Општата регулатива за заштита на податоците е резултат на четиригодишната работа на Европската унија и усогласување на законодавството со нови, претходно незамисливи начини на кои денес се користат личните податоци. GDPR регулативата воведува поголеми парични казни во оваа област и им дава на граѓаните повеќе информации за тоа што компаниите може да прават со нивните податоци.
Постојат две причини за воведување на GDPR регулативата. Прво, ЕУ сака да им даде на граѓаните поголема контрола и подобар увид во начинот на користење на нивните податоци, имајќи предвид дека многу компании, како што се Фејсбук и Гугл, ги нудат своите услуги во замена за собирање податоци за корисиците. Сегашното законодавство е усвоено пред интернет и клауд технологијата да создадат нови начини за искористување на податоците, а GDPR регулативата се обидува да го реши тоа. Со зајакнување на законодавството за заштита на податоците и воведување построги мерки за спроведување, ЕУ се надева дека ќе ја зголеми довербата во новата дигитална економија.
Со регулативата за заштита на податоците применлива на целиот единствен пазар, ЕУ сака да им обезбеди на компаниите поедноставен и појасен правен амбиент (ЕУ проценува дека тоа ќе им донесе заштеда на бизнисите до 2,3 милијарди годишно). GDPR регулативата ќе се применува во сите земји членки на ЕУ од 25 мај 2018 година. Бидејќи GDPR е регулатива, а не директива, земјите на ЕУ не треба да изготват нов закон – таа автоматски ќе се применува.
Во САД, ситуацијата ќе биде малку поинаква. Имено, само 43 проценти од компаниите во Соединетите Држави се подготвуваат за доаѓање на оваа законска регулатива и менување на нивните практики, а голема е веројатноста дека останатите ќе ангажираат други компании од ЕУ, кои ќе ги опслужуваат тие податоци. Сепак, речиси една третина од испитаниците во САД велат дека не се подготвуваат за донесување на оваа легислатива, а 28% изјавиле дека не знаат за какви било подготовки кои нивната компанија можеби ќе треба да ги направи во однос на GDPR.
Лични податоци
Сè што се смета за личен податок од Законот за заштита на податоците исто така се квалификува како личен податок во рамките на GDPR, но ЕУ сега значително ја проширува дефиницијата за лични податоци. За да ги одрази видовите на организации кои собираат податоци за луѓето, онлајн идентификаторите како што се IP адресите сега се класифицираат како лични податоци. Други податоци, како што се економските, културните или оние за менталното здравје, исто така се сметаат за лични податоци.
Псевдонимизирани лични податоци (податоци поврзани за шифра, а шифрата се доделува на поединци и е единствена) исто така може да бидат предмет на GDPR правилата, во зависност од тоа колку е лесно или тешко е да се идентификуваат чии се тие податоци. Да ја погледнеме, на пример, сметката со исплатени 2.000 денари. Тоа не е личен податок, но може да биде, доколку се чува и информацијата кој ја платил. Секој податок што ни дава повеќе информации за некоја личност е личен податок.
Основните корисници и институции кои мора да се придржуваат на GDPR регулативата се “контролори” и “дистрибутери”. Контролорот на податоци наведува како и зошто се обработуваат личните податоци, додека дистрибутерот е компанија која врши вистинска обработка на податоци. Контролор може да биде секоја организација, од компанија која бара профит, но и доброволна или владина организација. Дистрибутер може да биде ИТ фирма. Дури и ако контролорите и дистрибутерите имаа седиште надвор од ЕУ, GDPR регулативата ќе се применува и на нив, се додека имаат податоци за граѓаните на ЕУ.
Одговорноста на контролорот е да се осигури дека нивниот дистрибутер го почитува законот за заштита на податоците, а дистрибутерите самите мора да ги почитуваат правилата за водење на евиденција за нивните процеси на обработка. Одговорноста во рамките на GDPR регулативата е значително поголема од онаа во Законот за заштита на податоците. Кога регулативата ќе стапи во сила, контролорите мора да обезбедат дека личните податоци се обработуваат законски, транспарентно и за одредена цел. Откако оваа цел е исполнета и податоците повеќе не се потребни, од контролорите се обврзуваат да ги избришат овие податоци.
Согласност на корисникот
“Законски” има голем број алтернативни значења. Прво, може да биде законски доколку субјектот се согласува со обработката на своите податоци. Алтернативно, законски може да значи почитување на договорот или законските обврски; да го заштити интересот кој е “значаен за живот” на субјектот; ако обработката на податоците е во јавен интерес; или ако тоа е во законски интерес на контролорот – како што е спречување на измама.
Контролорите мора да водат евиденција за тоа како и кога некое лице дава согласност и тоа лице може да ја повлече својата согласност секогаш кога сака. Ако вашиот тековен модел за добивање согласност не ги исполнува овие нови правила, ќе треба да го промените или да престанете со собирање на податоци според тој модел кога ќе започне да се применува GDPR регулативата. Согласноста мора да биде активна, афирмативно дејство од страна на субјектот на податоците, а не пасивно прифаќање по некои актуелни модели на кликање на полето за избор.
Граѓаните имаат право на пристап до информациите што компаниите ги чуваат за нив, како и право да знаат зошто овие податоци се обработуваат, колку време се чуваат и кој ги гледа. Секогаш кога е можно, контролорите на податоците треба да обезбедат безбеден, директен пристап на луѓето за да видат кои информации контролорот ги чува за нив. Граѓаните чии податоци ги чува една компанија може да побараат пристап и увид во нивните податоци во “разумни интервали”, а контролорите мора да одговорат во рок од еден месец. GDPR регулативата бара методот на собирање и ракување со собраните податоци да биде транспарентен. Имено, што контролорите и дистрибутерите работат со податоците и како тие се обработуваат мора да биде јасно објаснето на обичен јазик, без премногу стручни термини кои повеќето граѓани не би ги разбрале. Конечно, граѓаните можат да побараат податоците за нив, доколку не се точни или се нецелосни, да ги исправат и дополнат.
Право на заборав
Поединците имаат право да бараат да бидат избришани нивните податоци доколку тие повеќе не се неопходни за целта за која се собрани. Ова е познато како “право на заборав”. Според ова правило, граѓаните можат да побараат нивните податоци да бидат избришани, ако ја повлечат својата согласност за собирање на податоците за нив или да се спротивстават на начинот на кој се обработуваат овие податоци.
Контролорот е одговорен за известување на другите организации (на пример Google) за да ги избришат сите линкови до копиите на таквите податоци, како и самите копии на таквите податоци. Контролорите сега мора да ги чуваат податоците за луѓето во најчесто користените формати (како што се CSV датотеки), така што можат да ги пренесуваат личните податоци на друга организација (контролор), бесплатно, ако тоа го бара лицето. Контролорите мора да го направат тоа во рок од еден месец.
Секоја компанија која поседува лични податоци за своите вработени и клиенти е обврзана да го извести својот орган за заштита на податоците за какво било компромитирање на податоците кои ги загрозуваат човековите права и слободи во рок од 72 часа по откривањето на компромитирањето. Сите експерти во Европа сметаат дека тука се потребни повеќе човечки ресурси (се мисли на едуциран и квалификуван кадар), кој ќе работи на откривање компромитирања на податоците, во рамките на GDPR.
Овој рок е доволно долг што компанијата најверојатно нема да ги знае сите детали од компромитирањето откако ќе го открие. Сепак, првичниот контакт со органот за заштита на податоци треба да ја прецизира природата на податоците за кои станува збор, за тоа колку лица се засегнати, какви последици би можеле да настанат и какви мерки компанијата презела или планира да преземе како одговор. Исто така, компаниите се обврзани да ги известат и лицата чии податоци евентуално се компромитирани.
Просечните вкупни трошоци за компромитирање на личните податоци се проценуваат на 3,62 милиони долари. Компаниите кои нема да ги исполнат своите обврски во рок од 72 часа може да се соочат со казна, драстично повисока од порано, во висина од два проценти од годишниот приход во светот или 10 милиони евра, во зависност од тоа кој износ е повисок. Постојат и други казни кои можат да бидат потешки, како на пример кога компаниите не ги следат основните принципи на обработка на податоци, како што е согласноста, игнорирање на правата на поединците за нивните податоци или доколку пренесуваат податоци во друга земја без дозвола на сопственикот на податоците. Казните може да достигнат до 20 милиони евра или четири проценти од годишниот промет.
А во Македонија? Секоја компанија која користи лични податоци на граѓаните на ЕУ мора да се придржува кон оваа регулатива. Ова значи дека, имајќи предвид дека имаме намера да влеземе во ЕУ, веќе мора да се грижиме за ова и да почнеме да се подготвуваме за имплементација на GDPR.
