Šta za srpske firme znači nova uredba EU?

Još se ne zna ni kakve će promene u njihovom poslovanju ona nametnuti.

Mada GDPR, koji je Evropski parlament usvojio 14. juna 2016. godine, predstavlja propis koji se pre svega primenjuje u EU, pojedine odredbe će biti dužni da primenjuju i pravna i fizička lica zemalja koje nisu članice EU, ukoliko ispunjavaju određene uslove.

Kako kaže Marija Milojević iz konsultantske kuće KPMG, taj dokument predviđa primenu van teritorije EU u slučaju da je obrada podataka o ličnosti povezana sa nuđenjem robe ili usluga licima u EU ili praćenjem njihovog ponašanja, ako se isto odvija u EU.

Između ostalog, odredbama se predviđa da te kompanije imaju predstavnika u EU koji će biti zadužen za određena pitanja vezana za zaštitu podataka, kao i da vode evidenciju aktivnosti obrade ličnih podataka u određenim slučajevima.

Kako se Srbija ne nalazi na listi zemalja Evropske komisije koje primenjuju adekvatne mere zaštite ličnih podataka, GDPR propisuje preduzimanje dodatnih mera zaštite ukoliko podaci iz EU idu u Srbiju (ugovorne klauzule, kodeksi ponašanja, obavezna korporativna pravila), prema saopštenju konsultantske kuće KPMG.

GDPR predviđa kazne čak i do 20 miliona evra ili 4,0 odsto globalnog godišnjeg prometa u slučaju kršenja pojedinih odredaba.

Ove kazne neće izricati nadležni organi u Srbiji i rizik je stoga, pre svega, na kompanijama iz EU jer tamošnji organi vrše nadzor i izriču mere i kazne.

Međutim, iste te kompanije usled rizika po njih, vrlo verovatno neće želeti da sarađuju sa srpskim kompanijama koje nisu usaglašene sa GDPR u meri u kojoj je to potrebno, smatra Marija Milojević.

Dodaje da se Nacrt novog Zakona o zaštiti ličnih podataka u velikom delu podudara s odredbama GDPR-a, te ako se isti usvoji do kraja godine, kompanije u Srbiji će morati da primene skoro sve što pravna i fizička lica iz EU u vezi sa zaštitom ličnih podataka sada počinju da primenjuju, a što znači mnogo više obaveza nego što GDPR trenutno propisuje za treće zemlje.

Milojević precizira da to, pored ostalog, podrazumeva postojanje lica u firmi koje se bavi zaštitom ličnih podataka, obaveza vođenja jedinstvenog registra, obaveza da se svaka povreda prijavi u roku od 72 sata...

"Primeri iz prakse pokazuju da se u mnogim kompanijama niko detaljno nije bavio ličnim podacima i njihovom zaštitom, da su u velikim sistemima službe decentralizovane, da se neki podaci čuvaju na papiru, neki na serveru", kaže Milojević.

Stoga je neophodno, ukazuje ona, da firme najpre urade analizu postojećeg stanja, intervjuišu sve službe koje obrađuju i čuvaju lične podatke kako bi se ustanovilo koji su podaci u pitanju, da li se čuvaju u papirnom, elektronskom obliku, u zemlji, možda u inostranstvu, ukazuje

Potom bi trebalo utvrditi kako kompanija štiti lične podatke - da li preduzima odgovarajuće tehničke ili organizacione mere, propisuje ograničenje prava pristupa fajlovima i slično. Nakon toga, napominje Milojević, definišu se koraci koje bi kompanije trebalo da preduzmu.

U sistemima zaštite ličnih podataka u Srbiji, prema njenim rečima, primer dobre prakse predstavljaju banke, koje su bile na meti visokotehnološkog kriminala, pa su, na primer, implementirale posebne alate kojima mogu da identifikuju neovlašćeni pristup i korišćenje podataka o ličnosti.

U prilog značaju informacione bezbednosti, govori i činjenica da je u EU primećen novi trend u osiguranju kroz polise osiguranja od IT sajber rizika, koje garantuju nadoknadu štete i osiguranoj kompaniji i njenom klijentu ako dođe do zloupotrebe i povrede ličnih podataka, istakla je Milojević.