Da li su kompanije u Srbiji spremne za GDPR?

KPMG

Uredba propisuje nekoliko obaveza za pravna i fizička lica koja nisu iz Evropske unije ukoliko su dužna da primenjuju GDPR. Propisuje se preduzimanje dodatnih mera zaštite ukoliko podaci iz EU idu u Srbiju (ugovorne klauzule, kodeksi ponašanja, obavezna korporativna pravila)

Veliki broj kompanija u Srbiji još nije utvrdio da li se na njih odnosi opšta uredba EU o zaštiti podataka (General Data Protection Regulation – GDPR), čija primena počinje 25. maja.

Čak se i kompanije koje su sigurne da se na njih odnosi ova uredba nalaze u početnoj fazi usklađivanja, vrše utvrđivanje vrsti ličnih podataka koji se obrađuju, kao i gde se sve ti podaci nalaze.

Primeri iz prakse pokazuju da se u mnogim kompanijama niko detaljno nije bavio ličnim podacima i njihovom zaštitom, da su u velikim sistemima službe decentralizovane, da se neki podaci čuvaju na papiru, neki na serveru.  Stoga je neophodno da firme najpre urade analizu postojećeg stanja, intervjuišu sve službe koje obrađuju i čuvaju lične podatke kako bi se ustanovilo koji su podaci u pitanju, da li se čuvaju u papirnom, elektronskom obliku, u zemlji, možda u inostranstvu, ukazuje Marija Milojević iz konsultantske kuće KPMG.

Potom bi trebalo utvrditi kako kompanija štiti lične podatke - da li preduzima odgovarajuće tehničke ili organizacione mere, propisuje ograničenje prava pristupa fajlovima i slično. Nakon toga, dodaje Milojević, definišu se koraci koje bi kompanije trebalo da  preduzmu.

Uredba propisuje nekoliko obaveza za pravna i fizička lica koja nisu iz Evropske unije ukoliko su dužna da primenjuju GDPR.  Obaveze koje su, između ostalih, propisane su da kompanije imaju predstavnika u EU koji će biti zadužen za određena pitanja vezana za zaštitu podataka, kao i da vode evidenciju aktivnosti obrade ličnih podataka u određenim slučajevima.

Kako se Srbija ne nalazi na listi zemalja Evropske komisije koje primenjuju adekvatne mere zaštite ličnih podataka, GDPR propisuje preduzimanje dodatnih mera zaštite ukoliko podaci iz EU idu u Srbiju (ugovorne klauzule, kodeksi ponašanja, obavezna korporativna pravila).

GDPR predviđa kazne čak i do 20 miliona evra ili 4%  globalnog godišnjeg prometa u slučaju kršenja pojedinih odredbi. Ove kazne neće izricati nadležni organi u Srbiji i rizik je stoga, pre svega, na kompanijama iz EU jer tamošnji organi vrše nadzor i izriču mere i kazne. Međutim, iste te kompanije usled rizika po njih, vrlo verovatno neće želeti da sarađuju sa srpskim kompanijama koje nisu usaglašene sa GDPR u meri u kojoj je to potrebno.

Milojević navodi da se Nacrt novog Zakona o zaštiti ličnih podataka u velikom delu podudara sa odredbama GDPR–a, te ako se isti usvoji do kraja godine, kompanije u Srbiji će morati da primene skoro sve što pravna i fizička lica iz EU u vezi sa zaštitom ličnih podataka već sada počinju da primenjuju, a što znači mnogo više obaveza nego što GDPR trenutno propisuje za treće zemlje. To je i postojanje lica u firmi koje se bavi zaštitom ličnih podataka, obaveza vođenja jedinstvenog registra, obaveza da se svaka povreda prijavi u roku od 72 sata...

U sistemima zaštite ličnih podataka u Srbiji, primer dobre prakse predstavljaju banke, koje su bile na meti visokotehnološkog kriminala pa su, na primer, implementirale posebne alate kojima mogu da identifikuju neovlašćeni pristup i korišćenje podataka o ličnosti.

U prilog značaju informacione bezbednosti govori i činjenica da je u EU primećen novi trend u osiguranju kroz polise osiguranja od IT sajber rizika, koje garantuju nadoknadu štete i osiguranoj kompaniji i njenom klijentu ako dođe do zloupotrebe i povrede ličnih podataka, navodi Milojević.

 

Opšta uredba o zaštiti podataka (General Data Protection Regulation – GDPR), koja je usvojena 14. juna 2016. godine od strane Evropskog parlamenta, počinje da se primenjuje 25. maja 2018. godine. Iako GDPR predstavlja propis koji se pre svega primenjuje u EU, pojedine odredbe će biti dužne da primenjuju i pravna i fizička lica zemalja koje nisu članice EU, ukoliko ispunjavaju određene uslove.

GDPR predviđa primenu van teritorije EU (eksteritorijalnu primenu) u slučaju da je obrada podataka o ličnosti povezana sa nuđenjem robe ili usluga licima u EU ili praćenjem njihovog ponašanja, ako se isto odvija u EU.

KPMG, Beograd d.o.o


Upozorenje:

Web časopis Balkan Magazin ne odgovara za sadržaj objavljenih komentara. Sva mišljenja, sugestije, kritike i drugi stavovi izneseni u komentarima su isključivo lični stavovi autora komentara i ne predstavlja stavove redakcije Web časopisa Balkan Magazin.

captcha image
Reload Captcha Image...