Ko je ovlašćeno lice za zaštitu podataka (DPO)

Ovlšećeno lice za zaštitu podataka ili na engleskom jeziku Data Protection Officer (DPO) je lice koje je u kompaniji imenovano da rukovidi podacima o ličnosti.

DPO je odgovoran u kompanijiu pogledu kreiranja strategija za zaštitu podataka o ličnosti i praćenju njihovih uskladjenosti sa GDPR regulativom.

Prema članu 37 GDPR imenovanje ovlašćenog lica za zaštitu podataka je obaveza svake kompanije koja sakuplja ili procesuira lične podatke državljana Evropske Unije. Dužnosti DPO u kompaniji su usmerene na edukaciju zaposlenih o važnosti usklađenosti poslovanja sa GDPR, treniranju i obuci zaposlenih koji rade na obradi podataka kao i sprovođenju internih provera u cilju kontrolisanja usklađenosti poslovanja sa GDPR.

Prema članu 39 GDPR predviđeni su sledeći zadaci DPO:

informisanje i savetovanje rukovaoca ili obrađivača i zaposlenih koji vrše obradu o njihovim obavezama u skladu sa GDPR i drugim odredbama prava Unije ili prava države članice o zaštiti podataka;

praćenje usklađenosti sa GDPR i drugim odredbama prava Unije ili prava države članice o zaštiti podataka, kao i politikama rukovaoca ili obrađivača u vezi sa zaštitom podataka o ličnosti, uključujući i podelu odgovornosti, podizanje svesti i osposobljavanje osoblja koje učestvuje u radnjama obrade, kao i s tim povezane revizije;

pružanje saveta, kada je to zatraženo, u pogledu procene uticaja u vezi sa zaštitom podataka i praćenje njena izvršavanja;

saradnja s nadzornimorganom;

delovanje kao kontaktna tačka za nadzorni organ o pitanjima koja se tiču obrade,

Srpski Zakon o zaštiti podataka o ličnosti takođe u članu 52 predviđa mogućnost imenovanja lica za zaštitu podataka o ličnosti. S obzirom na veliki broj podataka koji se prikupljaju u toku poslovanja jedne komapnije, imenovanje DPO postoje sve potrebnije kako bi se poslovanje uskladilo sa zahtevnim propisima zaštite podataka.

Autorsko pravo na aplikacijama za mobilne telefone

Aplikacije za mobilne telefone, poput računarskih programa, predstavljaju autorsko delo u smislu Zakona o autorskim i srodnim pravima. U nekim pravnim sistemima softver se može štititi i pantentnim pravom, međutim to u Evropi, pa i u Srbiji nije standard.

Samo izuzetno, tj. ako softver proizvodi i tehničke efekte, moglo bi se razmišljati o njegovoj patentnoj zaštiti (recimo softver upravlja pumpom za navodnjavanje). Pronalazak bi u stvari morao da bude nešto više od računarskog programa, trebalo bi da se radi o pronalasku u vezi sa računarima (computer related invention), da bi se moglo razmišljati o patentnoj zaštiti.

Da bi se aplikacija mogla smatrati autorskim pravom, nije neophodno da softver bude deponovan pri Zavodu za intelektualnu svojinu, jer autosko delo nastaje samim nastankom dela, u ovom slučaju računarskog programa. Međutim, deponovanje autorskog dela može olakšati potrebu dokazivanja kada je delo nastalo u slučaju eventualnog spora.

Kod aplikacija, kao i kod druge vrste programa, često se dešava da više lica učestvuje u njihovoj izradi, pa je preporučljivo da se njihovi odnosi i prava unapred regulišu putem odgovarajućih ugovora.

Ovim ugovorima naročito treba predvideti i rešenja za situacije kada neko od koautora ne želi više da učestvuje u radu na razvoju aplikacije, ko ima pravo dalje da razvija takav program (poput prava koautora filmskog dela da nastave da koriste rezultat stvaralačkog rada onog autora koji odbije da sarađuje na daljoj izradi filmskog dela ili je usled više sile sprečen da sarađuje).

Ivan Todorović

GDPR ORUŽJE ILI ŠTIT

Kada prikupljate podatke o ličnosti, najvažnije pitanje koje se javlja jeste kako obezbediti njihovu zaštitu? GDPR propisuje obavezne minimum u pogledu tehničkih i organizacionih mera koje obezbeđuju obradu podataka u skladu sa načelima uredbe.

GDPR u članu 32 predviđa mogućnosti zaštite podataka sa odgovarajućim merama zaštite kao što su:

Pseudonizacija i enkripcija podataka o ličnosti;Obezbeđivanje trajne poverljivosti prikupljenih podataka, njihove integrisanosti, dostupnosti, otpornosti sistema i usluga obrade; Mogućnost ponovnog uspostavljanja dostupnosti i pristupa prikupljenim podacima o ličnosti u slučaju fizičkog ili tehničkog ometanja;Postupak redovnog testiranja, ocenjivanja i procene delotvornosti tehničkih i organizacionih mera za postizanje bezbednosti obrade.

Načini na koji možete implementirati GDPR tehničke i ogranizacione mere su na primer sledeći:

Kontrola pristupa – organizujte centralizovano odobravanje pristupa aplikacijama ( Role-based access control); Pseudonizacija – koristite pseudonizaciju odnosno koristite lične podatake na način da se isti više ne mogu pripisati određenom korisniku; Enkripcija – učinite informacije nečitljivim za osobe koje ne poseduju određeno znanje; Poverljivost – kreirajte Politiku privatnosti u kojoj ćete na pravno odgovarajući način opisati kako i na koji način vodite računa o podacima klijenata koje prikupljate; Backup-ovanje podataka – čuvanjem podataka sprečite gubitak istih u slučaju da se desi greška u hardveru ili softveru na serveru;

Ocenjivanje uspostavljenih mera – osvežite i uvek revidirajte već postojeće zaštitne mere koje predstavljaju vašu uspostavljenu politiku o tretiranju poverljivih podataka.

GDPR Srbija

U Srbiji novi Zakon o zaštiti podataka o ličnosti u članu 42 predviđa prilikom obrade primenu odgovarajućih tehničkih, organizacionih i kadrovskih mera zaštite kao što su: pseudonizacija i smanjenje broja podataka koji se prikupljaju.

Pomenutim članom se propisuje stalna primena odgovarajućih mera u odnosu na broj prikupljenih podataka, obim njihove obrade, rok njihovog pohranjivanja i njihovu dostupnosti, što znači da je obrađivač obavezan da blagovremeno vrši proveru svojih tehničkih i organizacionih mera zaštite i da ih konstantno usavršava.

Svaka kompanije u zavisnosti od rizika sa kojima se susreće potrebno je da primeni odgovarajuće mere zaštite kako bi obezbedila prikupljanje i obradu podataka u skladu sa GDPR i Zakonom o zaštiti podataka o ličnosti. Pravni savetnik na najbolji način može usmeriti kompaniju u pogledu zaštitnih mera imajući u vidu rizik sa kojim se kompanija susreće.

Autor adv. Marko Petković

Open source licence software-a

Open source software ima drugačija pravila licenciranja u odnosu na standardni (“proprietary” software), kod kog je uobičajeno da vlasnik software-a uslovljava njegovo korišćenje plaćanjem licencnih naknada i kod kojih se ne može neovlašćeno umnožavati , koristiti ili menjati sam program.

Za razliku od toga, kod Open source software-a se primenjuju četiri slobode: 1) sloboda da se koristi program, 2) sloboda da se analizira način funkcionisanja programa, 3) sloboda distribucije kopije programa i 4) sloboda unapređenja programa i objave takvih promena.

Kad korišćenja open source software-a, bitno je proveriti koju tačno vrstu licence i vrstu prava (ali i obaveza) korisnik preuzima na sebe.

Postoje mnoge varijacije open source licenci, koje prepoznaje Open Source Initiative, u zavisnosti od toga da li korisnik ima obavezu da izmene software-a takođe ostavi na slobodnu upotrebu u daljem lancu korisnika – tzv. copyleft licence, da li korisnik mora objaviti svoj izvorni kod i slično.

Neke od popularnih vrsta licenci su recimo Apache Licence 2.0, BSD 3-clause “New” or “Revised”, GNU – General Public Licence, MIT Licence.

Prednosti korišćenja open source programa su manji troškovi po korisnika, postojanje podrške za otklanjanje grešaka u kodu i unapređenje od strane grupe programera i korisnka (tzv. community podrška), transparentnost, otklanja se rizik nepostojanja dalje podrške i update-ova korisniku.

Mane ove vrste software su: mogući indirektni troškovi u vezi sa podrškom korisniku, kodovi su dostupni i trećim licima koji bi ga mogli zloupotrebiti, potencijalno nerazvijen user interface, nekada noviji hardware nije kompatibilan sa opet source platformama.

Ivan Todorovic

GDPR vs MACHINE LEARNING i AI

Da li je GDPR onemogućio MACHINE LEARNING i AI?

Tema zaštite podataka dobija veliki značaj u IT svetu. Postavlja se pitanje da li su pravne norme prepreke tehnološkom napretku ili su u koraku sa IT vremenom?

GDPR je upravo predvideo odredbe koje ne sprečavaju dalji razvoj Machine Learninga i AI, već samo definiše načine na koji su dozvoljene upotrebe podataka u ovom delu IT-a.

Članom 22 GDPR-a je regilisana odredba koja dozvoljava licu od koga se podaci prikupljaju da se usprotivi odnosno da uloži prigovor i da tako stavi odluku van dejstva koja je doneta pomoću Machine Learninga ili AI.

To je moguće učiniti jedino ukoliko je takva odluka zasnovana isključivo na automatskoj obradi, koja proizvodi pravne posledice koje se na njega odnose ili na drugi način značajno utiču na njega.

Međutim kako uvek postoje izuzeci od osnovnog pravila, tako i u ovom slučaju postoji izuzetak od primene pomenute odredbe ukoliko je odluka doneta isključivo na automtaskoj obradi podataka:

1) ako je neophodna za zaključenje ili izvršenje ugovora između lica na koje se podaci odnose i rukovaoca;

2) dozvoljena pravom Unije ili pravom države članice koje se primenjuje na rukovaoca i koje takođe propisuje zaštitne mere za prava, slobode i legitimne interese lica na koje se podaci odnose;

3) zasnovana na izričitom pristanku lica na koje se podaci odnose.

IT sektor posebno treba da obrati pažnju na čl. 13 Uredbe, jer je u njemu predviđeno obavezno obaveštavanje prilikom prikupljanja podataka od lica na koje se podaci odnose.

Ukoliko se prikupljaju podaci potrebno je lice od koga se prikupljaju obavestiti da će se automatizovano donositi odluke pored toga je potrebno obavestiti o sadržini logike koja se koristi prilikom automatizovanog donošenja odluka i značaju predviđenih posledica takve obrade za lice na koje se podaci odnose.

U praksi veliki broj finansijskih institucija (banaka i osiguravajućih kuća) upravo odluke iz njihovog domena koje se tiču klijenata donose na automatizovan način, odnosno pomoću Macihne Learninga i AI.

Primer za automatizovano donošenje odluka u osiguravajućim društvima je proces obrade šteta, gde se koriste klijentovi lični podaci (šteta zdravstvenog osiguranja), ali se nakon procesa odlučivanja može uključiti čovek (likvidator) koji će u ovom slučaju doneti konačnu odluku.

Automatizacijom procesa obrade šteta (kalkulacija štete) značajno se ubrzava proces, te se sprečava mogućnost nepoštovanja zakonskog roka od 14 dana za odgovor na odštetni zahtev.

Autor: adv. Marko Petković

Patenti u oblasti samostalnog upravljanja vozilima

EPO – Evropski patentni zavod je u novembru 2018. godine objavio studiju o sistemima za samostalno upravljanje vozilima (self driving vehicles – SDV).

Studija pokazuje da postoji povećani trend ulaganja u ovu oblast i veliki broj patentnih prijava u poslednje vreme. Naime, vozila sa ovakvim sistemima se očekuju na tržištu od 2025. godine.

Proizvođači automobila se na ovaj način povezuju sa naprednim tehnologijama poput veštačke inteligencije, wireless načinu komunikacije, softverskim rešenjima.

U poslednjih 10 godina je podneto 18.000 patentnih prijava u oblasti samostalnog upravljanja vozilima, od čega je samo u 2017. godini prijavljeno 4.000 patenata.

U odnosu na 2011. godinu, to predstavlja rast od 330%. Kompanije koje prijavljuju najviše pronalazaka u ovoj oblasti su Samsung, Intel i Qualcomm.

Najviše prijava je podnetu u Evropi i SAD, po 1.400 pronalazaka tokom 2017. godine.

Ove tehnologije će doprineti bezbednosti na putevima, energetskoj efikasnosti i mogu smanjiti gužve na saobraćajnicama.

U ovu oblast ulažu kompanije koje već proizvode vozila, proizvođači softvera, ali i potpuno novi učesnici na tržištu.

Primer za SDV su tzv. robot-taksi vozila, koja obezbeđuju prevoz manjim brzinama, bez vozača u gradskim sredinama.

Robot-taksi podrazumeva automatizaciju vožnje, oslanjajući se na senzore, kamere, cloud rešenja i infrastrukturne tehnologije.

Ivan Todorovic