Vaše obaveze (ukoliko vodite firmu)

Ukoliko vodite firmu i imate klijente iz EU, imate iste obaveze kao i Loopia, a i sve ostale firme, u vezi sa načinom rukovanja ličnim podacima Vaših kupaca.

U nastavku su neki saveti o tome šta treba imati u vidu kako bi Vaša firma poštovala uredbu General Data Protection Regulation (GDPR).

Da li su svi u Vašoj organizaciji upoznati sa novim pravilima EU o zaštiti podataka?

  • Potrudite se da sve zaposlene u Vašoj organizaciji upoznate sa opštim značenjem GDPR uredbe.
  • Uverite se da svi donosioci odluka i ključni ljudi znaju da GDPR menja prethodni Akt o ličnim podacima i da znaju razlike između njih.
  • Istražite kako će Vaša organizacija biti pogođena i identifikujte područja na kojima treba raditi.

Koje lične podatke obrađujete?

Istražite i napravite listu ličnih podataka koje prikupljate i obrađujete trenutno, kao i sa kim delite te podatke i zašto.

Da li trenutno koristite izuzetke od pravila?

Akt o zaštiti ličnih podataka je dozvoljavao obradu nestrukturiranih ličnih podataka (kao što je npr. tekst na sajtu) sve dok obrada tih podataka ne predstavlja kršenje integriteta subjekta čiji su podaci. Ovaj izuzetak će nestati primenom GDPR uredbe. Važno je pregledati kako ste se ranije bavili ovim i izvršiti promene ukoliko je potrebno.

Koje informacije pružate kod prikupljanja ličnih podataka?

Prema GDPR uredbi, u obavezi ste da pružite informacije o podacima koje prikupljate, kao npr:

  • ...zašto prikupljate podatke?
  • ...koliko dugo se podaci čuvaju?
  • ...koju pravnu osnovu imate za prikupljanje podataka?

Kako ćete ispuniti prava Vaših klijenata / korisnika?

Vaši klijenti / korisnici imaju prava koja morate biti u mogućnosti da ispunite prema GDPR-u.

Najvažniji delovi su da oni imaju pravo na...

  • ...pristup svojim ličnim podacima.
  • ...ispravku netačnih ličnih podataka.
  • ...brisanje svojih ličnih podataka.
  • ...protivljenje korišćenju ličnih podataka za direktni marketing.
  • ...protivljenje korišćenju ličnih podataka za automatizovano donošenje odluka i profilisanje.
  • ...premeštanje ličnih podataka (prenosivost podataka).

Da li obrađujete lične podatke bez pravne osnove?

Istražite pravni osnov za obradu ličnih podataka i obrišite sve podatke za čiju obradu nemate pravni osnov.

GDPR Vas obavezuje da obavestite korisnike prema kojoj pravnoj osnovi prikupljate lične podatke. To takođe znači da ne možete koristiti lične podatke za bilo šta drugo van zakonske osnove koju ste naveli, a bez dobijanja saglasnosti korisnika.

To znači da čak i ako Vam kupac / korisnik da email adresu kako bi postao kupac ili napravi porudžbinu, nećete moći da šaljete promotivne materijale klijentu putem te email adrese, ukoliko to eksplicitno klijent ne odobri.

Kako dobijate saglasnost?

Istražite kako dobijate saglasnost klijenata, koje informacije pružate i kako čuvate informacije o dobijenoj saglasnosti od strane klijenata / korisnika.

Ne sme biti nikakve sumnje da je Vaš korisnik / klijent aktivno dao saglasnost obradi ličnih podataka. Na primer, nije dozvoljeno koristiti “tihu” saglasnost ili unapred selektovano polje na sajtu za dobijanje saglasnosti.

Da li obrađujete lične podatke dece?

GDPR donosi jaču zaštitu ličnih podataka dece. Na primer, ukoliko nudite internet servise deci, morate dobiti saglasnost staratelja kako biste obrađivali lične podatke deteta.

Šta ćete preduzeti u slučaju incidenata koji uključuju lične podatke?

Ukoliko ste bili izloženi krađi podataka ili ste na bilo koji drugi način izgubili kontrolu nad podacima koje obrađujete, morate u roku od 72 sata dokumentovati i prijaviti incident nadležnom organu. Kreirajte procedure i odredite ko je odgovoran za izradu takvih obaveštenja.

Da li postoje neki posebni rizici prilikom obrade ličnih podataka?

Ukoliko obrađujete lične podatke koji mogu dovesti do ozbiljnih rizika po privatnost, kao što je čuvanje osetljivih ličnih podataka, profilisanje ili sveobuhvatni nadzor kamerama na javnom mestu, zahtevi su visoki. Morate se konsultovati sa nadležnim organima pre nego što započnete proces obrade tih podataka.

Kako štitite lične podatke u Vašem IT okruženju?

Neki osnovni principi zaštite privatnosti su:

  • ...ne prikupljajte više informacija osim onih koje su neophodne.
  • ...ne čuvajte informacije duže nego što je neophodno.
  • ...ne koristite podatke u druge svrhe osim onih koje ste definisali prilikom prikupljanja.

Pridržavajući se ovih principa kod razvoja novih ili izmena postojećih IT sistema, organizaciji / firmi će biti lakše da ispuni obaveze propisane GDPR uredbom.

Takođe ste obavezni da zaštitite lične podatke koristeći odgovarajuće tehničke i organizacione mere, a na osnovu osetljivosti podataka i njihove upotrebe.

Ko je odgovoran za zaštitu podataka u Vašoj organizaciji?

Odredite lice zaduženo za zaštitu podataka u Vašoj fimi / organizaciji.

Neke vrste organizacija moraju imati lice zaduženo za bezbednost podataka. Ovo npr. važi za organizacije koje vrše obimnu obradu osetljivih ličnih podataka.

Da li poslujete u više zemalja?

Ukoliko je Vaša organizacija aktivna u nekoliko zemalja, uključujući zemlje EU, trebali biste saznati koji organi su zaduženi za nadzor nad obradom ličnih podataka u svakoj od zemalja.

GDPR pravila o ovome su komplikovana, ali pojednostavljeno gledajući, nadležni organi zaduženi za zaštitu podataka se određuju na osnovu sedišta Vaše organizacije, odnosno na osnovu lokacije na kojoj se donose odluke u vezi sa obradom ličnih podataka.

Da li imate ugovor o obradi podataka sa onima koji podatke obrađuju u Vaše ime?

Ukoliko koristite servis ili imate partnera koji obrađuje lične podatke u Vaše ime, taj partner je u ulozi obrađivača podataka. To znači da će obrađivati lične podatke u skladu sa instrukcijama koje ste mu dali Vi kao rukovalac podataka.

U slučajevima u kojima je Loopia obrađivač podataka, Vaša prava i obaveze su regulisani aneksom "Sporazum o obradi podataka" u našim uslovima korišćenja. Ovo važi npr. ukoliko imate web prodavnicu kod Loopie u kojoj se čuvaju i obrađuju porudžbine Vaših klijenata na našim serverima, zatim za email naloge koje imate kod nas ili podatke koje čuvate u našim bazama.