Mali podsetnik: Danas stupa na snagu Uredba o GDPR
Danas počinje primena evropske Opšte uredbe o zaštiti podataka o ličnosti (General Data Protection Regulation) – GDPR, i sve kompanije koje posluju sa fizičkim ili pravnim licima iz EU u obavezi su da je primenuju, a zaprećene kazne su milionske.
Šta je GDPR?
– Opšta uredba o zaštiti podataka o ličnosti (General Data Protection Regulation – GDPR) je uredba usvojena na nivou Evropske unije 2016. godine, a cilj njenog donošenja je unificirana zaštita podataka o ličnosti na tlu EU, kao i u zemljama koje obrađuju podatke o ličnosti državljana EU. Imajući u vidu obim promena koje uredba donosi, ostavljen je period prilagođavanja u kome su, pre svega privredna društva koja su osnovana i/ili posluju u zemljama članicama EU, kao i ona koja nisu, ali obrađuju podatke o ličnosti na koje se može primeniti GDPR, dužna da usklade svoje poslovanje sa njegovim odredbama.
Šta GDPR zahteva od svih koji na bilo koji način tretiraju lične podatke?
Popis, kategorizaciju i kodiranje svih informacija o korisnicima koje se definišu kao njihovi lični podaci – bilo koja kombinacija ličnih činjenica koja skupa posmatrano tačno određuje jednog pojedinca. To su, između ostalog, ime i prezime, podaci o lokaciji, fizički, fiziološki, genetski, mentalni, ekonomski, socijalni, kulturni i drugi faktori.
Od 25. maja preduzetnici koji obrađuju podatke građana EU ili targetiraju građane EU kako bi im ponudili odnosno prodali svoje proizvode ili usluge su u riziku od kazni koje propisuje GDPR. Takođe, ovi entiteti su i u riziku da fizička lica, čiji se podaci o ličnosti obrađuju, traže ostvarivanje svojih prava po GDPR-u. Svi koji u svom poslovanju obrađuju lične podatke građana EU iz bilo koje zemlje, moraju prilagoditi svoje poslovanje i uskladiti ga s GDPR-om kako bi smanjili rizik i nastavili poslovati na tržištu EU.
Na koga se GDPR odnosi konkretno, koje vrste delatnosti će se najviše ticati?
Odnosi se na sve osobe koje na bilo koji način obrađuju lične podatke građana EU ili targetiraju građane EU bez obzira imaju li ili nemaju poslovnu jedinicu na teritoriji EU. Svi poslovni subjekti su dužni da se usklade se s GDPR-om. Najviše su ipak u fokusu one delatnosti čije procesi uključuju obradu ličnih podataka u svakodnevnom poslovanju, odnosno čija osnovna delatnosti uključuje intenzivnu obradu ličnih podataka, odnosno koja uključuje redovno praćenje fizičkih lica. Industrije koje su najviše pogođene ovim promenama su primarno telekomunikaciona industrija i finansijski sektor – banke i osiguranja, turističke delatnosti, zdravstvo, industrija igara na sreću, marketinške organizacije i sl.
Koji su to lični podaci odnosno informacije koje se mogu koristiti?
GDPR predviđa da je lični podatak svaka informacija koja se odnosi na identifikovano fizičko lice ili fizičko lice koje se može identifikovati, odnosno identifikovano lice je ono koje se može identifikovati, direktno ili indirektno, naročito putem matičnog broja ili jednog ili više faktora specifičnih za njegov fizički, fiziološki, mentalni, ekonomski, kulturni ili društveni identitet. Smeju se koristiti svi podaci ali pod uslovom da se osigura standard obrade, uključujući i korišćenje, u skladu s GDPR-om. Princip je smanjivanje količine i vrste ličnih podataka koje se obrađuju, a da se pri tome može postići ista svrha zbog koje se podaci obrađuju (princip minimizacije obrade podataka, odnosno srazmernosti obrade).
Kako korisnici mogu da znaju koje tačno podatke neka kompanija ima o njima, i kako će biti procedura da se podaci ako žele zauvek izbrišu?
Fizička lica moraju biti informisana unapred o tome koje podatke o njima obrađuje kompanija – rukovalac. Takođe, fizička lica čiji se podaci o ličnosti obrađuju u svako doba od rukovaoca mogu tražiti informaciju koji njihovi lični podaci se obrađuju i u koje svrhe (pravo uvida). Najzad, fizičko lice čiji podaci o ličnosti se obrađuju se može pozvati na “pravo na zaborav” koje predviđa GDPR, odnosno tražiti da se njegovi podaci o ličnosti pod određenim uslovima izbrišu. Ukoliko su uslovi ispunjeni podaci mogu biti obrisani u potpunosti uključujući i brisanje iz back-upova.
Ko će kontrolisati njegovu primenu i kolike su kazne?
U EU, primenu kontroliše nadzorno telo za zaštitu podataka iz bilo koje EU zemlje, a čiji je državljanjin osoba čiji se podaci obrađuju. Maksimalna kazna iznosi četri odsto svetskog godišnjeg prihoda ili 20 miliona evra, šta god od toga je veće. Kazne se primenjuju u skladu sa smernicama EU o određivanju kazni za povrede odredbi GDPR-a. Treba imati u vidu da je u Srbiji u pripremi novi Zakon o zaštiti podataka o ličnosti koji će u najvećoj mogućoj meri biti usklađen sa odredbama GDPR-a i, pored ostalog, trebalo bi da reguliše nadzorna tela, kao i kazne koje se mogu izreći u slučaju kršenja njegovih odredbi.
Na koji način GDPR utiče na industriju online oglašavanja?
GDPR će imati veliki uticaj na budućnost online oglašavanja. On će transformisati način na koji kompanije sakupljaju, dele i koriste podatke. Ova nova regulativa je nadogradnja postojeće EU regulative o zaštiti podataka, ali sada postoje neke značajne izmene koje se odnose na industriju online oglašavanja.
Obrada podataka za online oglašavanje, bez obzira na to da li direktno identifikuje krajnjeg korisnika ili ne, sada spada pod ovu novu regulativu.
Pravni osnovi za obradu ličnih podataka
Da bi kompanije ili organizacije mogle da prikupljaju ili obrađuju bilo kakve podatke korisnika neophodno je da za to poseduju makar jedan od šest pravnih osnova. U industriji marketinga i oglašavanja su to najčešće „saglasnost“ i „legitiman interes“.
Saglasnost (consent) se izražava elektronski, putem konkludentne radnje (klik mišem), dok ostaje veliko pitanje na koji način će se definisati za šta se tačno daje saglasnost, gde će se i na koji način će se data saglasnost čuvati, ali i prenositi dalje kroz lanac third party kompanija koje učestvuju u mrežnom ekosistemu online oglašavanja.
Za legitiman interes bi trebalo da se smatra i direktni marketing, iako ne postoji potpuno precizna definicija šta je sve direktni marketing. Primera radi, e-mail marketing jeste direktni marketing, ali da li su recimo targetirani Facebook oglasi direktan marketing?
Izvori: Blic, Netokracija, Moja firma