosti od toga
koji je iznos veći. Postoje i druge kazne koje mogu biti i teže, kao na
primer u slučaju kada kompanije ne prate osnovne principe obrade podataka,
kao što je saglasnost, ignorišu prava pojedinaca o svojim podacima ili
prenose podatke u drugu zemlju bez odobrenja vlasnika podataka. Novčane
kazne mogu ići i do 20 miliona evra ili četiri odsto godišnjeg prometa.
A u Srbiji? Svako preduzeće koje koristi lične podatke građana EU mora da
poštuje ovaj zakon. To znači da, s obzirom na to da nameravamo da
pristupimo EU, moramo već sada voditi računa i početi pripreme za primenu
GDPR‑a.
Kopirani drugi tekst.
U susret Opštoj uredbi o zaštiti podataka o ličnosti (General Data
Protection Regulation, tj. GDPR) ‑, koje će morati da se pridržavaju i
mnogi sektori u Srbiji, ukoliko žele da nastupaju na području Evropske
unije kroz B2B odnose i B2C transakcije i drakonskim kaznama koje su tako
osmišljene da ih kompanije osete, svi ubrzano menjaju pravila korišćenja.
To je onaj beskonačno dosadan i suvoparan tekst koji niko nikada nije
pročitao, ali su svi dali saglasnost. Sada to više ne pije vodu, pa
kompanije ubrzano pokazuju zabrinutost za naše zdravlje šaljući nam
preporuke kako da se zaštitimo. Obično je reč o opcijama koje su ili bile
vešto skrivene negde u podešavanjima ili jednostavno nisu postojale do
sada. Najlepši primer za to je Facebook koji se ozbiljno uplašio GDPR-a.
Kako iskoristiti maksimalno nova pravila privatnosti
Sada dolazimo do najvažnije stvari – šta mi tu ustvari treba da podesimo?
Kompanije kao da namerno žele da uvedu konfuziju među korisnike, nadajući
se da će ipak nekako zaobići odredbe ove udredbe. I dok neke kompanije
poput Facebooka traže od korisnika da daju svoju saglasnost za
prepoznavanje lica, neke imaju mnogo fleksibilnije rešenje za nova pravila.
Kompanije kao što su Twitter ili Yahoo su obavestile korisnike da
jednostavnim nastavkom korišćenja njihovih usluga oni pristaju na
promenjene uslove.
Twitter je jedna od kompanija koja je počela da obaveštava korisnike da je
vreme da pregledaju svoja podešavanja o bezbednosti i korišćenju podataka.
Oni su ponudili uvid u podešavanja privatnosti kako biste označili šta može
a šta ne da se koristi. Naravno, sve predstavljeno tako da je u vašem
najboljem interesu da kompanijama dopustite da vam maltene uđe u kuću i
pogledaju sadržaj frižidera. Generalno sve one žele da vi sa njima sve
delite, jer tako navodno oni mogu bolje da vam nude sadržaj ali i pod nos
guraju reklame koje će vam “značiti”.
Podnaslov: Bezbednosna podešavanja u aplikacijama
Postoji nekoliko važnih oblasti na koje treba da obratite pažnju. Ukoliko
zaista želite da znate na šta treba da pristanete, potražite sledeće reči u
novim uslovima korišćenja kao i u podešavanjima.
Data providers – ovaj termin je vezan za delove koji se odnose na
skupljanje podataka i načina za njihovo čuvanje. Obavezno ne dozvolite
kompanijama da vaše podatke skupljaju iz drugih izvora. Zaista ne želite da
dozvolite kreiranje vašeg profila sa svim informacijama o vašim
aktivnostima
na internetu. Curenja informacija već ima previše, a tu su i oglasi za
stvari koje vas “zanimaju” a koje su privatna stvar.
Location data – GDPR definiše lociranje kretanja osoba u prošlosti i
sadašnjosti kao tip ličnih podataka. U prevodu, šta vi radite i gde se
krećete apsolutno ne treba da se tiče IT kompanija i oglašivača. Zbog nove
uredbe, kompanije sada moraju da detaljno objasne koliko će se informacija
koristiti i kako će biti upotrebljene. Ako ipak želite da vašu privatnost
unovče ili ste vi tip koji kaže “ja nemam šta da krijem”, onda ovo nije
tekst za vas.
Affirmative act – sada je potrebno da date jasno odobrenje za korišće vaših
podataka. Do sada se opcija zabrane deljenja podatka nalazila negde, vešto
skrivena ili jednostavno nije postojala. Dakle, nema više situacija da vas
neko spamuje jer ste “negde pristali na nešto”. Sada kada je sve izašlo na
videlo, proverite da li ste dali neke pristanke na nešto čega niste ni
svesni.
Controller – Korisnici van EU treba da provere gde je registrovana
kompanija čije usluge koriste. Facebook je već “preselio” milione korisnika
iz irskog sedišta u američko, kako bi izbegao GDPR. Kako smo i mi u Srbiji
dobijali razna upozorenja i opcije za podešavanje, ostaje nada da se i mi
računamo u Evropu ili bar predvorje EU, gde njeni zakoni takođe treba da se
primenjuju i štite prava korisnika.
Purposes i Recipients – ovde se pominje kako se koristiti podaci korisnika
i sa kim će deliti podatke. Ovde se očekuje najviše pokušaja da se nešto
sakrije jer niko ne želi da razmišlja kako se njegovi podaci upravo
obrađuju od strane nekih nepoznatih ljudi. Zloupotreba nije nepoznata reč u
ovom slučaju, pa se korisnici s pravom brinu o efektima uredne koja stupa
uskoro na snagu.
Podnaslov: GDPR – sudar kompanija sa odgovornošću čuvanja privatnosti
Kompanije će svakako pokušati da ospore ili umanje efekte GDPR-a, ali
ostaje činjenica da nešto mora da se menja, i to pod hitno. To je upravo
bila tema Bizit seminara gde su domaći stručnjaci dali svoje mišljenje na
ovu temu. Nova regulativa pogađa i kompanije koje do sada nisu imale
problema sa zloupotrebama korisnika, niti zarađuju trgovinom njihovim
podacima. Oni svejedno moraju da poštuju GDPR i uvedu promene u poslovanju.
Uvođenja reda na tržište koje funkcioniše na prodaji ličnih podataka je dug
proces, ali ostaje nada će nešto promeniti sa GDPR. Nova regulativa stupa
na snagu 25. maja.
Izvor: BBC
__________
Podaci o listi:
1. Web strana: http://www.slikom.info/ml/sl.html
2. Adresa za prijavu: slikom-request@xxxxxxxxxxxxx u subjektu upisati: subscribe
3. Adresa za odjavu: slikom-request@xxxxxxxxxxxxx u subjektu upisati:
unsubscribe
4. Facebook: http://www.facebook.com/web.portal.slikom
5. Twitter: https://www.twitter.com/slikom
6. Adresa moderatora: SliKom-Moderators@xxxxxxxxxxxxx
__________