Notion AI – AI za produktivnost
Shodno odredbama GDPR-a, rukovalac ima obavezu da sprovodi odgovarajuće tehničke i organizacione mere da bi obezbedio da se obrada vrši u skladu sa ovom uredbom i da bi to mogao da dokaže, a ove mere se prema potrebi preispituju i ažuriraju.
Uzimajući u obzir najnoviji tehnološki razvoj, troškove sprovođenja i prirodu, obim, kontekst i svrhe obrade, kao i rizike različitih stepena verovatnoće i ozbiljnosti za prava i slobode fizičkih lica koji proizilaze iz obrade podataka, rukovalac i u vreme određivanja sredstava obrade i u vreme same obrade primenjuje odgovarajuće tehničke i organizacione mere za omogućavanje delotvorne primene načela zaštite podataka i u obradu uključuje zaštitne mere. Rukovalac primenjuje odgovarajuće tehničke i organizacione mere kojima se obezbeđuje da se integrisanim načinom obrade samo podaci o ličnosti koji su nužni za svaku posebnu svrhu obrade.
Ako dva rukovaoca ili više njih zajednički odrede svrhe i načine obrade, oni se smatraju zajedničkim rukovaocima i oni na transparentan način međusobnim dogovorom određuju odgovornosti svakoga od njih u cilju izvršavanja obaveza iz Uredbe.
U slučaju da na osnovu člana 3 stav 2 Uredbe obradu vrši rukovalac ili obrađivač koji nema sedište u Uniji, onda rukovalac ili obrađivač pisanim putem imenuju predstavnika u Uniji. Ako se obrada sprovodi u ime rukovaoca, onda rukovaoci mogu da se koriste samo takvim obrađivačima koji u dovoljnoj meri jemče sprovođenje odgovarajućih tehničkih i organizacionih mera tako da obrada bude u skladu sa zahtevima koje predviđa Uredba i da obezbeđuje zaštitu prava lica na koje se podaci odnose. Obrađivač ne sme da angažuje drugog obrađivača bez prethodnog pisanog odobrenja rukovaoca.
GDPR dalje predviđa da rukovalac i obrađivač primenjuju odgovarajuće tehničke i organizacione mere kako bi postigli odgovarajući nivo bezbednosti shodno riziku, što podrazumeva:
- pseudonimizaciju i enkripciju podataka o ličnosti,
- sposobnost obezbeđenja trajne poverljivosti, celovitosti, dostupnosti i otpornosti
sistema i usluga obrade, - sposobnost blagovremenog uspostavljanja ponovne dostupnosti podataka o ličnosti i
pristupa njima u slučaju fizičkog ili tehničkog incidenta i proces za redovno testiranje, - ocenjivanje i procenjivanje delotvornosti tehničkih i organizacionih mera za
obezbeđenje bezbednosti obrade.
Prilikom procene odgovarajućeg nivoa bezbednosti, uzimaju se u obzir posebno rizici koje predstavlja obrada, a posebno rizici od slučajnog ili nezakonitog uništenja, gubitka, izmene, neovlašćenog otkrivanja ili neovlašćenog pristupa podacima koji su preneti, sačuvani ili na drugi način obrađivani. U slučaju da dođe do povrede bezbednosti podataka o ličnosti, rukovalac bez nepotrebnog odlaganja i, ukoliko je to moguće, najkasnije 72 sata nakon saznanja o toj povredi zvanično obaveštava nadležni nadzorni organ, osim u slučaju da nije verovatno da će time biti ugrožena prava i slobode fizičkih lica, a obrađivać po saznanju za povredu bezbednosti podataka o tome bez nepotrebnog odlaganja zvanično obaveštava rukovaoca. Takođe, kada je verovatno da će povreda bezbednosti podataka o ličnosti prouzrokovati veliki rizik za prava i slobode pojedinaca, rukovalac o tome obaveštava ispitanika.
Ako postoji verovatnoća da će neka vrsta obrade prouzrokovati veliki rizik za prava i slobode pojedinaca, rukovalac pre obrade vrši procenu uticaja predviđenih postupaka obrade na zaštitu podataka o ličnosti.
Procena je obavezna posebno u slučaju sistematske i obimne procene ličnih aspekata u vezi sa pojedincima, a koja se zasniva na automatizovanoj obradi i na osnovu koje se donose odluke koje proizvode pravna dejstva na pojedinca ili na sličan način značajno utiču na njega, u slučaju masovne obrade posebnih kategorija podataka ili podataka koji se odnose na krivična dela i osude i u slučaju obimnog sistematskog praćenja javno dostupnog prostora. Rukovalac se konsultuje sa nadzornim organom pre obrade ako je procena uticaja u vezi sa zaštitom podataka pokazala veliki rizik u slučaju da rukovalac ne primeni mere za ublažavanje rizika.
U slučaju da nadzorni organ smatra da bi se nameravanom obradom kršila ova uredba, posebno ako rukovalac nije u dovoljnoj meri utvrdio ili umanjio rizik, nadzorni organ u predviđenom roku savetuje rukovaoca, a po potrebi i obrađivača. Rukovalac i obrađivač imaju obavezu imenovanja službenika za zaštitu podataka uvek kada obradu vrše organ javne vlasti ili javno telo, kada se osnovne delatnosti rukovaoca ili obrađivača sastoje od postupaka obrade koji zahtevaju redovno i sistematsko masovno praćenje ispitanika u velikoj meri i ako se osnovne delatnosti rukovaoca ili obrađivača sastoje iz opsežne obrade posebnih kategorija podataka i podataka koji se odnose na krivična dela i osude.
Autor: dr Jasmina Vukotić
Povezane vesti
