Veliki broj kompanija u Srbiji još nije utvrdilo da li se na njih odnosi opšta uredba EU o zaštiti podataka (General Data Protection Regulation – GDPR), čija primena počinje 25. maja. Čak se i kompanije koje su sigurne da se na njih odnosi ova uredba nalaze u početnoj fazi usklađivanja, vrše utvrđivanje vrsti ličnih podataka koji se obrađuju, kao i gde se sve ti podaci nalaze.
Primeri iz prakse pokazuju da se u mnogim kompanijama niko detaljno nije bavio ličnim podacima i njihovom zaštitom, da su u velikim sistemima službe decentralizovane, da se neki podaci čuvaju na papiru, neki na serveru. Stoga je neophodno da firme najpre urade analizu postojećeg stanja, intervjuišu sve službe koje obrađuju i čuvaju lične podatke kako bi se ustanovilo koji su podaci u pitanju, da li se čuvaju u papirnom, elektronskom obliku, u zemlji, možda u inostranstvu, ukazuje Marija Milojević iz konsultantske kuće KPMG.
Potom bi trebalo utvrditi kako kompanija štiti lične podatke – da li preduzima odgovarajuće tehničke ili organizacione mere, propisuje ograničenje prava pristupa fajlovima i slično. Nakon toga, dodaje Milojević, definišu se koraci koje bi kompanije trebalo da preduzmu.
Uredba, propisuje nekoliko obaveza za pravna i fizička lica koja nisu iz Evropske unije ukoliko su dužna da primenjuju GDPR. Obaveze koje su, između ostalih, propisane su da kompanije imaju predstavnika u EU koji će biti zadužen za određena pitanja vezana za zaštitu podataka, kao i da vode evidenciju aktivnosti obrade ličnih podataka u određenim slučajevima.
Kako se Srbija ne nalazi na listi zemalja Evropske komisije koje primenjuju adekvatne mere zaštite ličnih podataka, GDPR propisuje preduzimanje dodatnih mera zaštite ukoliko podaci iz EU idu u Srbiju (ugovorne klauzule, kodeksi ponašanja, obavezna korporativna pravila).
GDPR predviđa kazne čak i do 20 miliona evra ili 4% globalnog godišnjeg prometa u slučaju kršenja pojedinih odredbi. Ove kazne neće izricati nadležni organi u Srbiji i rizik je stoga, pre svega, na kompanijama iz EU jer tamošnji organi vrše nadzor i izriču mere i kazne. Međutim, iste te kompanije usled rizika po njih, vrlo verovatno neće želeti da sarađuju sa srpskim kompanijama koje nisu usaglašene sa GDPR u meri u kojoj je to potrebno.
Milojević navodi da se Nacrt novog Zakona o zaštiti ličnih podataka u velikom delu podudara sa odredbama GDPR–a , te ako se isti usvoji do kraja godine, kompanije u Srbiji će morati da primene skoro sve što pravna i fizička lica iz EU u vezi sa zaštitom ličnih podataka već sada počinju da primenjuju, a što znači mnogo više obaveza nego što GDPR trenutno propisuje za treće zemlje. To je i postojanje lica u firmi koje se bavi zaštitom ličnih podataka, obaveza vođenja jedinstvenog registra, obaveza da se svaka povreda prijavi u roku od 72 sata…
U sistemima zaštite ličnih podataka u Srbiji, primer dobre prakse predstavljaju banke, koje su bile na meti visokotehnološkog kriminala, pa su, na primer, implementirale posebne alate kojima mogu da identifikuju neovlašćeni pristup i korišćenje podataka o ličnosti.
U prilog značaju informacione bezbednosti, govori i činjenica da je u EU primećen novi trend u osiguranju kroz polise osiguranja od IT sajber rizika, koje garantuju nadoknadu štete i osiguranoj kompaniji i njenom klijentu ako dođe do zloupotrebe i povrede ličnih podataka, navodi Milojević.