Имам једно питање? Позовите стручњака
ЗАТРАЖИТЕ БЕСПЛАТНУ КОНСУЛТАЦИЈУ

Шта Општа уредба о заштити података (ГДПР) значи за вашу компанију

Updated on 4 September 2023

Приватност је данас веома велика ствар, посебно откако се догодила масовна дигитализација широм света. Начин на који се рукује нашим подацима треба да буде надгледан и регулисан како би се спречило да их неки појединци злоупотребе или чак украду. Да ли сте знали да је приватност чак и људско право? Лични подаци су изузетно осетљиви и подложни злоупотреби; стога је већина земаља усвојила законе који стриктно регулишу употребу и обраду (личних) података. Поред националних закона, постоје и свеобухватни прописи који утичу на национално законодавство. Европска унија (ЕУ), на пример, применила је Општу уредбу о заштити података (ГДПР). Ова уредба је ступила на снагу у мају 2018. године, а односи се на све организације које нуде робу или услуге на тржишту ЕУ. ГДПР се примењује чак и ако ваша компанија није са седиштем у ЕУ, али у исто време има купце из ЕУ. Пре него што уђемо у детаље ГДПР уредбе и њених захтева, хајде да прво разјаснимо шта ГДПР има за циљ да постигне и зашто је важан за вас као предузетника. У овом чланку ћемо стога објаснити шта је ГДПР, зашто треба да предузмете одговарајуће радње да бисте се придржавали и како то учинити на најефикаснији могући начин.

Шта је тачно ГДПР?

ГДПР је пропис ЕУ који покрива заштиту личних података физичких грађана. Стога је искључиво усмерен на заштиту личних података, а не професионалних података или података компанија. На званичном сајту ЕУ то је описано на следећи начин:

„Уредба (ЕУ) 2016/679 о заштити физичких лица у погледу обраде личних података и о слободном кретању таквих података. Исправљени текст ове уредбе објављен је у Службеном листу Европске уније 23. маја 2018. ГДПР јача основна права грађана у дигиталном добу и промовише трговину појашњавањем правила за предузећа на јединственом дигиталном тржишту. Овај заједнички скуп правила елиминисао је фрагментацију узроковану различитим националним системима и избегао бирократију. Уредба је ступила на снагу 24. маја 2016. године, а на снази је од 25. маја 2018. године. Више информација за компаније и појединце.[КСНУМКС]"

То је у основи средство да се осигура да компаније које треба да рукују подацима безбедно рукују личним подацима због природе робе или услуга које нуде. На пример, ако наручите производ на веб страници као грађанин ЕУ, ваши подаци су заштићени овом уредбом јер се налазите у ЕУ. Као што смо укратко раније објаснили, сама компанија не мора да буде основана у земљи ЕУ да би потпала под делокруг ове уредбе. Свака компанија која послује са купцима из ЕУ треба да се придржава ГДПР-а, обезбеђујући да лични подаци свих грађана ЕУ буду заштићени и безбедни. На овај начин можете бити сигурни да ниједна компанија неће користити ваше податке у друге сврхе осим оних које су посебно наведене и наведене.

Која је специфична сврха ГДПР-а?

Главна сврха ГДПР-а је заштита личних података. Уредба ГДПР-а жели да све организације, велике и мале, укључујући и вашу, размисле о личним подацима које користе и буду веома промишљене и обзирне о томе зашто и како их користе. У суштини, ГДПР жели да предузетници буду свеснији када су у питању лични подаци њихових купаца, особља, добављача и других страна са којима послују. Другим речима, ГДПР уредба жели да стави тачку на организације које прикупљају податке о појединцима само зато што су у могућности, без довољног разлога. Или зато што верују да могу на неки начин имати користи од тога сада или у будућности, без много пажње и без обавештавања. Као што ћете видети у информацијама у наставку, ГДПР заправо не забрањује много тога. И даље можете да учествујете у маркетингу путем е-поште, још увек можете да се оглашавате и још увек можете да продајете и користите личне податке купаца, све док пружате транспарентност о томе како поштујете приватност појединаца. Уредба се више односи на пружање довољно информација о начину на који користите податке, како би ваши купци и друга трећа лица били информисани о вашим конкретним циљевима и акцијама. На овај начин сваки појединац може да вам пружи своје податке у најмању руку на основу информисане сагласности. Довољно је рећи да треба да радите како кажете и да податке не користите у друге сврхе осим оних које сте навели, јер то може довести до веома великих казни и других последица.

Предузетници на које се примењује ГДПР

Можда ћете се запитати: „Да ли се ГДПР примењује и на моју компанију?“ Одговор на ово је прилично једноставан: ако имате корисничку базу или кадровску администрацију са појединцима из ЕУ, онда обрађујете личне податке. А ако обрађујете личне податке, морате се придржавати Опште уредбе о заштити података (ГДПР). Закон одређује шта можете да радите са личним подацима и како их морате заштитити. Због тога је увек важно за вашу организацију, јер је за све компаније које послују са појединцима из ЕУ обавезно да се придржавају ГДПР уредбе. Све наше професионалне и личне интеракције су све дигиталније, па је с обзиром на приватност појединаца једноставно права ствар. Купци очекују да ће њихове вољене продавнице пажљиво поступати са личним подацима које им дају, тако да је да имате своје личне прописе у вези са ГДПР-ом у реду нешто на шта можете бити поносни. И, као додатни бонус, вашим клијентима ће се свидети.

Када рукујете личним подацима, према ГДПР-у, скоро увек обрађујете и ове податке. Размислите о прикупљању, чувању, модификацији, допуни или прослеђивању података. Чак и ако креирате или обришете податке анонимно, ви их такође обрађујете. Подаци су лични подаци ако се тичу људи које можете разликовати од свих других људи. То је дефиниција идентификоване особе, о којој ћемо детаљно размотрити касније у овом чланку. На пример, идентификовали сте особу ако знате њено име и презиме, а ови подаци се поклапају и са подацима на њеном званично издатом средству идентификације. Као појединац укључен у овај процес, имате контролу над личним подацима које дајете организацијама. Пре свега, ГДПР вам даје право да будете информисани о конкретним личним подацима које организације користе и зашто. Истовремено, имате право да будете информисани о томе како ове организације гарантују вашу приватност. Поред тога, можете да уложите приговор на коришћење ваших података, да захтевате да организација избрише ваше податке или чак да захтевате да се ваши подаци пренесу на конкурентску услугу.[КСНУМКС] Дакле, у суштини, појединац коме подаци припадају бира шта ћете радити са подацима. Због тога као организација треба да будете педантни са информацијама које дајете у вези са тачном употребом личних података које добијете, јер појединац коме подаци припадају треба да буде обавештен о разлозима због којих се његови подаци уопште обрађују. Тек тада појединац може одлучити да ли исправно користите податке.

Који подаци су тачно укључени?

Лични подаци играју најважнију улогу у оквиру ГДПР-а. Заштита приватности појединаца је почетна тачка. Ако пажљиво прочитамо ГДПР смернице, можемо поделити податке у три категорије. Прва категорија се односи на личне податке. Ово се може категорисати као све информације о идентификованом или идентификованом физичком лицу. На пример, његово или њено име и детаљи о адреси, е-маил адреса, ИП адреса, датум рођења, тренутна локација, али и ИД уређаја. Ови лични подаци су сви подаци по којима се може идентификовати физичко лице. Имајте на уму да се овај концепт тумачи веома широко. То свакако није ограничено на презиме, име, датум рођења или адресу. Одређени подаци – који на први поглед немају никакве везе са личним подацима – ипак могу потпасти под ГДПР додавањем одређених информација. Стога је опште прихваћено да се чак и (динамичке) ИП адресе, јединствене комбинације бројева са којима рачунари међусобно комуницирају на интернету, могу сматрати личним подацима. Ово се, наравно, мора узети у обзир посебно за сваки конкретан случај, али узмите у обзир податке које обрађујете.

Друга категорија се односи на такозване псеудоанонимне податке: лични подаци обрађени на начин да се подаци више не могу пратити без употребе додатних информација, али и даље чине особу јединственом. На пример, шифрована адреса е-поште, ИД корисника или број корисника који је повезан само са другим подацима преко добро обезбеђене интерне базе података. Ово такође спада у делокруг ГДПР-а. Трећу категорију чине потпуно анонимни подаци: подаци у којима су избрисани сви лични подаци који омогућавају праћење. У пракси је то често тешко доказати, осим ако се лични подаци уопште не могу пратити. Ово је стога ван опсега ГДПР-а.

Ко је квалификован као особа која се може идентификовати?

Понекад може бити мало тешко дефинисати ко спада под делокруг „особе која се може идентификовати“. Поготово што постоји много лажних профила на интернету, као што су људи са лажним налозима на друштвеним мрежама. Уопштено говорећи, можете претпоставити да се особа може идентификовати када можете да уђете у траг њеним личним подацима без превише напора. Размислите, на пример, о бројевима клијената које можете повезати са подацима о рачуну. Или број телефона коме можете лако да уђете у траг и тако откријете коме припада. Ово су све лични подаци. Ако се чини да имате проблема да идентификујете некога, потребно је мало више истражити. Можете затражити од те особе важећи облик идентификације, само да бисте били сигурни да знате с ким имате посла. Такође можете потражити у верификованим базама података да бисте добили информације у вези са нечијим идентитетом, као што је дигитални телефонски именик (који заправо још увек постоји). Ако нисте сигурни да ли се клијент или трећа страна може идентификовати, покушајте да контактирате тог купца и затражите личне податке. Ако особа не одговори на ваш упит, генерално је најбоље да избришете све податке које имате и одбаците информације које сте добили. Шансе су да неко користи лажни идентитет. ГДПР има за циљ заштиту појединаца, али ви као компанија такође морате да предузмете одговарајуће кораке да се заштитите од преваре. Нажалост, људи могу да користе лажне идентитете, тако да је важно бити опрезан у погледу информација које људи пружају. Када неко користи туђи идентитет, то може имати озбиљне последице по вас као компанију. Дужна пажња се саветује у сваком тренутку.

Легитимни разлози за коришћење података трећих страна

Главна компонента ГДПР-а је правило да податке трећих страна треба да користите само у одређене и легитимне сврхе. Надовезујући се на захтев минимизирања података, ГДПР прописује да личне податке можете користити само у наведену и документовану пословну сврху, подржану једном од шест доступних правних основа ГДПР-а. Другим речима, ваше коришћење личних података је ограничено на наведену сврху и правну основу. Свака обрада личних података коју предузмете мора бити документована у ГДПР регистру, заједно са сврхом и правним основом. Ова документација вас приморава да размислите о свакој активности обраде и пажљиво размотрите њену сврху и правни основ. ГДПР омогућава шест правних основа, које ћемо навести у наставку.

  1. Уговорне обавезе: Приликом склапања уговора лични подаци се морају обрађивати. Лични подаци се такође могу користити приликом извршавања уговора.
  2. Сагласност: Корисник даје изричиту дозволу за коришћење његових/њених личних података или постављање колачића.
  3. Легитимни интерес: Обрада личних података је неопходна у сврхе легитимних интереса контролора или треће стране. Баланс је важан у овом случају, не би требало да нарушава личне слободе субјекта података.
  4. Витални интереси: Подаци се могу обрађивати када се појаве ситуације живота или смрти.
  5. Законске обавезе: Лични подаци се морају обрађивати у складу са законом.
  6. Јавни интереси: Ово се углавном односи на владе и локалне власти, као што су ризици по јавни ред и безбедност и заштита јавности уопште.

Ово су правне основе које вам омогућавају да чувате и обрађујете личне податке. Често се неки од ових разлога могу преклапати. То углавном није проблем, све док можете објаснити и доказати да заправо постоји правни основ. Када вам недостаје законска основа за чување и обраду личних података, можда ћете бити у невољи. Имајте на уму да ГДПР има на уму заштиту приватности појединаца, па стога постоје само ограничене правне основе. Знајте и примените ово и требало би да будете сигурни као организација или компанија.

Подаци на које се примењује ГДПР

ГДПР, у својој суштини, примењује се на обраду података која је у потпуности или бар делимично аутоматска. Ово подразумева обраду података преко базе података или рачунара, на пример. Али то се такође односи на личне податке који су укључени у физичку датотеку, као што су датотеке ускладиштене у архиви. Али ове датотеке морају бити значајне у смислу да су укључени подаци повезани са неким налогом, фајлом или послом. Ако поседујете руком писану белешку са само именом, она се не квалификује као подаци према ГДПР-у. Ова рукописна белешка може бити од некога ко је заинтересован за вас или је ипак личне природе. Неки уобичајени начини на које компаније обрађују податке укључују управљање наруџбама, базу података о купцима, базу података добављача, администрацију особља и, наравно, директни маркетинг, као што су билтени и директне поруке. Особа чије личне податке обрађујете се зове „субјект података“. То може бити купац, претплатник на билтен, запосленик или особа за контакт. Подаци који се односе на предузећа се не посматрају као лични подаци, а подаци о предузетницима или самозапосленим лицима јесте.[КСНУМКС]

Правила у вези са онлајн маркетингом

ГДПР има значајан утицај када је у питању онлајн маркетинг. Постоје нека основна правила којих ћете морати да се придржавате, као што је увек нудити опцију искључивања у случају маркетинга путем е-поште. Поред тога, понуђач мора бити у стању да назначи и прилагоди своје преференције. То значи да морате да прилагодите имејлове, ако тренутно не нудите ове опције. Многе организације такође користе механизме поновног циљања. Ово се може постићи, на пример, преко Фацебоок-а или Гоогле Адс-а, али имајте на уму да ћете за то морати да затражите изричиту дозволу. Вероватно већ имате политику приватности и колачића на својој веб локацији. Дакле, са овим правилима, ови правни делови такође морају бити ревидирани. Захтеви ГДПР-а наводе да ови документи морају бити свеобухватнији и транспарентнији. За ова прилагођавања често можете користити текстове модела, који су бесплатно доступни на интернету. Поред законских прилагођавања ваше политике приватности и колачића, мора се именовати службеник за обраду података. Ова особа је одговорна за обраду података и осигурава да је организација усклађена са ГДПР-ом.

Савети и начини да се ускладите са ГДПР-ом

Најважније је, наравно, да се ви, као предузетник, придржавате законских прописа и правила, као што је ГДПР. Срећом, постоје начини да се ускладите са ГДПР-ом уз што мање напора. Као што смо већ разговарали, ГДПР сам по себи не забрањује ништа, али поставља строге смернице за начин на који се лични подаци могу обрађивати. Ако се не придржавате посебних смерница и користите податке из разлога који нису наведени у ГДПР-у или су ван његовог делокруга, ризикујете новчане казне и још горе последице. Поред тога, имајте на уму да ће вас све стране са којима радите поштовати као власника предузећа када поштујете и њихове податке и приватност. Ово ће вам пружити позитиван имиџ од поверења, што је заиста добро за пословање. Сада ћемо разговарати о неким саветима који ће усаглашеност са ГДПР-ом учинити лаким и ефикасним процесом.

1. Зацртајте које личне податке уопште обрађујете

Прва ствар коју треба да урадите је да истражите који су вам тачни подаци потребни иу ком циљу. Које информације ћете прикупити? Колико података вам је потребно да бисте постигли своје циљеве? Само име и адреса е-поште или су вам потребни додатни подаци као што су физичка адреса и број телефона? Такође морате да направите регистар обраде у коме наведете које податке чувате, одакле потичу и са којим странама делите ове информације. Узмите у обзир и периоде задржавања, јер ГДПР наводи да морате бити транспарентни у вези са овим.

2. Нека приватност буде приоритет вашег пословања уопште

Приватност је веома важна тема и тако ће остати у (не)догледној будућности, јер технологија и дигитализација само напредују и расту. Због тога је веома важно да се ви, као предузетник, информишете о свим неопходним прописима о приватности и да им дате приоритет док послујете. Ово не само да ће осигурати да сте у складу са свим важећим законима, већ ће такође изградити имиџ поверења за вашу компанију. Дакле, као предузетник, уроните у ГДПР правила или на неки други начин потражите савет од правних стручњака, тако да можете бити сигурни да послујете легално када је у питању приватност. Морате да сазнате која тачна правила ваша компанија мора да поштује. Холандске власти такође могу да вам помогну на вашем путу са мноштвом информација, савета и алата које можете користити на дневној бази.

3. Идентификујте исправну правну основу за обраду личних података

Као што смо већ разговарали, постоји само шест званичних правних основа које вам омогућавају да обрађујете и чувате личне податке, према ГДПР-у. Ако ћете користити податке, од виталног је значаја да знате која правна основа лежи у основи ваше употребе. У идеалном случају, требало би да документујете различите врсте обраде података које обављате са својом компанијом, на пример, у својој политици приватности, тако да клијенти и треће стране могу да прочитају и потврде ове информације. Затим идентификујте исправну правну основу за сваку радњу посебно. Ако треба да обрађујете личне податке из нових мотива или разлога, обавезно додајте и ову активност пре него што почнете.

4. Покушајте да минимизирате употребу података што је више могуће

Ви, као организација, морате осигурати да прикупљате само минималне елементе података да бисте постигли одређени циљ. На пример, ако продајете робу или услуге на мрежи, ваши корисници обично треба да вам доставе само имејл и лозинку да би процес регистрације текао несметано. Нема потребе да питате купце за њихов пол, место рођења, па чак ни њихову адресу као део процеса регистрације. Тек када корисници наставе да купују артикал и желе да му се испоручи на одређену адресу, постаје неопходно тражити више информација. Тада имате право да затражите адресу корисника у тој фази, јер је то суштинска информација за сваки процес слања. Минимизирање количине прикупљених података минимизира утицај потенцијалних инцидената везаних за приватност или безбедност. Минимизација података је основни захтев ГДПР-а и изузетно ефикасан у заштити приватности ваших корисника јер обрађујете само информације које су вам потребне и ништа више.

5. Познајте права људи чије податке обрађујете

Важан део упознавања са ГДПР-ом јесте да се информишете о правима ваших купаца и других трећих лица чије податке чувате и обрађујете. Само познавањем њихових права можете се заштитити и избећи казне. Истина је да је ГДПР увео низ важних права за појединце. Као што је право на увид у њихове личне податке, право на исправку или брисање података и право на приговор на обраду њихових података. У наставку ћемо укратко разговарати о овим правима.

  • Право приступа

Прво право приступа значи да појединци имају право да виде и консултују личне податке који се о њима обрађују. Ако купац то тражи, ви сте дужни да му то обезбедите.

  • Право на исправку

Исправљање је исто што и корекција. Право на исправку стога даје појединцима право да уносе измене и допуне личних података које организација обрађује о њима како би се осигурало да се ови подаци обрађују исправно.

  • Право на заборав

Право да будете заборављени значи управо оно што пише: право да будете 'заборављени' када купац то изричито затражи. Организација је тада обавезна да избрише своје личне податке. Имајте на уму да ако постоје законске обавезе, појединац се не може позвати на ово право.

  • Право на ограничење обраде

Ово право даје појединцу као субјекту података могућност да ограничи обраду својих личних података, што значи да може тражити да се обрађује мање података. На пример, ако компанија тражи више података него што је апсолутно неопходно за укључени процес.

  • Право на преносивост података

Ово право значи да појединац има право да пренесе своје личне податке другој организацији. На пример, ако неко оде код конкурента или члан особља оде да ради у другој компанији, а ви пренесете податке овој компанији,

  • Право на приговор

Право на приговор значи да појединац има право да приговори на обраду својих личних података, на пример, када се подаци користе у маркетиншке сврхе. Они могу остварити ово право из посебних личних разлога.

  • Право да не буде предмет аутоматизованог доношења одлука

Појединци имају право да не буду подвргнути потпуно аутоматизованом доношењу одлука које могу имати значајне последице по њих или изазвати правне последице људске интервенције. Пример аутоматизоване обраде је систем кредитног рејтинга који ће у потпуности аутоматски одредити да ли испуњавате услове за кредит.

  • Право на информације

То значи да организација мора да пружи појединцима јасне информације о прикупљању и обради њихових личних података када појединац то затражи. Организација мора бити у стању да назначи које податке обрађује и зашто, у складу са ГДПР принципима.

Ако се упознате са овим правима, можете боље да предвидите када би се купци и трећа лица могли распитати о подацима које обрађујете. Тада ће вам бити много лакше да им се обавезате и пошаљете им информације које траже, јер сте били спремни. Може вам уштедети много времена да увек будете спремни за упите и имате податке при руци и спремни, на пример, улагањем у добар систем управљања купцима који вам омогућава да брзо и ефикасно преузмете потребне податке.

Шта се дешава када се не придржавате?

Већ смо се накратко дотакли ове теме: постоје последице када се не придржавате ГДПР-а. Опет, имајте на уму да не морате да имате компанију са седиштем у ЕУ да бисте били у складу са тим. Ако имате чак и једног клијента са седиштем у ЕУ чије податке обрађујете, спадате у делокруг ГДПР-а. Постоје два нивоа казни које се могу изрећи. Надлежни орган за заштиту података у свакој земљи може изрећи ефективне казне на два нивоа. Тај ниво се утврђује на основу конкретног прекршаја. Казне првог нивоа обухватају прекршаје као што су обрада личних података малолетника без сагласности родитеља, непријављивање повреде података и сарадња са обрађивачем који не даје довољне гаранције у погледу захтеване безбедности података. Ове казне могу износити до 10 милиона евра или, у случају компаније, до 2% вашег укупног светског годишњег промета из претходне финансијске године.

Други ниво се примењује ако почините фундаменталне прекршаје. На пример, непоштовање принципа обраде података или ако организација не може да докаже да је субјект података заиста дао сагласност за обраду података. Ако потпаднете под казне другог нивоа, ризикујете максималну казну од 20 милиона евра, или до 4% глобалног промета ваше компаније. Имајте на уму да су ови износи максимизирани и да зависе од ваше личне ситуације и годишњег прихода вашег пословања, између осталих фактора. Поред новчаних казни, национално тело за заштиту података може изрећи и друге санкције. То може да варира од упозорења и укора до привременог (а понекад чак и трајног) престанка обраде података. У том случају, можда привремено или трајно више нећете обрађивати личне податке преко своје организације. На пример, зато што сте више пута починили кривична дела. Ово ће вам у суштини онемогућити пословање. Друга могућа ГДПР санкција је исплата штете корисницима који поднесу основану жалбу. Укратко, будите опрезни у погледу приватности и личних података појединаца како бисте избегли тако тешке последице.

Да ли желите да знате да ли сте у складу са ГДПР-ом?

Ако планирате да започнете посао у Холандији, мораћете да се придржавате ГДПР-а. Ако послујете са холандским купцима или клијентима са седиштем у било којој другој земљи ЕУ, такође ћете морати да се придржавате ове уредбе ЕУ. Ако не знате са сигурношћу да ли спадате у делокруг ГДПР-а, увек можете контактирати Intercompany Solutions за савет на ту тему. Можемо вам помоћи да сазнате да ли имате важеће интерне прописе и процесе и да ли су информације које дајете трећим лицима довољне. Понекад може бити врло лако превидети важне информације, које би ипак могле довести до проблема са законом. Запамтите: приватност је изузетно важна тема, тако да је од суштинског значаја да увек будете у току са најновијим прописима и вестима. Ако имате било каквих питања о овој теми или желите више информација о пословним објектима у Холандији, слободно контактирајте Intercompany Solutions било када. Радо ћемо вам помоћи са било којим упитом који имате или понудити јасну понуду.

Извори:

https://gdpr-info.eu/

https://www.afm.nl/en/over-de-afm/organisatie/privacy

https://finance.ec.europa.eu/


[КСНУМКС] https://commission.europa.eu/law/law-topic/data-protection/data-protection-eu_nl#:~:text=The%20general%20regulation%20dataprotection%20(GDPR)&text=The%20AVG%20(also%20known%20under,digital%20unified%20market%20te%20.

[КСНУМКС] https://www.rijksoverheid.nl/onderwerpen/privacy-en-persoonsgegevens/documenten/brochures/2018/05/01/de-algemene-verordening-gegevensbescherming

[КСНУМКС] https://www.rijksoverheid.nl/onderwerpen/privacy-en-persoonsgegevens/documenten/brochures/2018/05/01/de-algemene-verordening-gegevensbescherming

Требате више информација о холандској компанији БВ?

ОБРАТИТЕ СЕ СТРУЧЊАКУ
Посвећено пружању подршке предузетницима у започињању и растућем послу у Холандији.

kontakti

Члан

меницхеврон-довнунакрсни круг