You are here

GDPR izvor rizika ali i mogućnosti

27/09/2018

Privredna komora Crne Gore je 27. septembra 2018. godine treći put organizovala seminar „Upoznavanje sa Opštom uredbom o zaštiti podataka o ličnosti (GDPR)”, u saradnji sa revizorsko - konsultantskom firmom BDO Srbija, izlazeći u susret privrednicima koji pokazuju veliko interesovanje za ovu aktuelnu temu.

Preko 40 predstavnika sektora revizije, procjene rizika, usaglašenosti, poslovnih savjetnika, zaposlenih koji učestvuju u upravljanju podacima o ličnosti po bilo kom osnovu, pratilo je predavanja Vanje Kurtović, rukovoditeljke Sektora za upravljanje rizicima, BDO Srbija i njenog saradnika Nikole Markovića, dok je učesnike seminara u ime Privredne komore Crne Gore pozdravio prof. dr Mladen Perazić, direktor Sektora za obrazovanje i kvalitet.

Razvoj novih tehnologija i kanala telekomunikacija uzrokuje da se lični podaci sve slobodnije i brže kreću kroz globalnu digitalnu mrežu, proporcionalno povećavajući i rizike vezane za njihovo upravljanje. Opšta uredba o zaštiti podataka EU u potpunosti mijenja način poslovanja svih organizacija koje se bave prikupljanjem, obradom ili bilo kakvim tretiranjem podataka o ličnosti.

Uredba je stupila na snagu 25. maja 2018. godine i direktno se primjenuje u državama članicama Unije bez prenošenja u nacionalno zakonodavstvo. Primenjivaće je i one kompanije čije je sjedište izvan EU, a koje nude usluge ili robu na njenom tržištu, ili ukoliko raspolažu podacima o ličnosti njenih građana. Očekuje se da će se zakonska regulativa zemalja kandidata za članstvo u EU mijenjati kako bi se uskladila sa ovom evropskom uredbom. Predviđa se puna primjena GDPR u Crnoj Gori i Srbiji gdje je zakon već u proceduri, ali za razliku od EU koja je dala dvije godine obveznicima da se pripreme za primjenu GDPR, u kod nas se očekuje da će za to, od usvajanja zakona, biti ostavljeno svega nekoliko mjeseci.

Cilj GDPR je zaštita ljudskih prava u kontekstu kretanja podataka o ličnosti. Međutim, ova uredba predstavlja i svojevrsni rizik za organizacije, jer maksimalne propisane kazne za neusuglašavanje sa njom dosežu 20 miliona eura ili četiri odsto ukupnog prihoda kompanije, a treba imati u vidu i reputacione rizike koji iz toga proizilaze.

GDPR najviše utiče na sektore zdravstvene zaštite, finansija, javni sektor, ICT, trgovinu i hotelijerstvo.

Usaglašavanje sa GDPR biće težak proces pri čemu posebno treba voditi računa o načinu prikupljanja podataka, analizi, čuvanju, njihovoj vrsti, kao i detekciji i uklanjanju potencijalnih rizika koji mogu dovesti do ozbiljnih propusta. Ukoliko dođe do „curenja“ podataka o ličnosti ili sličnih neželjenih događaja i incidenata, organizacija će morati da dokaže da je preduzela adekvatne mjere u cilju njihove zaštite i prevencije navedenih događaja.

Potencirano je da GDPR ne predstavlja samo izvor rizika već i mogućnosti, jer će adekvatan dizajn sistema upravljanja podacima o ličnosti i njegova implementacija doprinijeti boljoj kontroli nad podacima i njihovim integritetom, a usklađenost sa regulativom izgradiće povjerenje kod klijenata i poslovnih partnera organizacije.

Preporučeno je organizacijama da što prije otpočnu procese usklađivanja sa GDPR, upravo zbog kratkih rokova koji se očekuju za to. Organizacija mora prvo da ocijeni postojeći sistem upravljanja podacima o ličnosti, uoči neusaglašenosti trenutnog i željenog stanja, zatim formira plan kako bi neusklađenosti otklonila, sve u cilju potpunog ispunjenja zahtjeva regulative. Organizacijama koje ne posjeduju kadar koji bi na adekvatan način mogao da odgovori zahtjevima upravljanja podacima o ličnosti, regulativa pruža mogućnost da ga eksterno angažuju.

Organizacija mora implementirati osam principa vezanih za privatnost prilikom upravljanja podacima o ličnosti. Podaci moraju biti obrađeni zakonito, pravično i transparentno, u skladu sa pravima njihovog vlasnika. Podaci su prikupljeni u određene, izričite i zakonite svrhe i ne smiju se obrađivati na način koji nije u skladu s time. Podaci su primjereni, relevantni i ograničeni na svrhe u koje se obrađuju. Oni se ne čuvaju se duže nego što je neophodno. Moraju biti tačni i ažurirani, te čuvati se primjenom adekvatnih mjera zaštite. Ne smiju se prenositi u drugu državu bez adekvatne zaštite.

Tokom predavanja bilo je riječi i o obuhvatu Opšte uredbe, šta su podaci o ličnosti, a šta ne. Navedeni su činioci procesa upravljanja podacima o ličnosti unutar organizacije, principi GDPR-a i prava vlasnika podataka o ličnosti zagarantovana ovom uredbom. Objašnjeni su koncept Privacy by Design, koraci u implementaciji GDPR-a u poslovanje organizacije, ingerencije Data Protection Officera (DPO) i Data Protection Impact Assesment (DPIA) proces.

Privredna komora će ovim seminarom i aktivnostima koje slijede nastaviti da podržava usvajanje znanja iz evropskog zakonodavstva i savremenog poslovanja bez kojih domaća preduzeća neće zauzeti mjesta na tržištu koja kvalitetom proizvoda i usluga zaslužuju.

Izdvajamo