GDPR, odnosno Opšta uredba o zaštiti podataka o ličnosti, značajno menja pravila zaštite podataka u EU. Ovaj članak vas vodi kroz osnovne principe GDPR-a, objašnjava kako utiče na poslovanje i nudi praktične primere njegove primene. Saznajte šta je neophodno da biste obezbedili usklađenost s uredbom i zaštitili ne samo lične podatke, već i poverenje svojih klijenata.
Uvod u GDPR i njegov značaj
GDPR (General Data Protection Regulation) predstavlja jedinstveni pravni okvir koji u čitavoj EU definiše pravila zaštite ličnih podataka. Ciljevi uredbe su:
ojačati prava građana EU na zaštitu njihovih podataka,
ujednačiti pravila među državama članicama,
modernizovati pristup privatnosti.
Uredba se odnosi na firme i pojedince u EU, ali i van nje, ako obrađuju lične podatke građana EU. Obuhvata:
velike korporacije i preduzetnike (OSVČ),
e-trgovinu, usluge, lekarske ordinacije, savetnike i dr.
Šta su lični podaci?
Prema GDPR-u, lični podaci su sve informacije koje omogućavaju identifikaciju konkretne osobe, kao što su:
ime, adresa, e-mail, IP adresa,
lokacijski podaci, kolačići (cookies),
posebne kategorije: zdravstveno stanje, religija, etnička pripadnost, politički stavovi (ovi podaci podležu strožim pravilima zaštite).
Koliko dugo se mogu čuvati lični podaci?
Samo onoliko koliko je neophodno za ostvarenje svrhe zbog koje su podaci prikupljeni. Period čuvanja zavisi od svrhe i pravnog osnova:
podaci za marketinške nagradne igre – do objave rezultata,
podaci kupaca u e-trgovini – npr. tokom trajanja garancije,
mzdovni ili zdravstveni podaci – prema zakonom utvrđenim rokovima.
Suvišni ili neažurni podaci moraju se bezbedno ukloniti.
Pravila za obradu ličnih podataka
Obrada mora biti transparentna i pravična. Neophodno je obezbediti:
informisanje o svrsi, obimu, periodu čuvanja i pristupu,
jasan i dostupan dokument sa politikom privatnosti,
dobrovoljnu, slobodnu i informisanu saglasnost.
Ključni principi GDPR-a
Obrađujte lične podatke samo za jasno određenu svrhu.
Uvek informišite koje podatke prikupljate i zašto.
Obezbedite sigurnost podataka.
Omogućite pojedincima pristup, izmenu ili brisanje njihovih podataka.
Praktični primeri implementacije GDPR-a
-
Kolačići na web sajtu
Svaki sajt koji koristi cookies za personalizaciju mora imati traku sa obaveštenjem i izborom, uključujući i link ka pravilima privatnosti.
-
Fotografije i video snimci sa firmenskih događaja
Grupne fotografije su uglavnom dozvoljene. Za pojedince je potrebna saglasnost, ukoliko su prepoznatljivi i javno prikazani.
-
Sigurnosne kamere
Kamera sistem je dozvoljen, npr. radi zaštite imovine, ali zaposleni moraju biti informisani, a snimanje ograničeno na nužni obim.
GDPR u praksi
Firma organizuje teambuilding i želi da podeli slike na društvenim mrežama. Trebalo bi da:
zatraži pisanu saglasnost učesnika za objavljivanje fotografija,
omogući odbijanje fotografisanja bez posledica,
koristi anonimizaciju ili zamagljivanje ako je potrebno.
Postupak u slučaju kršenja GDPR-a
Kršenje GDPR-a podrazumeva situacije kao što su:
gubitak podataka,
neovlašćen pristup,
odavanje informacija trećim stranama.
U tom slučaju je neophodno:
odmah analizirati incident,
prijaviti kršenje nadležnom telu u roku od 72 sata,
informisati pogođene osobe ako postoji rizik od štete.
Kazne za kršenje GDPR-a
Sankcije mogu biti ozbiljne, čak i za manja preduzeća:
do 20 miliona EUR ili 4 % godišnjeg globalnog prometa kompanije
GDPR nije formalnost. Njegovo nepoštovanje može imati ozbiljne finansijske i reputacione posledice.
Zaključak
GDPR je sveobuhvatan, ali razumljiv skup pravila koji štiti i podatke i poverenje. Implementacijom uredbe u vašem poslovanju:
povećavate kredibilitet,
smanjujete rizik od kazni,
pristupate klijentima odgovornije i profesionalnije.
Odgovorno upravljanje ličnim podacima danas je znak ozbiljnog poslovnog pristupa.
