GDPR se primenjuje samo na organizacije EU: Jedna od uobičajenih zabluda je da se GDPR primenjuje samo na organizacije sa sedištem u Evropskoj Uniji. Međutim, GDPR ima i vanevropski doseg i primenjuje se na bilo koju organizaciju koja obrađuje lične podatke državljana EU, bez obzira na to gde se organizacija nalazi. Ekvivalent GDPR-a u Republici Srbiji je Zakon o zašiti podataka o ličnosti.
Za obradu podataka uvek je potrebna saglasnost: Iako je saglasnost jedna od zakonskih osnova za obradu podataka o ličnosti u okviru GDPR-a, to nije jedina opcija. Drugi zakonski osnovi uključuju ispunjavanje ugovora, zakonske obaveze, zaštitu vitalnih interesa, obavljanje zadatka u javnom interesu i legitimni interesi rukovaoca podacima.
GDPR zabranjuje međunarodni transfer i prenos podataka: GDPR ne zabranjuje međunarodne prenose podataka. Umesto toga, GDPR određuje uslove za prenos podataka o ličnosti izvan EU kako bi se osigurao adekvatan nivo zaštite. Organizacije mogu da prenesu podatke u zemlje koje su prepoznate kao one koje pružaju adekvatnu zaštitu ili primenu odgovarajućih mera zaštite, kao što su korišćenje standardnih ugovornih klauzula ili obavezujućih korporativnih politika i pravilnika.
GDPR zahteva momentalno brisanje ličnih podataka: GDPR zahteva od organizacija da zadrže podatke o ličnosti samo onoliko dugo koliko je to potrebno za potrebe za koje su podaci prikupljeni. Međutim, njime nije propisano momentalno brisanje podataka. Periodi zadržavanja mogu da se razlikuju u zavisnosti od pravnih, ugovornih ili legitimnih interesa rukovaoca podacima.
Sankcije za nepoštovanje GDPR su uvek drakonske: Dok je GDPR uveo značajne kazne za nepridržavanje mera, uključujući kazne do 4% godišnjeg prometa ili 20 miliona evra (šta je veće), takvo sankcionisanje u praksi nije automatsko. Regulatorni organi razmatraju različite faktore, uključujući prirodu i ozbiljnost kršenja zakona, saradnju organizacije i korake preduzete za ublažavanje štete.
Neke od najčešćih povreda podataka o ličnosti u praksi proizilaze iz sledećeg:
Nedovoljne mere bezbednosti podataka: Nepostojanje odgovarajućih tehničkih i organizacionih mera za zaštitu podataka o ličnosti može dovesti do kršenja Zakona. To uključuje neadekvatne mere zaštite od neovlašćenog pristupa, zloupotreba podataka ili slučajnog gubitka.
Neovlašćeno otkrivanje ličnih podataka: Deljenje ili otkrivanje ličnih podataka bez odgovarajućeg odobrenja ili pristanka predstavlja kršenje GDPR-a. Do ovoga može doći putem curenja podataka, nepravilnog rukovanja podacima ili neovlašćenog pristupa ličnim podacima.
Nedostatak ispunjenja prava subjekta na koje se podaci o ličnosti odnose: GDPR daje pojedincima razna prava u vezi sa njihovim podacima, kao što su pravo na pristup, ispravljanje, brisanje ili ograničavanje obrade. Neispunjavanjem ovih prava ili nepravovremeni odgovor u suprotnosti je sa GDPR-om.
Neadekvatan odgovor na kršenje podataka: Od organizacija se očekuje da brzo reaguju na narušavanje podataka i obaveste nadležni nadzorni organ (Poverenika) i pogođene pojedince, tamo gde je to neophodno. Neuspeh u identifikovanju, proceni i izveštavanju o kršenju podataka može se okarakterisati kao nepridržavanje GDPR smernica.
Prenos/transfer podataka bez saglasnosti: Prenos ličnih podataka izvan Evropskog ekonomskog prostora (EEA) bez odgovarajućih mera zaštite ili pravnih mehanizama čest je oblik kršenja GDPR-a u praksi, naročito u Srbiji. Ovaj prekršaj podrazumeva prenos podataka bez adekvatnog nivoa zaštite ili bez primene odobrenih zaštitnih mera, kao što su Standardne ugovorne klauzule ili obavezujuća korporativna pravila i politike.
Nedostatak pravnog osnova za obradu podataka: Obrada ličnih podataka bez važećeg zakonskog osnova, kako je definisano GDPR-om, je prekršaj. Organizacije moraju da imaju pravni osnov za obradu podataka o ličnosti, kao što su saglasnost, ugovor o radu, zakonska obaveza, vitalni interesi, javni interes ili legitimni interesi.
Ne vršenje procene uticaja na zaštitu podataka (DPIA): Određene aktivnosti obrade podataka zahtevaju DPIA, koja procenjuje potencijalni uticaj na privatnost pojedinaca i identifikuje neophodne mere za ublažavanje rizika. Ne sprovođenje DPIA kada je to potrebno može se smatrati kršenjem GDPR-a.
Važno je da organizacije shvate svoje obaveze prema GDPR-u, sprovedu odgovarajuće mere za zaštitu podataka o ličnosti i efikasno reaguju u slučaju bilo kakvih propusta kako bi se osiguralo poštovanje propisa. Takođe treba istaći važnost uloge lice za zaštiti podataka o ličnosti (DPO).
Uloga lica za zaštitu podataka (DPO) je od najvećeg značaja u zaštiti podataka o ličnosti. DPO služi kao medijator i zalaže se za prava na privatnost pojedinaca unutar organizacije. DPO obezbeđuje da se organizacija pridržava relevantnih zakona i propisa. To treba da budu lica koja detaljno poznaju propise i pravila u zaštiti podataka o ličnosti, a njihova osnovna uloga ogleda se u pomaganju organizaciji da se kreće kroz složene zakonske zahteve u samom procesu rukovanja i obrade podataka o ličnosti. DPO sprovodi procenu rizika kako bi identifikovao potencijalne ranjivosti i rizike povezane sa obradom podataka o ličnosti, i sprovodi mere za ublažavanje tih rizika.
DPO igra ključnu ulogu u implementaciji principa privatnosti u procese i sisteme organizacije. On blisko sarađuje sa različitim odeljenjima kako bi se osiguralo da se pravila privatnosti integrišu od početnih faza bilo kog projekta ili razvoja poslovanja. DPO deluje kao tačka kontakta za subjekte podataka (pojedince) koji žele da ostvare svoja prava, kao što je pravo pristupa njihovim ličnim podacima ili pravo da podaci budu izbrisani. Oni olakšavaju vršenje ovih prava i rešavaju sve povezane zahteve ili pritužbe. DPO podiže svest zaposlenih o njihovim odgovornostima u pogledu zaštite podataka o ličnosti. DPO obezbeđuje obuku kako bi zaposleni razumeli svoje obaveze i najbolje prakse za rukovanje podacima.
U slučaju kršenja podataka ili bezbednosnog incidenta, DPO predvodi napore organizacije za reagovanje. Lice za zaštitu podataka koordinira istragu, procenjuju uticaj i komunicira sa Poverenikom, i radi na ublažavanju negativnih efekata i minimiziranju štetnosti po pojedince na koje se podaci o ličnosti odnose.
DPO obezbeđuje da organizacija vodi odgovarajuću dokumentaciju o aktivnostima obrade podataka, uključujući smernice za zaštitu podataka, procedure i evidenciju procesnih aktivnosti. Ovo pomaže u demonstraciji odgovornosti i usaglašenosti sa Zakonom o zaštiti podataka o ličnosti.
Konačno, DPO igra ključnu ulogu u promovisanju kulture privatnosti i zaštite podataka unutar organizacije. Ispunjavanjem svojih odgovornosti DPO doprinosi izgradnji poverenja sa pojedincima, povećanju bezbednosti podataka i obezbeđuju da se lični podaci obrađuju na fer i zakonit način.
Osnovne kvalifikacije i veštine DPO-a, nisu samo znanja iz oblasti prava, već sveobuhvatno znanje i veštine u oblasti bezbednosti i privatnosti; Najbolji kandidat za DPO treba da bude lice koje je upoznato sa industrijskim standardima, najboljim praksama i novim trendovima u zaštiti podataka. Lice koje poznaje tehničke bezbednosne mere, metode šifrovanja i tehnika anonimizacije.
DPO treba da bude u mogućnosti da proceni aktivnosti obrade podataka organizacije, te da sprovede procenu uticaja na privatnost i osigura usaglašenost organizacije sa važećim zakonima i propisima. Sposobnost efikasne komunikacija je ključna za DPO koji mora da jasno prenese složene koncepte zaštite podataka raznim zainteresovanim stranama unutar organizacije. Pored toga, jake veštine saradnje su od suštinskog značaja za rad sa različitim timovima, odeljenjima i spoljnim partnerima na primeni mera zaštite podataka o ličnosti.
DPO analizira složene probleme i identifikuje potencijalne rizike ili praznine u praksama zaštite podataka o ličnosti. DPO odlikuju jake analitičke i veštine rešavanja problema za razvoj efikasnih rešenja i strategija za zaštitu podataka.
Polje zaštite podataka je dinamično i stalno se razvija. Uspešan DPO je proaktivan u informisanju o najnovijim događajima, pohađanju programa obuke i učešću u relevantnim profesionalnim grupama. Uspešan DPO prati tehnološke promene, promene propisa i prilagođava aktivnosti u skladu sa organizacionim potrebama.