Pravna sigurnost za startape: GDPR usklađenost

BoarVenturers Team · · Pravni okvir & Regulativa · 12 min čitanja
GDPR usklađenost i pravna sigurnost za startape

Pravna sigurnost za startape: GDPR usklađenost

O autorki: Tamara Sićević je advokat i medijator sa fokusom na zaštitu podataka i intelektualnu svojinu. Pomaže startapima i kompanijama da se pravno osiguraju i razvijaju bez prepreka.

Od prvog banner oglasa do najstrožeg propisa o privatnosti: Evolucija zaštite podataka

Kada je 1995. godine usvojena Data Protection Directive (Direktiva o zaštiti podataka) u EU, digitalni svet je tek počinjao da se razvija. Te godine se pojavio prvi banner oglas na internetu, online bankarstvo je predstavljalo revolucionarnu novinu, a neko nije mogao predvideti koliko će se brzo razviti digitalno okruženje.

Vremenom su se dešavale značajne promene. Facebook je postao dostupan javnosti, a digitalni otisci korisnika postajali su sve veći i kompleksniji. Jedan od značajnih momenata bio je kada je korisnik Google-a tužio kompaniju zbog skeniranja njegovih e-mailova - što je ukazalo na rastući problem zaštite privatnosti u digitalnom dobu.

Nakon punih sedam godina kreiranja, dopunjavanja i usavršavanja, 25. maja 2018. godine, počela je da važi takozvana GDPR ili Opšta uredba o zaštiti podataka o ličnosti. Cilj je bio unapređenje zaštite jednog od osnovnih ljudskih prava – prava na zaštitu podataka o ličnosti.

GDPR je ovo polje znatno unapredio pojačavanjem određenih prava:

code

Pojedinci sada mogu da zahtevaju od kompanija da im kažu koje podatke o njima poseduju i da te podatke, ukoliko pojedinci to žele, kompanije obrišu.

Obrađivači podataka po prvi put mogu da rade širom Evropske unije, dok su pre morali da pokreću odvojene akcije za svaku pojedinačnu jurisdikciju.

Regulatorna tela imaju punu moć da obezbede izvršavanje svojih naredbi: maksimalna kazna sada doseže preko 20 miliona evra ili četiri odsto globalnog prometa kompanije. Pored toga, pojedinci mogu tražiti naknadu štete za povredu njihovih prava.

Kada je o Srbiji reč, kao kandidat za članstvo u Evropskoj uniji Srbija je u obavezi da uskladi svoje zakonodavstvo sa pravnim tekovinama Unije. Drugi razlog je to što se Srbija, u okviru Akcionog plana za poglavlje 23, obavezala na harmonizaciju svog zakonodavstva sa evropskim standardima.

Za startape, razumevanje ove evolucije predstavlja uvid u to koliko ozbiljno regulatori širom sveta shvataju pitanje privatnosti. Ulaganje u GDPR usklađenost od samog početka nije samo pravna obaveza, već i strateška prednost koja gradi poverenje korisnika.

GDPR demistifikovan: Ključni pojmovi koje svaki osnivač startapa mora poznavati

Razumevanje GDPR-a počinje od razumevanja njegove terminologije. Za mnoge startape, pravni jezik može delovati zastrašujuće, ali kada razbijemo ključne pojmove na razumljive delove, usklađenost postaje znatno lakša.

Lični podaci – Prema GDPR-u, lični podaci su bilo koja informacija koja se odnosi na osobu koja može biti direktno ili indirektno identifikovana. To uključuje ime, e-mail, IP adresu, biometrijske podatke, politička uverenja itd.

Za startape je važno razumeti da se IP adrese, identifikatori kolačića, pa čak i podaci o lokaciji smatraju ličnim podacima pod GDPR-om.

Obrada podataka – Svaka radnja koja se vrši nad podacima, bilo automatski ili ručno. To uključuje prikupljanje, skladištenje, korišćenje, brisanje podataka. Ako mislite da ne "obrađujete" podatke jer ih samo skladištite – razmislite ponovo. Čak i samo čuvanje podataka u bazi smatra se obradom.

Subjekt podataka – Osoba čiji se podaci obrađuju. Za većinu startapa, to su klijenti, korisnici sajta ili pretplatnici na newsletter.

Rukovalac podacima – Organizacija ili pojedinac koji odlučuje o obradi podataka. U većini slučajeva, to je vaš startap. Rukovalac nosi najveću odgovornost prema GDPR-u.

Obrađivač podataka – Treća strana koja obrađuje podatke u ime rukovaoca. Primer: cloud servisi poput Google Drive-a ili e-mail servisi poput ProtonMail-a.

Razumevanje ovih relacija je ključno: kao rukovalac, vi ste odgovorni čak i za podatke koje obrađuju vaši partneri u vaše ime. Zato je važno sklopiti odgovarajuće ugovore sa svim obrađivačima podataka koje angažujete.

Poznavanje ove terminologije nije samo stvar usklađenosti – to je prvi korak ka izgradnji proizvoda i usluga koje poštuju privatnost korisnika od samog početka.

Vaša GDPR mapa puta: 7 principa zaštite podataka koje svaki startap mora ugraditi u svoje poslovanje

Ako obrađujete podatke, morate se pridržavati sedam osnovnih principa zaštite i odgovornosti prema članu 5 GDPR-a. Ovi principi predstavljaju filozofiju kako bi trebalo pristupiti podacima o ličnosti.

1. Zakonitost, poštenje i transparentnost

IT kompanije moraju osigurati da se lični podaci obrađuju u skladu sa zakonom i da korisnici jasno razumeju kako se njihovi podaci koriste. To znači:

- Jasno napisane politike privatnosti, lako dostupne korisnicima

- Transparentno objašnjenje svrhe prikupljanja podataka (npr. da li se koriste za analitiku, personalizaciju ili marketing)

- Osiguranje validnog pravnog osnosa za obradu podataka

Pravni osnovi za obradu podataka:

Podatke možete obrađivati samo ako imate jedan od sledećih pravnih osnova:

- Saglasnost korisnika (npr. prijava na newsletter)

- Ugovorna obaveza (npr. obrada podataka za ispunjenje ugovora)

- Pravna obaveza (npr. sudski nalog)

- Zaštita života (hitni medicinski slučajevi)

- Javni interes (npr. službe javnog sektora)

- Legitimni interes (npr. analiza ponašanja korisnika, uz poštovanje njihovih prava)

2. Ograničenje svrhe

IT firme ne smeju prikupljati podatke za jednu svrhu i kasnije ih koristiti u druge, nespecifikovane svrhe bez dodatnog obaveštavanja korisnika. Na primer: ako aplikacija prikuplja podatke za kreiranje korisničkog naloga, ne bi smela automatski koristiti te podatke za marketinške kampanje bez eksplicitne saglasnosti korisnika.

3. Minimizacija podataka

IT kompanije treba da prikupljaju samo one podatke koji su zaista potrebni za funkcionisanje njihovih usluga. Neke dobre prakse uključuju:

  • Ne tražiti više informacija nego što je neophodno prilikom registracije
  • Anonimizacija i pseudonimizacija podataka kada je moguće
  • Redovno ažuriranje prikupljenih podataka i brisanje nepotrebnih informacija

4. Tačnost i ažurnost podataka

Podaci moraju biti tačni i ažurirani. Praktični koraci uključuju:

  • Omogućavanje korisnicima da lako ažuriraju svoje podatke
  • Korišćenje automatizovanih sistema za validaciju unosa
  • Redovno čišćenje baze podataka i eliminacija zastarelih ili netačnih informacija

5. Vremensko ograničenje skladištenja

Podaci ne smeju biti čuvani duže nego što je potrebno za ostvarenje njihove svrhe. IT kompanije bi trebalo da:

- Definišu periode čuvanja podataka i implementiraju automatizovane procese za brisanje ili anonimizaciju podataka nakon tog perioda

- Informišu korisnike o vremenskom roku čuvanja podataka kroz politike privatnosti

6. Integritet i poverljivost (bezbednost podataka)

IT kompanije moraju osigurati adekvatnu zaštitu podataka korisnika. Ovo podrazumeva:

- Enkripciju ličnih podataka u bazama podataka i prilikom prenosa preko mreže

- Primenu višefaktorske autentifikacije (MFA) za pristup osetljivim podacima

- Ograničavanje pristupa podacima samo onim zaposlenima kojima su potrebni za obavljanje posla

- Redovne provere bezbednosti i testiranje ranjivosti softvera

Obaveštenje o povredi podataka – U slučaju curenja podataka, morate obavestiti nadležne organe i pogođene osobe u roku od 72 sata.

7. Odgovornost (accountability)

IT kompanije moraju biti u stanju da dokažu usklađenost sa GDPR-om, što znači da bi trebalo da:

- Dokumentuju sve procese obrade podataka i održavaju evidenciju o aktivnostima obrade

- Imenuju DPO (službenika za zaštitu podataka) ako je to potrebno

- Uspostave interne procedure za prijavu i reagovanje na incidente curenja podataka

- Edukuju zaposlene o zaštiti podataka i njihovim obavezama prema GDPR-u

Osnaženi korisnici, sigurniji startap: Praktični vodič za implementaciju GDPR prava korisnika

Prava korisnika (subjekata podataka) prema GDPR-u igraju ključnu ulogu u odnosu između softverskih kompanija i njihovih korisnika. Evo kako praktično implementirati ova prava u vašem startapu:

Pravo na informisanost

Korisnici imaju pravo da budu jasno i potpuno informisani o tome kako i zašto se njihovi podaci obrađuju.

Kako se to primenjuje u softverskim kompanijama:

- Politike privatnosti moraju biti lako dostupne, jasne i precizne, bez složenog pravnog jezika

- Korisnici moraju biti obavešteni o svrsi obrade podataka, pravnom osnovu, vremenskom periodu čuvanja podataka i o tome da li se podaci dele sa trećim stranama

- Ako kompanija koristi kolačiće ili prikuplja podatke za analitiku i marketing, korisnicima mora biti omogućeno da daju informisanu saglasnost

Pravo na pristup podacima

Korisnici mogu zatražiti kopiju svojih podataka i informacije o tome kako se oni koriste.

Kako se primenjuje:

- Softverske kompanije moraju omogućiti jednostavan način za korisnike da podnesu zahtev za pristup podacima

- Kompanija mora odgovoriti u roku od 30 dana, pružajući korisniku podatke u čitljivom formatu

- Ako kompanija obrađuje podatke automatski, mora pružiti osnovne informacije o algoritmima koji se koriste i njihovom uticaju na korisnika

Pravo na ispravku podataka

Ako su korisnički podaci netačni ili nepotpuni, korisnik ima pravo da ih ispravi.

Kako se primenjuje:

- Softverske kompanije moraju omogućiti jednostavan način za ažuriranje podataka

- Ako korisnik zahteva promenu podataka, kompanija mora da obradi zahtev u razumnom roku

- Ako su podaci podeljeni sa trećim stranama, kompanija ih mora obavestiti o ispravci

Pravo na brisanje podataka („pravo na zaborav")

Korisnici mogu zatražiti brisanje svojih podataka kada više nisu potrebni za svrhu zbog koje su prikupljeni.

Kako se primenjuje:

- Softverske kompanije moraju omogućiti korisnicima opciju brisanja naloga i podataka

- Ako je pravni osnov za obradu saglasnost korisnika, podaci moraju biti obrisani odmah nakon povlačenja saglasnosti

- Izuzeci: Ako kompanija ima zakonsku obavezu da čuva podatke, može odbiti zahtev za brisanje ali mora jasno objasniti razlog

Pravo na ograničenje obrade

Korisnici mogu zahtevati privremeno zaustavljanje obrade svojih podataka u određenim situacijama.

Kako se primenjuje:

- Softverske kompanije moraju imati opciju "pauziranja" obrade podataka dok se ne reši korisnički zahtev

- Ovo može biti korisno u slučaju kada korisnik tvrdi da su podaci netačni – kompanija ne sme obrađivati te podatke dok se ne potvrdi njihova tačnost

Pravo na prenosivost podataka

Korisnici imaju pravo da preuzmu svoje podatke i prenesu ih drugom pružaocu usluga.

Kako se primenjuje:

- Softverske kompanije moraju omogućiti izvoz korisničkih podataka u standardnim formatima

- Ovo pravo se odnosi samo na podatke koje je korisnik sam dostavio, ali ne i na interne analitičke podatke koje kompanija generiše

Pravo na prigovor

Korisnici mogu uložiti prigovor na obradu svojih podataka, posebno ako se oni koriste za marketing ili profilisanje.

Kako se primenjuje:

- IT kompanije moraju omogućiti korisnicima da lako isključe personalizovane oglase i praćenje

Pravo na ljudsku intervenciju u automatskom odlučivanju

Ako softver donosi odluke koje imaju značajan uticaj na korisnika, korisnik ima pravo da zahteva ljudsku intervenciju.

Kako se primenjuje:

- Softverske kompanije koje koriste AI ili automatizovane sisteme za donošenje odluka moraju omogućiti korisnicima da traže objašnjenje odluka i da ih pregleda čovek

- Na primer, ako platforma za zapošljavanje koristi algoritam za filtriranje prijava kandidata, kandidat može tražiti da njegova prijava bude pregledana od strane osobe

Cena neusklađenosti: Kazne, transfer podataka i regulatorni rizici koje svaki startap mora poznavati

Razumevanje posledica nepoštovanja GDPR-a je ključno za svaki startap. Pored tehnoloških obaveza, postoje i značajni finansijski i reputacioni rizici koje treba uzeti u obzir.

Kazne u okviru GDPR-a

EU kazne:

Maksimalna kazna doseže preko 20 miliona evra ili četiri odsto globalnog prometa kompanije, u zavisnosti od toga koji iznos je veći.

Kazne u Srbiji:

Prekršajna odgovornost:

- Pravna lica – 50.000 – 2.000.000 dinara (više povreda i do 4.000.000 dinara)

- Preduzetnike – 20.000-500.000 dinara

- Fizička lica – 5.000-150.000 dinara (odgovorno lice u pravnom licu ili državnom organu)

Krivičnopravna odgovornost:

Neovlašćeno prikupljanje ličnih podataka - kazniće se novčanom kaznom ili zatvorom do jedne godine (3 godine za službeno lice).

Dodatni rizici:

- Reputacioni rizik

- Naknada štete (u EU od nekoliko stotina do više stotina hiljada evra)

Transfer podataka van EU

Prenos ličnih podataka iz Evropske unije u druge zemlje podložan je strogim pravilima. GDPR predviđa nekoliko pravnih osnova za ovakav transfer, ali u praksi kompanije često nailaze na izazove, posebno nakon odluke Schrems II kojom je poništen Privacy Shield sporazum između EU i SAD.

Osnovno pravilo – zabrana prenosa bez odgovarajuće zaštite:

Lični podaci korisnika iz EU ne mogu se slobodno slati u zemlje izvan EU/EEA osim ako:

- Zemlja primaoca ima adekvatan nivo zaštite, koji je odobrila Evropska komisija

- Postoji odgovarajući pravni mehanizam (standardne ugovorne klauzule, obavezujuća korporativna pravila itd.)

- Korisnik je dao izričitu saglasnost za transfer uz puno razumevanje rizika

Zemlje sa "adekvatnim nivoom zaštite":

Evropska komisija je odobrila zemlje kao što su Velika Britanija, Švajcarska, Norveška, Island i Lihtenštajn, Japan, Kanada (ograničeno), Južna Koreja, Izrael, Urugvaj, Argentina itd.

Pravni mehanizmi za ostale zemlje:

Standardne ugovorne klauzule (SCCs)

Najčešći način prenosa podataka u zemlje bez adekvatnog nivoa zaštite. SCCs su unapred definisane ugovorne odredbe koje strane potpisuju kako bi se osigurala usklađenost sa GDPR-om.

Obavezujuća korporativna pravila (BCRs)

Multinacionalne kompanije mogu koristiti BCRs za interni transfer podataka između svojih filijala.

Izričita saglasnost korisnika

Ako ne postoji nijedan pravni mehanizam, podaci se mogu preneti samo ako korisnik eksplicitno pristane nakon što bude obavešten o svim rizicima.

Transfer podataka u SAD – specijalan slučaj

Zašto je transfer podataka u SAD problematičan?

Glavni problem je nizak nivo zaštite privatnosti u poređenju sa GDPR-om:

- Američke obaveštajne agencije mogu pristupiti podacima

- Američki zakoni omogućavaju američkim vlastima da pristupe podacima neameričkih građana bez jasnih pravnih ograničenja

- Nema adekvatnih pravnih sredstava za korisnike iz EU

Odluka Schrems II (2020) – kraj Privacy Shield sporazuma:

Evropski sud pravde je u julu 2020. poništio EU-US Privacy Shield. Sud je zaključio da američki zakoni ne pružaju dovoljno zaštite podacima evropskih korisnika.

EU-US Data Privacy Framework (DPF) – Novi okvir za prenos podataka:

U julu 2023, Evropska komisija je usvojila EU-US Data Privacy Framework koji omogućava prenos podataka u SAD samo ka kompanijama koje su sertifikovane u okviru ovog programa. DPF postavlja strože zahteve za zaštitu podataka i uvodi novi Data Protection Review Court (DPRC) koji omogućava evropskim građanima da podnesu žalbe protiv američkih vlasti ako dođe do zloupotrebe podataka.

Kako sada funkcioniše prenos podataka u SAD:

Transfer podataka u SAD je moguć samo uz korišćenje Standardnih ugovornih klauzula (SCCs) plus dodatne mere zaštite:

- End-to-end enkripcije pre prenosa podataka

- Pseudonimizacije podataka

- Skladištenja podataka u EU, gde je moguće

Za startape, razumevanje ovih pravila i rizika nije samo stvar usklađenosti – to je pitanje održivosti poslovanja. Ulaganje u pravilnu GDPR usklađenost od početka može uštedjeti značajne troškove i zaštititi reputaciju kompanije u budućnosti.

startuppreduzetništvopravni aspektiGDPRRegulativa