GDPR (General Data Protection Regulation) или Европска регулација за општа заштита на податоци е нов закон за приватност во Европската Унија, одобрен во 2016 година. Законот стапи на сила на 25 Мај, 2018 година и со тоа се унифицираше решавањето на сите прашања поврзани со заштита на податоци, исфрлајќи ги од употреба претходните закони на оваа тема.
Целта на Регулацијата за општа заштита на податоци е да ги донесе сите земји членки на Европската Унија под заеднички покрив, спроведувајќи еден единствен закон за заштита на податоци. GDPR наметнува показни рамки и регулации околу тоа како да се процесираат, користат, зачувуваат и разменуваат податоците.
GDPR важи за сите организации кои се регистрирани во Европската Унија или имаат претставништво во истата. Исто така, засегнати се и организации кои продаваат добра или услуги на граѓани на Европската Унија и вршат процесирање или мониторинг на личните податоци на граѓани на ЕУ.
Едноставно, ако организацијата (најчесто компанија) е со регистрирано седиште во Европската Унија или дел од клиентите на истата се наоѓаат во ЕУ, тогаш таа мора да биде во согласност со Регулацијата за општа заштита на податоци.
GDPR како закон дефинира три главни, засегнати страни и тоа:
- Контролори на податоците – одлучуваат за целта и методите при процесирање на личните податоци. Ако го занемариме правниот жаргон, ова се всушност самите организации или компании.[10]
- Вршители на процесирање на податоците – се одговорни за директно процесирање на личните податоци според инструкциите наведени од Контролорите на податоци. Како пример, во оваа група спаѓаат компании најмени од страна на Контролорите.[10]
- Сопственици на податоците – се граѓани на Европската Унија кои користат добра и услуги обезбедени од Контролорите на податоци [12]
Резимирано во една реченица со пример: Компанија која нуди софтверско решение во вид на платформа(Контролор на податоците) на граѓани на Европската Унија (Сопственици на податоците), користи алатка од трета компанија (Вршител на процесирање на податоци) за да ја анализира посетеноста и однесувањето на корисниците на платформата.
Организациите засегнати од оваа регулација се обврзани континуирано да ја демонстрираат безбедноста на податоците кои тие ги процесираат. Ова наметнува имплементација на потенцијално комплексни технички мерки, како и мерки на ниво на функционирањето на организацијата.
Усвојувањето и стапувањето на сила на оваа Регулација е всушност природен чекор по сите скандали поврзани со приватноста, особено во дигиталниот свет, во последните години. Како таков, овој закон е добредојден за секој граѓанин на Европската Унија и сосема исправен од било каков морален или етички аспект. Сепак, кратко по стапување на сила, GDPR се покажа како доста сложена регулација кога станува збор за имплементација на истата во реални апликации. За да ги разбереме импликациите, неопходно е најпрво детално да се запознаеме со главните точки преку кои овој закон наметнува одговорност и рамка на правила.
Целта на Регулацијата за општа заштита на податоци е да ги заштити личните податоци на граѓаните на Европската Унија. Ова е главната основа на законот и затоа е круцијално да дефинираме што всушност спаѓа во овие лични податоци. Покрај основните информации за идентификација како име/презиме, email, адреса и идентификациони броеви на лични документи, во лични податоци според оваа Регулација се вбројуваат и други податоци кои можеби и не би ги сместиле тука интуитивно. Вклучени се и интернет/дигитални податоци како IP адреси и колачиња, понатаму здравствени, генетски или биометриски податоци, податоци поврзани со раса или етникум, политички ставови, сексуална ориентација, регистарски таблички итн.
За не придржување до точките на оваа Регулација, овластените институции издаваат парични казни до 20 милиони евра или 4% од годишниот приход на организацијата-престапник.
Наредно, ќе ги разгледаме правата на Сопствениците на податоци, кои директно ги диктираат мерките кои треба да се превземат при развој на реални апликации од страна на организации засегнати од Регулацијата за општа заштита на податоци.
- Известување за неовластен влез во системот и неовластен пристап до личните податоци на сопственикот
Во случај на неовластено пробивање на системот на организацијата (Контролор на податоците) кое е веројатно да резултира со неавторизирана употреба на податоците со кои напаѓачот се здобил при тој пробив, организацијата (Контролорот на податоци) е должна да ги информира сопствениците на податоците за кражбата во рок од 72 часа. Слично, организациите во улога на Вршители на процесирање на податоците се должни да ги информираат Контролорите на податоци во рамки на истиот временски рок.
Ова правило наведува континуиран мониторинг на целиот архитектурен синџир на софтверот, со соодветно подесени аларми за известување.
- Сопствениците имаат право на пристап кон своите податоци
Ако сопственикот на податоците побара од организацијата (Контролор на податоците) информации за тоа кои податоци, како, каде и за кои потреби се користат неговите информации – организацијата е должна во рок од еден месец, без побарување на никаков надоместок, да ги достави до сопственикот.
Ова право наметнува податоците кои се чуваат како дел од било кое софтверско решение да се зачувуваат на организиран начин, како би се олеснило екстракција и достава на иститот на барање од сопственикот.
- Сопствениците имаат право нивните податоци да бидат избришани
Познато под името “Right to be forgotten”, ова право му овозможува на сопственикот на податоците тие да бидат избришани од сите бази, услуги и архиви на организацијата (Контролор на податоците).[5] Дополнително, доколку сопственикот претходно се има согласено неговите податоци да бидат користени од трети лица, има право да ја поништи и таа согласност.
Оваа точка од Регулацијата делува навидум едноставна за спроведување, меѓутоа е честа предизвикувач на главоболки за компаниите. Најпрво, со стапувањето на сила на GDPR, софтверските решенија ширум светот добија уште едно техничко побарување при нивниот развој, а тоа е механизам за ефикасно бришење на податоците на одреден корисник од сите делови на апликацијата. Од друга страна, практично сите посериозни софтверски решенија се подложни на редовен Back up. Проблемот се јавува при бришење на податоците на сопствениците и од Back up фајловите кои најчесто не може да се пристапат апликациски – туку се само портабилни пакети. Ова е сериозна техничка пречка со која се соочуваат сите организации-контролори на податоци кои се подложни на Европската регулација за заштита на податоци, и за која не постои елегантно и едноставно решение.
- Сопствениците треба експлицитно да наведат согласност за тоа како ќе се искористат нивните податоци
Новата регулација значи и дека сопствениците на податоци треба да превземат конкретно, јасно и свесно дејство во рамките на апликацијата, со цел нивните податоци да бидат искористени од контролорите. Ова значи експлицитно штиклирање на поле за согласност, дигитален потпис и слично.
Дополнително, апликацијата треба јавно да содржи јасна и лесно достапна политика на приватност која ги дефинира сите детали и финеси околу тоа кој, како, зошто и кои податоци ги собира и процесира.
- Преносливост на податоци
Регулацијата содржи и правило кое вели дека сопственикот на податоци има право да ги добие своите податоци од страна на контролорот во формат кој е лесно читлив од останати софтвери и пренослив.
Ова значи дека контролорот на податоци има обврска да го дизајнира системот со можност да ги екстрахира личните податоци во ваков тип на формат, со што сопственикот ќе може истите лесно да ги искористи кај друг контролор на податоци.
- Заштита и приватност на податоци по дизајн
Приватност на податоци по дизајн е концепт формално вклучен во GDPR кој опфаќа ефективен дизајн на системи со најдобри практити за заштита на податоци како приоритет. Контролорите на податоци се обврзани да имплементираат соодветни мерки на техничко и организациско ниво со цел да ги исполнат барањата на овој закон и да ги заштитат правата на сопствениците на податоци. Ова вклучува користење на енкрипција и хеширање при зачувување на личните податоци.
За крај…
Европската регулација за заштита на податоците е битен чекор понапред кон зачувување на приватноста на секојдневниот ѓраѓанин. Сепак, од аспект на имплементација на истата од страна на засегнатите организации е доста комплексна задача и компаниите ширум светот се` уште се приспособуваат. Пред стапувањето на сила на оваа регулација, обичниот корисник го носеше товарот околу грижењето за својата приватност. Сега, работите се сменети и тој товар го сноси организацијата која нуди услуги на истиот тој обичен корисник.
Во анализата обработивме неколку битни делови од овој закон кои директно влијаат на дизајнот и техничките спецификации на една реална апликација. Понатаму, заклучокот е дека не постои единствено, унифицирано решение за имплементација на Европската регулација за заштита на податоците. Некои од правилата се општо и широко поставени, па различни решенија наметнуваат различна имплементација.
GDPR наметнува строги работни рамки како на ниво на конкретното софтверско решение, така и на организацијата кое го изработува – па овие две остануваат тесно поврзани и без таква синергија едноставно не ги исполнуваат правилата на регулацијата.