“Opšta uredba o zaštiti podataka (EU) 2016/679 (GDPR) je uredba u zakonu EU o zaštiti podataka i privatnosti za sve pojedine građane Evropske unije (EU) i Evropskog ekonomskog prostora (EEA). Takođe se bavi prenošenjem ličnih podataka izvan područja EU i EEA.”
Novi zakon Evropske Unije, GDPR (General Data Protection Regulation), je privukao mnogo pažnje prije nego što je došao na snagu 25. maja, 2018. godine i natjerao mnoge kompanije da počnu da razmišljaju o tome kako upravljaju podacima koje imaju na raspolaganju. GDPR nije prvi zakon ili regulativa koja definiše obaveze koje kompanije imaju prema ličnim podacima kojima raspolažu, jer zakoni o zaštiti podataka postoje još od 70-tih godina 20. vijeka. Međutim, GDPR je prvi zakon koji je proizveo paniku i zaista primorao sve, od startapa do najpoznatijih i najvećih korporacija, da se usaglase sa zahtjevima ove regulative. Po čemu je ovaj zakon drugačiji da je mogao da proizvede ovakav efekat? Šta je to posebno u ovom slučaju?
Dva aspekta: nevjerovatno visoke kazne u slučaju nepoštovanja zakona i ekstrateritorijalna jurisdikcija GDPR-a koja štiti građane EU, nebitno gdje se nalaze. Svi ostali uslovi unutar GDPR-a nisu ništa novo, odnosno, mnogo njih je prisutno u zakonima o zaštiti podataka već decenijama.
Prvi zakon je stupio na snagu početkom 70-tih u njemačkoj pokrajini Hese i rezultat je pritisak na javne institucije u Heseu, nakon što su građani izrazili zabrinutost zbog činjenice da lokalna vlada i policija počinju da koriste elektronske baze podataka kako bi centralizovali osjetljive podatke o građanima. Nakon ovog zakona, različite zemlje članice Evropske Unije su kreirale i usvojile svoje zakone, dok su u decenijama koje su slijedile mnoge međunarodne organizacije definisale vodiče, direktive i preporuke o tome kako kompanije i vladajuća tijela moraju da postupaju sa ličnim podacima. Samo par primjera ovoga su Preporuke OECD-a (Organisation for Economic Co-operation and Development) za zaštitu privatnosti i transfera podataka preko granica, Zakon o zaštiti podataka u Ujedinjenom Kraljevstvu iz 1998. godine, kao i EU Direktiva o Zaštiti podataka iz 1995. godine, koja je prethodila GDPR-u.
Svi ovi zakoni i preporuke su u sebi sadržali iste uslove i štite ista prava kao GDPR: pravo privatnih osoba da znaju koje kompanije sakupljaju njihove podatke; kako ih koriste; sa kim kompanije dijele te podatke; te pravo individualaca da zatraže svoje podatke nazad, kao i da zahtijevaju da kompanije u potpunosti izbrišu sve njihove lične podatke. Mnogi zakoni prije ovog su takođe tražili od poslovnih institucija da imaju Privacy i Cookie Policies, te da traže pristanak od kupaca i korisnika ako žele da im šalju promotivne materijale.
Ali, ono što je drugačije sa GDPR-om jeste obavezujući karakter ovog zakona koji proističe iz toga što GDPR prati i štiti građane EU, nebitno da li imaju dvojno državljanstvo, gdje se nalaze i da li imaju stalno boravište unutar neke EU zemlje članice. Samim tim primorava svaku kompaniju da se usaglasi sa članovima regulative: kompanije koje imaju sjedište u EU; imaju predstavništvo u EU zemlji članici; ili su bazirane izvan EU ili Evropske Ekonomske Zone (EEA) (npr. Bosna i Hercegovina) ali imaju namjeru da prodaju usluge ili proizvode građanima EU ili samo planiraju da kroz marketing kampanje ciljaju EU stanovnike. Dakle, šanse da vaša kompanija mora biti usklađena sa zahtjevima ovog zakona su poprilično visoke.
Ekstrateritorijalna jurisdikcija je nešto što GDPR-u daje moć i izdvaja ga od mnoštva drugih zakona koji su postojali prije, jer sa ovim jedna legislativna mjera Evropske Unije može da utiče na američke, kanadske, indijske ili kineske kompanije i da ih kazni ukoliko ne poštuju prava EU građana. Pored ove geografski dalekosežne primjene, GDPR je uveo ogromne kazne za one koji i ne pokušaju da se usklade i zaštite podatke privatnih osoba ili iskuse napad i izgube podatke a to ne prijave u doglednom roku: 4% od globalnog godišnjeg prometa (ne samo profita) ili 20 miliona evra - koja god cifra od ove dvije je veća, ta kazna će biti primjenjena. I prijašnji zakoni su podrazumijevali kazne i takse, međutim nikada tako visoke. Proširena jurisdikcija je dala organima EU moć da agresivno i bezrezervno primjene GDPR na kompanije u svim dijelovima svijeta, a visoke kazne su dale biznisima razlog više zašto ovaj zakon moraju da shvate ozbiljno.
Naravno, kažnjene kompanije mogu da se bore protiv te odluke na sudu, međutim samo najveće korporacije imaju dovoljno, što legalnih, što novčanih resursa da izdrže dugoročnu bitku sa organima EU na različitim sudovima. Za startape, mala i srednja preduzeća je najbolje da ne rizikuju i učine sve što mogu da se što prije usklade sa GDPR-om, te ukoliko budu dospjeli u tu situaciju, budu u stanju da pokažu regulatornom tijelu koje vrši reviziju da su učinili sve što mogu da ispoštuju zakon. Ovo nije dobra odluka samo zbog EU zakona, već i zato što sada Kalifornija, Brazil, država Vašington i Indija pripremaju svoje verzije GDPR-a koji takođe imaju ekstrateritorijalne jurisdikcije i visoke kazne. GDPR je bio samo početak i prvi zakon ove vrste, ali možemo očekivati da će mnogi uslijediti i često kopirati zahtjeve samog GDRP-a, kao što je i ova EU regulativa kopirala mnoge uslove iz prethodnih legislativnih mjera.
U sljedećim postovima iz serije Smart Security pogledaćemo gdje i kako da počnete (ukoliko već niste) da se uskladite sa GDPR-om, na šta treba da obratite pažnju da biste bili sigurni da ste sve odradiili kako treba, te ćemo detaljnije objasniti šta je California Consumer Privacy Act (CCPA) koji stupa na snagu 1. januara 2020. godine.