Direktiva čija zakonska primena u EU počinje 25. Maja 2018. godine, je najbolja praksa sa organizacionim, bezbednosnim i tehničkim merama zaštite privatnosti lica kroz zaštitu u postupanju sa privatnim podacima i informacijama koje se odnose na ta lica čija bi bezbednost, ili neko drugo pravo moglo biti narušeno, u slučaju zloupotrebe istih. GDPR se bavi pitanjima zaštite privatnih informacija i predviđa niz mera zaštite koje organizacija ili poslovni sistem mora da usvoji kako bi ispunila minimalne regulativom propisane norme za koje se veruje da će u značajnoj meri obezbediti i očuvati privatnost nad privatnim podacima i informacijama, kako zaposlenih, tako i korisnika usluga ili kupaca kompanije, odnosno korisnika usluga javnih servisa i državnih servisa.
Pod privatnim podacima u smislu GDPR smatraju se svi podaci o identitetu lica, ili podaci iz kojih se može jednoznačno utvrditi identitet lica, te podaci o političkoj, seksualnoj orjentaciji, rasi, imovnom stanju, ali i podaci kao što su istorija pretraga, meta podaci na fajlovima koje je napravila određena osoba, a koji mogu otkriti identitet, podaci o zdravlju, imovnom stanju, kretanju, navikama, te drugi personalni podaci čijim bi se objavljivanjem ili zloupotrebom mogla ugroziti osoba.
GDPR se primenjuje samo na lične podatke, što podrazumeva i sve jedinstvene identifikatore, te predviđa pseudomizaciju podataka kako bi se izbegla mogućnost da se isti zloupotrebe. GDPR predviđa implementaciju razumnih mera zaštite privatnosti. Pod ovim se podrazumevaju bezbednosne, tehničke i organizacione mere zaštite. GDPR se ne odnosi samo na podatke i postupanje sa njima, odnosni se i na poslovne procese, te na one koji procesiraju podatke. U ovom smislu GDPR predviđa i prenos obaveza, naime, za organizacije koje autsorsuju deo poslova one same su odgovorne za one kojima autsorsuju deo posla.
Kompanije koje vrše obradu ili monitoring ličnih podataka, moraju na vrlo visokom nivou imenovati službenika za zaštitu podataka (Data Protection Officer – DPO). DPO je odgovoran za usklađivanje rada kompanije sa GDPR-om. U slučaju da efikasna kompanija ne poštuje pravila ili nije usklađena sa GDPR-om, pravne posledice mogu uključivati kazne do 20 miliona eura ili 4 posto godišnjeg prometa.
Prema GDPR-u, prava subjekta podataka uključuju:
Pravo na zaborav – subjekti podataka mogu zatražiti brisanje ličnih podataka koje kompanija vodi o njima.
Pravo pristupa – subjekti podataka mogu pregledati podatke koje kompanija vodi o njima.
Pravo na zaštitu – subjekti podataka mogu zabraniti kompaniji da koristi ili obrađuje lične podatke o njima.
Pravo na ispravku – subjekti podataka mogu zahtevati da se njihovi netačni lični podaci isprave.
Pravo prenosivosti – subjekti podataka mogu pristupiti ličnim podacima koje kompanija ima o njima i preneti ih.
Osnovni koraci za primenu GDPR u organizaciji su, u načelu, sledeći:
Podizanje svesti o GDPR i o drugim zakonskim i organizacionim i bezbednosnim promenama koje ova regulativa donosi
Audit o informacijama koje se čuvaju i koriste u organizaciji
Upoznavanje zaposlenih sa poverljivošću informacija
Definisanje individualnih prava – procedure moraju da pokrivaju sva individualna prava (pravo na brisanje podataka ili davanje podataka u elektronskom formatu)
Usaglašavanje svih procedura za pristupanje, upravljanje i postupanje sa podacima
Usaglašenost pravnih osnova
Definisati procedure sa kojima su zaposleni upoznati i saglasni. Zaposleni moraju biti upoznati sa procedurama kako će se sa njihovim ličnim podacima i zapisima postupati i biti saglasni sa tim.
Definisanje procedura za postupanje sa podacima vezanim za decu i maloletne osobe i pribavljanje roditeljske /starateljske saglasnosti za iste
Definisanje procedura u vezi sa bezbednosnim probojem i curenjem podataka i informacija te njihovom zloupotrebom. U okviru ovog koraka definisali bi se odgovarajuće procedure za detekciju, izveštavanje i istragu.
Definisanje strategije zaštita podataka kroz dizajn i procena uticaja mera zaštite podataka
Definisanje zaduženja i opisa radnog mesta za bezbednosnog oficira – Data Protection Officer koji predviđa regulativa
Ako kompanija posluje u više od jedne zemlje EU GDPR predviđa i supervizora za bezbednost.
