General Data Protection Regulation (GDPR) je direktiva EU koja donosi najveće i najvažnije promjene u regulaciji osobnih podataka u posljednjih 20 godina. Korisnicima omogućava veću kontrolu nad njihovim osobnim podacima i potiče kompanije da omoguće siguran način prikupljanja, procesiranja i pohranjivanja podataka.
Nadaju se kako će temeljno izmijeniti način na koji kompanije razmišljaju o podacima, a njihova centralna ideja je "privatnost je pravilo". Novim pravilima podliježe svaka organizacija koja ima ili koristi podatke građana EU, bez obzira gdje joj je središte.
Ne moraju biti direktno povezani s Europom ali dalje mogu biti obuhvaćene novom regulativom, npr. ako su povezane s nekom djelatnošću ili kompanijom čiji se klijenti nalaze unutar EU. Ovim novim odredbama bit će pogođeni i npr. call centri, korisnička podrška, za one kompanije koje prodaju proizvode u Europi ali i web stranice koje prate pretraživačku povijest, piše CNN.
Trošak prilagodbe na novu regulaciju jako je velik. Po nekim procjenama do sada je oko 500 kompanija potrošilo oko 7,8 milijardi dolara u procesu prilagodbe.
Što bi vi trebali napraviti?
Nemojte zanemariti svu tu silu emailova koji su vam zatrpali inbox. Otvorite ih i pročitajte. Niz kompanija obratilo se svojim klijentima tražeći od njih pristanak kako bi mogli zadržati njihove osobne podatke. Postavke privatnosti tijekom proteklih tjedana, kako bi se pripremili na vrijeme, izmijenili su i kompanije poput Googlea, Facebooka i Twittera. WhatsApp je tako promijenio i dobnu granicu korištenja njihove usluge u Europi sa 13 na 16 godina.
Morat ćete prihvatiti nove postavke i potvrditi vaše godine kako bi mogli nastaviti koristiti i niz drugih usluga. Djeca mlađa od 16 godina u većini europskih zemlja trebat će i poseban pristanak roditelja.
Mogu li kompanije i dalje prikupljati podatke?
Mogu, ali samo ako mogu dokazati da imaju opravdan razlog za to. To može biti neki ugovor ili legalno odobrenje koje im to dopušta. Mogu dobiti i potvrdu tj. pristanak osobe, kako bi mogli pohraniti i procesuirati njihove osobne podatke. Takvi zahtjevi moraju biti jasni i napisani jednostavnim jezikom, pa se više nitko neće moći sakriti iza dugometražnih, nejasnih općih uvjeta i pravila.
Mogu se prikupljati podaci od javnog interesa, kao što je u slučaju policijskog prikupljanja podataka o osumnjičenim osobama. Ili će možda trebati prikupiti osobne podatke zbog zaštite nečijeg život. Tako će bolnica moći doći do osobnih podataka pacijenata koji su u nesvjesnom stanju s ozljedama opasnim po život bez pristanka takvog pacijenta, jer ga zapravo i ne mogu dobiti a život mu je ugrožen.
Što bi trebale napraviti?
Kompanije će morati više pažnje uložiti u održavanje sigurnosti osobnih podataka pa im neće biti dozvoljeno da ih čuvaju više nego što je potrebno. Bilo tko može zatražiti da se njihovi osobni podaci sa servera obrišu. Iznimke su vezane uz neke zakonske odredbe ili kod usluga koju neki korisnik želi ne može dobiti upravo bez tih podataka.
Novost koju će mnogi dočekati s odobravanjem je i obavezna prijava vlastima ako dođe do bilo kakvog sigurnosnog proboja i to u roku od 72 sata nakon otkrića. Upravo to pravilo trebalo bi smanjiti vrijeme obavještavanja korisnika kako se nešto s njihovim podacima dogodilo.
Možda će, u tom slučaju, i morati dokazati da su podatke koristili ispravno. Ovo će dovesti do potrebe povećanog monitoringa i dokumentacije, što će u nekim kompanijama izazvati potrebu zapošljavanja novih ljudi koji bi se time trebali baviti.
GDPR će na ovaj način proširiti niz pravila koja postoje još od 1995. godine i koja su predstavljena u nizu različitih zakona. Uloga ove direktive je njihova unifikacija i sistematizacija. EU smatra kako su nova pravila potrebna zbog zaštite potrošača u ovim modernim vremenima u kojima su cyber napadi i različita 'curenja' podataka postali svakodnevica.
Onima koji ne uspiju ispuniti sva ta pravila prijete velike financijske kazne. Kazne mogu doseći i do 4 posto njihovog godišnjeg prometa, što bi kod velikih tehnoloških kompanija moglo doseći i iznose od nekoliko milijardi dolara. Kazna za manje kompanije može iznositi 'sitnih' 20 milijuna dolara.
