GDPR i korporativna bezbednost

Opšta uredba o zaštiti podataka o ličnosti – GDPR (General Data Protection Regulation), koja reguliše način korišćenja podataka o ličnosti građana Evropske unije (EU), izglasana je još u aprilu 2016. ali je ostavljen period od dve godine u kojem su sva zakonodavstva u zemljama EU imala dovoljno vremena da se prilagode i što bolje spreme za primenu ove uredbe. Opšta uredba o zaštiti podataka o ličnosti - GDPR je stupila na snagu 25. maja ove godine.

722
GDPR, korporativna bezbednost Srbija
- Sponzor članka -hikvision srbija

Uredba koja je stupila na snagu 25.05.2018. godine jedna je od najznačajnijih u oblasti zaštite podataka u poslednjih 20 godina. Usvajanje Predloga zakona o zaštiti podataka o ličnosti ima za cilj unapređenje međunarodne razmene podataka i zaštite podataka o ličnosti, kao i usklađivanje domaćeg zakonodavstva sa novim propisima EU u ovoj oblasti.

Vlada Republike Srbije usvojila je Predlog zakona o zaštiti podataka o ličnosti, koji ima za cilj unapređenje međunarodne razmene podataka i zaštite podataka o ličnosti, kao i usklađivanje domaćeg zakonodavstva sa novim propisima EU u ovoj oblasti.

U kojim aspektima korporativne bezbednosti se može prepoznati značaj zaštite podataka o ličnosti?

  • Ljudski resursi
  • Fizičko i tehničko obezbeđenje – privatno obezbeđenje i samozaštita
  • Informaciona bezbednost

Ljudski resursi

  • Regrutacija i selekcija
  • Krivična i prekršajna osuđivanost
  • Bezbednosne provere
  • Zdravstveno stanje
  • Obuka i razvoj kadrova

Fizičko i tehničko obezbeđenje

  • Zakon o privatnom obezbeđenju (“Sl. glasnik RS”, br. 104/13 i 42/15)
  • Provera identiteta
  • Video-nadzor
  • Evidencije
  • Zaštita podataka
  • Nadzor
  • Prekršajna odgovornost

Provera identiteta – Član 47.

  • Provera identiteta vrši se uvidom u ličnu kartu ili drugi identifikacioni dokument sa fotografijom izdat od nadležnih državnih organa. Službenik obezbeđenja neće dozvoliti ulaz u štićeni objekat ili štićeni prostor licu koje, na zahtev obezbeđenja, odbije da se identifikuje prilikom ulaska.

Video nadzor – Član 32.

  • Kada se poslovi zaštite objekta ili prostora koji se koriste za javnu upotrebu vrše uz upotrebu uređaja za snimanje slike, pravno lice i preduzetnik za privatno obezbeđenje dužni su da na vidljivom mestu istaknu obaveštenje da je objekat ili prostor zaštićen video obezbeđenjem, a korisnik usluga je obavezan da to prihvati i arhivirane snimke čuva najmanje 30 dana i da ih, na zahtev, stavi na uvid ovlašćenom policijskom službeniku.
  • Podaci iz stava 1. ovog člana mogu se koristiti samo u svrhu za koju su prikupljeni.
  • Zabranjeno je ustupanje trećim licima i javno objavljivanje podataka iz stava 1. ovog člana, osim u slučajevima predviđenim zakonom.

Video nadzor – Član 34.

  • Planiranje sistema tehničke zaštite vrši se na osnovu procene rizika u zaštiti lica, imovine i poslovanja koju je izradilo pravno ili fizičko lice sa odgovarajućom licencom u skladu sa ovim zakonom. Član 35.
  • Upotrebljena tehnička sredstva moraju, u pogledu kvaliteta, sigurnosti i garancija, ispunjavati zakonske norme i tehničke standarde koji važe u Republici Srbiji.
  • Pravno lice i preduzetnik za privatno obezbeđenje odgovorno je za ispravnost i funkcionalnost sredstava iz stava 1. ovog člana, a korisnik usluga mora da osigura njihovo održavanje i servisiranje u skladu sa ovim zakonom i ugovorom.

Zaštita podataka – Član 68.

  • Podaci koji su prikupljeni u vršenju posla privatnog obezbeđenja mogu se koristiti samo u svrhu za koju su prikupljeni i ne mogu se ustupati trećim licima ili javno objavljivati, osim ako je drugačije propisano ili ugovoreno.
  • Lice na koje se podaci odnose ima pravo da zahteva da mu se prikupljeni podaci stave na uvid, što obuhvata pravo na pregled, čitanje i slušanje podataka, kao i pravljenje zabeleški, a o svom trošku i dobijanje kopija podataka (fotokopiju, audio kopiju, video kopiju, digitalnu kopiju i sl.) u obliku u kojem se informacija nalazi, kao i da, u skladu sa propisima, zahteva izmenu ili brisanje podataka.
  • Ako je zbirka podataka uspostavljena ugovorom, ili na osnovu pristanka u pisanom obliku, u slučaju ispunjenja ili raskida ugovora, odnosno povlačenja pristanka u pisanom obliku, pravno lice za privatno obezbeđenje, odnosno preduzetnik za privatno obezbeđenje obavezno je da podatke preda korisniku ili da ih briše u roku od 15 dana od dana raskida ugovora, odnosno povlačenja pristanka, a druge podatke koji nisu od značaja ili koje korisnik odbije da preuzme, uništi u roku od osam dana.

Zaštita podataka – Član 69.

  • Pravna lica i preduzetnici koji vrše poslove privatnog obezbeđenja, kao i službenici obezbeđenja, dužni suda kao tajnu, u skladu sa zakonom i drugim propisima kojima se uređuje tajnost podataka, čuvaju sve podatke koje saznaju u vršenju poslova, osim u slučajevima predviđenim zakonom.
  • Obaveza iz stava 1. ovog člana traje i po prestanku obavljanja delatnosti pravnih lica i preduzetnika koji vrše poslove privatnog obezbeđenja, odnosno po prestanku radnog odnosa službenika obezbeđenja, sve do zakonom propisanog roka.

Informaciona bezbednost

  • Prema Zakonu o informacionoj bezbednosti (“Sl. glasnik RS”, br. 6/16 i 94/17) informaciona bezbednost je “ … skup mera koje omogućavaju da podaci kojima se rukuje putem IKT sistema budu zaštićeni od neovlašćenog pristupa, kao i da se zaštiti integritet, raspoloživost, autentičnost i neporecivost tih podataka, da bi taj sistem funkcionisao kako je predviđeno, kada je predviđeno i pod kontrolom ovlašćenih lica”

Zakon o zaštiti podataka o ličnosti (“Sl glasnik RS”, br. br. 97/08 i 104/09 – dr. zakon i 68/2012 odluka US i 107/2012)

  • Snimanje jeste obrada podataka o ličnosti;
  • Obrada mora biti zakonita, svrsishodna i srazmerna;
  • Rukovalac i obrađivač moraju preduzeti tehničke, kadrovske i organizacione mere zaštite podataka, u skladu sa utvrđenim standardima i postupcima, a koje su potrebne da bi se podaci zaštitili od gubitka, uništenja, nedopuštenog pristupa, promene, objavljivanja i svake druge zloupotrebe, kao i da utvrde obavezu lica koja su zaposlena na obradi, da čuvaju tajnost podataka.

GDPR ili Opšta uredba o zaštiti podataka o ličnosti jedna je od najkontroverznijih regulativa u poslednjih nekoliko godina. Iako postoje brojni razlozi za donošenje pravilnika koji bi bio posvećen regulisanju prikupljanja, deljenja i obrade ličnih podataka korisnika, mnoge kompanije i institucije nisu zadovoljne uvođenjem strožih mera u pogledu upravljanja ličnim podacima korisnika. Osim toga što GDPR ima široku geografsku primenu (regulativa važi ne samo za kompanije na teritoriji EU već i za građane koji borave u EU), gotovo je izvesno da će svaka kompanija čije se poslovanje zasniva na prikupljanju ličnih podataka imati mnogo više obaveza i odgovornosti nego do sada.

Tekst je preuzet iz prezentacije sa konferencije „Korporativna bezbednost u Republici Srbiji 2018“, koju je izlagao Zlatko Petrović iz kancelarije Poverenika za informacije od javnog značaja i zaštitu podataka o ličnosti Republike Srbije

5/5 - (4 votes)
Prethodni članakPromocija izdanja „Korporativna bezbednost – hrestomatija“ na 63. Međunarodnom beogradskom sajmu knjiga
Sledeći članakSve što ste hteli da znate o CISO – Chief Information Security Officer