Uredba o opštoj zaštiti podataka (GDPR) ima mnoštvo vlasnika i tvoraca WordPress stranica Na ovom postu uspeli smo dobiti stručne informacije o usklađenosti sa GDPR-om, napisane na jeziku koji je lako razumljiv.
Mnogi naši korisnici su nas pitali o GDPR: šta to znači? Na koga i za šta se odnosi? Kako mi to utiče na posao? Znamo da, dok mnoge informacije cirkulišu mrežom, deo ovih informacija može biti nepotpun, netačan ili pogrešan.
Zbog toga smo kontaktirali jednu od vodećih britanskih advokatskih firmi, Fladgate, firma koja je specijalizovana za intelektualnu svojinu. Dovoljno su ljubazni da ponude potpune i profesionalne odgovore na temu, uključeni u ovaj post.
Ispod ćete pronaći čitljive i lako razumljive smernice za GDPR, pošto se odnose na teme relevantne za kreatore sajta Elementor. Napravljen je u pravnom pisanju, tako da se malo razlikuje od našeg uobičajenog bloga, ali verujemo da je to najbolji (i jedini) način jasno razumijevanja GDPR pravila. Želeli bismo se zahvaliti Eddieju Powellu iz Fladgatea, za sastavljanje i razjašnjavanje ovih detaljnih i sveobuhvatnih smernica za našu zajednicu.
Šta je GDPR i zašto je to važno?
GDPR predstavlja Generalnu regulativu za zaštitu podataka. To je novi EU formuliran skup pravila koji regulišu kako preduzeća drže i koriste lične podatke pojedinaca.
Većina ljudi je čula za novčane kazne za preduzeća koja krše pravila. Ovi iznosi mogu iznositi do 20 miliona evra ili za posebno velike grupe kompanija 4% globalnog prometa u grupi, što bi mogla biti ogromna količina novca.
Međutim, što je još važnije, javnost povezana sa nepoštovanjem pravila o zaštiti podataka može znatno oštetiti reputaciju poslovanja i dovesti do toga da kupci i dobavljači ne vjeruju. Pored toga, novi poslovi će biti pogođeni ako korisnici ne veruju poslovanju informacijama i da će održati visok standard privatnosti. Korisnici žele da osete kontrolu svojih ličnih podataka.
Osnovna pravila
Pravila važe za “lične podatke”. Lični podaci uključuju očigledne stvari kao što su imena ljudi, adrese i kontakt detalji itd. Takođe će sadržati listu adresa e-pošte u kojoj možete identifikovati pojedinca sa njihove adrese (npr. Bobsmith@universalwidgets.com – možete reći da Bob Smith radi na Univerzalni dodaci) i IP adrese. Informacije će prestati biti lični podaci ako anonimizujete tako da nikada ne možete razraditi ko je pojedinac iz skupa informacija.
GDPR kaže da ne možete samo sakupljati, čuvati, koristiti i preneti ove lične podatke (svi ti se nazivaju “obrada”) jednostavno zato što su uskladišteni u sistemu vašeg poslovanja. Morate razmisliti o tome šta želite da uradite i primenite pravila.
Morate imati jedan od 6 osnova koje BDP specificira. Ključne za naše potrebe su:
obavljanje ugovora sa pojedincem ili korištenje informacija za postavljanje ugovora;
poštujući zakonsku obavezu (ne ugovor sa drugom kompanijom) na koju se bavi – kao što su poštovanje pravila protiv pranja novca ili sprečavanje kriminala;
gde je pojedinac dao saglasnost (koja mora biti specifična, informisana i nedvosmislena) na ono što želite da uradite sa svojim informacijama;
i gde je obrada koju želite izvršiti neophodna za legitimni interes biznisa, ali izbalansirana protiv prava i interesa zainteresovane osobe, koja će biti zainteresovana za njihovu privatnost.
Postoje posebna pravila u kojima se bavite decom gde morate potvrditi njihovu saglasnost sa roditeljima. Postoje i posebna pravila za bavljenje informacijama o krivičnim presudama ljudi i za ono što zakon naziva “posebne kategorije” koji uključuju informacije o:
Zdravlje
Etnička pripadnost
Seksualna orijentacija
Politička verovanja
Religija
Članstvo sindikata
Genetski i biometrijski podaci.
Takođe treba zapamtiti da postoje posebna pravila (koja nisu deo GDPR-a) za e-poštu i SMS marketing – nemojte pretpostavljati da zbog toga što imate nečiji e-mail adresu ili kontakt podatke, dobro vam je da pošaljete marketinške komunikacije putem ovih kanala. Morali ste im dati mogućnost da se odreknete ovih komunikacija kada ste prikupili informacije i uvek uključite mogućnost da se oni odustanu od budućih marketinških komunikacija.
About Google TranslateCommunityMobileAbout GooglePrivacy Plan & informacija.
Ako želite da koristite lične podatke za nešto, kao što je nova implementacija softvera, novi projekat baze podataka ili da pružite personalizovaniju uslugu kupcima, zaista je važno ne samo pretpostaviti da je u redu preuzeti postojeće lične podatke koji mogu biti na poslovnim sistemima i koristite ga. Morate razmisliti o bazama o kojima smo već govorili i posebno razmišljamo o tome da li postoje neki posebni podaci o kategoriji koji mogu biti uključeni, jer su pravila o njima toliko strožija.
Ako sakupljate dodatne informacije za svoju izjavljenu namjenu, tada pobrinite se da sakupljate samo ono što vam je stvarno potrebno. Nemojte tražiti od pojedinaca da pruže više nego što vam je potrebno da postignete svrhu za koju su im rekli.
Pojedinci treba jasno reći o tome šta se dešava sa njihovim ličnim podacima. Ovo uključuje:
detalje vašeg preduzeća i kontakt podatke;
koja je svrha obrade podataka;
kome ćete poslati podatke;
da li nameravate izvoziti podatke u drugu zemlju;
koliko dugo ćete zadržati podatke za; i
informacije o pravima za povlačenje saglasnosti i druga prava koja proizilaze iz GDPR-a.
Ove informacije moraju biti dostavljene prema GDPR-u kada se prikupljaju informacije ili (ukoliko se podaci primaju indirektno) u roku od mesec dana od prijema. Vaše preduzeće treba da ima standardne forme koje će vam omogućiti da date ove informacije – uvek ih treba koristiti kada se prikupljaju novi lični podaci.
Kada se pridržavate gorenavedenog, onda izvršite svoj planirani projekat, ali pridržavajte se toga i pobrinite se da izbrišete lične podatke koji nisu potrebni ili se ne mogu legitimno držati. Zapamtite da ako promenite svoje planove ili odlučite da uradite nešto drugo sa ličnim podacima, morate ponovo da se vratite na korake i ponovite vežbu.
Transferi
Budite posebno oprezni u korišćenju ličnih podataka koji su prikupljeni za vaše poslovanje i sada želite da ga prenesete na treću stranu.
Morate razmisliti o osnovnim koracima usklađenosti i osigurati da ste zadovoljili zakonske osnove za obradu i da su pojedincu date sve potrebne informacije o tome.
Ako primaoc vrši posao za vas (kao što je davalac usluge platnog spiska) po vašoj instrukciji, onda će biti vaš “procesor” i morate imati pisani ugovor sa njima koji uključuje određene garancije o sigurnosti i usaglašenosti.
Malo je verovatno da ćete moći primiti ili preneti “posebne kategorije” podataka, a ako to postane neophodno, trebali biste se pobrinuti da proverite sa timom za usklađenost i vašim biznisom.
Postoje i posebna pravila ako želite da prenesete informacije u zemlju koja je van EU, gde zakoni o zaštiti ličnih podataka možda nisu toliko strogi. Možda ćete morati da koristite standardne forme ugovora sa organizacijom koja će dobiti lične podatke ili napraviti druge aranžmane koji će osigurati poštovanje prava pojedinca.
Prava pojedinaca
GDPR daje pojedincima određena prava za preduzeća koja drže lične podatke. Ovo uključuje:
Ispravka – greške ili netačnosti moraju biti ispravljene;
Pristup – treba dostaviti kopiju podataka i detalje o tome za šta se koristi;
Prestanak obrade – zaustavi svaku upotrebu nekih ličnih podataka
Brisanje (pravo da se zaboravi) – brisanje svih evidencija o pojedincu
Prenosivost – prenos ličnih podataka koji se drže u strogo čitljivom formatu pojedinca ili drugom provajderu.
Sigurnost
GDPR ne određuje nivoe sigurnosti; to samo kaže da preduzeća moraju imati adekvatan nivo tehnološke i organizacione sigurnosti, tako da će vaša kompanija imati sigurnosne procedure koje su dizajnirane da vam pomognu u ispunjavanju ovog zahteva. Uvek ih poslušajte.
Setite se da to nije samo veliki sajber-napad koji može biti kršenje sigurnosti ličnih podataka. Često su male stvari koje izazivaju najveće probleme kao što su lični podaci koji se čuvaju na mobilnim uređajima koji su izgubljeni ili su nešifrirani laptopovi koji su ostavljeni na javnim mestima. Jedan od najvećih uzroka gubitka ličnih podataka jeste e-pošta koja će se zabrinuti zbog automatskog dovršavanja stavljanja pogrešne adrese e-pošte.
GDPR obavezuje preduzeća da obaveštavaju vlasti o svim kršenjima u bezbednosti, a vaša kompanija će imati obavezu da vodi evidenciju o svim kršenjima, bez obzira koliko je manja, kako bi menadžment mogao da donese odluku o tome šta treba biti obaviešteno . Uverite se da bilo koji gubitak koji uključuje lične podatke, čak i ako je brzo ispravljen ili nije verovatno da će nanieti štetu, prijavljuje se u skladu s politikom vaše kompanije.
Eddie Powell je partner u komercijalnom sportu i IP timu u advokatima Fladgate LLP u Londonu. Za više informacija pogledajte https://www.fladgate.com/lawyer/eddie-powell/
Koji korake ste preduzeli da bi vaš sajt bio GDPR
Matan Naveh
Matan je jedan od pisaca sadržaja u Elementoru. Radio je kao glavni i odgovorni urednik za različite web stranice, kao i radio-emisiju i urednik.