Home BIZNIS I ZABAVAGDPR i Zakon o zaštiti podataka o ličnosti u Srbiji: Šta IT firme i developeri MORAJU da znaju u 2025.
BIZNIS I ZABAVABiznis i zabava vestiIT Elite Academy

GDPR i Zakon o zaštiti podataka o ličnosti u Srbiji: Šta IT firme i developeri MORAJU da znaju u 2025.

od itn
Zakon o zaštiti podataka o ličnosti

Zaštita podataka o ličnosti više nije samo preporuka ili dobra praksa – ona je zakonska obaveza i temelj poverenja u digitalnom svetu. U Srbiji je Zakon o zaštiti podataka o ličnosti (ZZPL), koji je u velikoj meri usklađen sa Opštom uredbom EU o zaštiti podataka (GDPR), na snazi već nekoliko godina. Kako ulazimo dublje u 2025. godinu, očekivanja u pogledu njegove primene su sve veća, a tolerancija za neusklađenost sve manja. IT firme i developeri, kao ključni akteri u kreiranju i upravljanju digitalnim rešenjima, moraju imati dubinsko razumevanje svojih obaveza.

Ovaj tekst pruža ažurirani pregled ključnih aspekata ZZPL i GDPR-a relevantnih za IT sektor u Srbiji u 2025. godini, sa fokusom na česte greške i načine kako ih izbeći.

Ključne reči: GDPR Srbija, Zakon o zaštiti podataka o ličnosti, privatnost podataka, DPO Srbija, obaveze firmi IT.

Zakon o zaštiti podataka o ličnostiOsnovni principi zaštite podataka – temelj za 2025.

Srce ZZPL-a, kao i GDPR-a, čine osnovni principi obrade podataka o ličnosti. Njihovo poštovanje je imperativ za svaku IT firmu i developera:

  1. Zakonitost, poštenje i transparentnost: Podaci se moraju obrađivati na osnovu validnog pravnog osnova (npr. pristanak, ugovor), na pošten način, uz potpuno informisanje lica na koja se podaci odnose.
  2. Ograničenje u odnosu na svrhu obrade: Podaci se smeju prikupljati samo za konkretne, jasno određene i opravdane svrhe i ne smeju se dalje obrađivati na način koji nije u skladu sa tim svrhama.
  3. Minimizacija podataka: Obrađivati samo one podatke koji su neophodni za ostvarivanje definisane svrhe.
  4. Tačnost: Podaci moraju biti tačni i, ako je potrebno, ažurirani. Treba preduzeti mere da se netačni podaci bez odlaganja isprave ili obrišu.
  5. Ograničenje čuvanja: Podaci se čuvaju samo onoliko dugo koliko je neophodno za ostvarivanje svrhe obrade.
  6. Integritet i poverljivost: Primeniti odgovarajuće tehničke i organizacione mere kako bi se obezbedila sigurnost podataka, uključujući zaštitu od neovlašćene ili nezakonite obrade, kao i od slučajnog gubitka, uništenja ili oštećenja.
  7. Odgovornost (Accountability): Rukovalac (IT firma) je odgovoran za poštovanje navedenih principa i mora biti u stanju da to i dokaže.

Šta IT firme MORAJU da znaju i primenjuju u 2025.

Kako ZZPL sazreva u primeni, tako i nadzor Poverenika za informacije od javnog značaja i zaštitu podataka o ličnosti postaje sveobuhvatniji. Evo ključnih obaveza:

  • Validan pravni osnov za svaku obradu: Ne oslanjajte se olako na pristanak. Detaljno analizirajte da li je pristanak zaista slobodno dat, specifičan, informisan i nedvosmislen. Razmotrite druge pravne osnove poput izvršenja ugovora ili legitimnog interesa (uz pažljivu procenu).
  • Detaljne i razumljive politike privatnosti: Korisnici moraju biti jasno informisani o tome koji se podaci prikupljaju, zašto, kako se koriste, koliko dugo se čuvaju, ko ima pristup i koja su njihova prava. U 2025. godini, generičke politike privatnosti su nedovoljne.
  • Poštovanje prava pojedinaca: Osigurajte procedure za efikasno postupanje po zahtevima za pristup, ispravku, brisanje („pravo na zaborav“), ograničenje obrade, prenosivost podataka i prigovor na obradu. Posebnu pažnju obratite na prava u vezi sa automatizovanim donošenjem odluka i profilisanjem.
  • Procena uticaja na zaštitu podataka (DPIA): Obavezna za obrade koje mogu da proizvedu visok rizik po prava i slobode pojedinaca (npr. korišćenje novih tehnologija, obimna obrada posebnih vrsta podataka, sistemski nadzor). Neizvršavanje DPIA gde je potrebna je ozbiljan propust.
  • Tehničke i organizacione mere zaštite (TOMs): Implementirajte i redovno ažurirajte mere bezbednosti – enkripcija, pseudonimizacija, kontrola pristupa, bezbednosne kopije, planovi za reagovanje na incidente. Ovo je direktna odgovornost i developera prilikom dizajniranja sistema.
  • Evidencije radnji obrade: Vodite detaljne interne evidencije o svim aktivnostima obrade podataka. Ove evidencije su prva stvar koju Poverenik može tražiti.
  • Obaveštavanje o povredama podataka: U slučaju povrede podataka o ličnosti koja može da proizvede rizik, obavestite Poverenika bez nepotrebnog odlaganja, najkasnije u roku od 72 časa. Ako postoji visok rizik po pojedince, obavestite i njih.
  • Lice za zaštitu podataka o ličnosti (DPO): Proverite da li vaša firma ima zakonsku obavezu imenovanja DPO-a (npr. javni organi, firme čija je osnovna delatnost obrada koja zahteva redovan i sistemski nadzor nad velikim brojem lica, ili obrada posebnih vrsta podataka u velikom obimu). DPO mora imati adekvatna znanja i resurse.
  • Prenos podataka u druge države: Prenos podataka van Srbije (i EU/EEP prostora) moguć je samo ako je obezbeđen primereni nivo zaštite u toj državi, ili uz primenu odgovarajućih zaštitnih mera (npr. standardne ugovorne klauzule koje odobrava Poverenik) ili u zakonom propisanim izuzecima.

Zakon o zaštiti podataka o ličnostiSpecifično za developere u 2025: Privatnost kao sastavni deo koda

Developeri su na prvoj liniji zaštite podataka. U 2025. godini, koncepti „Privacy by Design“ i „Privacy by Default“ moraju biti duboko ukorenjeni u svaki razvojni proces:

  • Privacy by Design: Integrisati zaštitu podataka u svaku fazu razvoja softvera, od planiranja do lansiranja i održavanja. Razmišljajte o implikacijama na privatnost pre nego što napišete prvu liniju koda.
  • Privacy by Default: Podrazumevane postavke sistema treba da budu najviše moguće prijateljske prema privatnosti (npr. prikupljati minimum podataka, ograničiti vidljivost profila).
  • Bezbedno kodiranje (Secure Coding): Primenjujte standarde bezbednog kodiranja kako biste minimizovali ranjivosti koje mogu dovesti do povrede podataka (npr. SQL injection, XSS). Redovno testirajte aplikacije na bezbednosne propuste.
  • Minimizacija podataka u praksi: Prilikom definisanja polja u bazi, API endpoint-a ili korisničkih interfejsa, uvek se pitajte: „Da li nam je ovaj podatak zaista neophodan za ovu funkcionalnost?“
  • Tehnike anonimizacije i pseudonimizacije: Koristite ih gde god je moguće, posebno u razvojnim, testnim i analitičkim okruženjima.
  • Transparentno upravljanje pristankom: Ako se oslanjate na pristanak, mehanizmi za davanje i povlačenje pristanka moraju biti jednostavni, jasni i lako dostupni korisniku.
  • Logovanje i praćenje sa svrhom: Implementirajte logovanje pristupa podacima, ali pazite da sami logovi ne sadrže prekomerne lične podatke i da se čuvaju u skladu sa principima.

Česte greške IT firmi i developera i kako ih izbeći u 2025.

  1. Neadekvatan pravni osnov:
    • Greška: Prikupljanje podataka bez jasnog pravnog osnova ili sa nevalidnim pristankom (npr. predefinisani checkbox-ovi, nejasan jezik).
    • Rešenje: Mapirajte sve obrade podataka i za svaku definišite i dokumentujte validan pravni osnov. Edukujte timove o zahtevima za pristanak.
  2. Loše politike privatnosti:
    • Greška: Kopiranje tuđih politika, nejasne, nepotpune ili zastarele politike.
    • Rešenje: Kreirajte prilagođenu, sveobuhvatnu i lako razumljivu politiku privatnosti. Redovno je ažurirajte.
  3. Zanemarivanje prava pojedinaca:
    • Greška: Otežavanje korisnicima da ostvare svoja prava (npr. komplikovana procedura za brisanje naloga).
    • Rešenje: Uspostavite jasne interne procedure za brzo i efikasno odgovaranje na zahteve korisnika.
  4. Slabe tehničke mere zaštite:
    • Greška: Korišćenje zastarelih enkripcijskih protokola, slabe lozinke, nedostatak redovnih bezbednosnih provera, nebezbedno skladištenje API ključeva.
    • Rešenje: Implementirajte snažne tehničke mere u skladu sa procenjenim rizikom. Redovno sprovodite penetraciona testiranja i bezbednosne audite.
  5. Nepostojanje ili neuredne evidencije radnji obrade:
    • Greška: Smatranje evidencija formalnošću, umesto korisnim alatom za upravljanje podacima.
    • Rešenje: Redovno vodite i ažurirajte evidencije. One su ključne za dokazivanje usklađenosti.
  6. Neprijavljivanje povreda podataka:
    • Greška: Zataškavanje incidenata ili neblagovremeno obaveštavanje Poverenika i pogođenih lica.
    • Rešenje: Imajte jasan interni plan za reagovanje na incidente i striktno poštujte rokove za prijavu.
  7. Prekomerno prikupljanje i čuvanje podataka („Digital Hoarding“):
    • Greška: Prikupljanje svih mogućih podataka „za svaki slučaj“ i njihovo čuvanje unedogled.
    • Rešenje: Držite se principa minimizacije podataka i definišite jasne rokove čuvanja za različite kategorije podataka.

Zakon o zaštiti podataka o ličnostiBudite proaktivni u 2025.

Očekuje se da će Poverenik u 2025. godini nastaviti sa aktivnim nadzorom, a moguće su i strože sankcije za kršenje ZZPL-a. Fokus će verovatno biti i na primeni zakona u kontekstu novih tehnologija poput veštačke inteligencije i Interneta stvari (IoT), gde su rizici po privatnost često veći.

Za IT firme i developere u Srbiji, kontinuirana edukacija, praćenje smernica Poverenika i sudske prakse (uključujući relevantne odluke Suda pravde EU koje mogu uticati na tumačenje principa GDPR-a, a time i ZZPL-a) su od suštinskog značaja. Ulaganje u usklađenost sa zaštitom podataka nije trošak, već investicija u poverenje korisnika, reputaciju brenda i dugoročnu održivost poslovanja.

Banner

Banner

Možda će vam se svideti i

Više od linkova: napredne strategije za monetizaciju affiliate...

Moć inkluzivnog liderstva: Zašto puka raznolikost tima nije...

Kraj ere botova – naučnici otkrili revolucionaran način...

Kako tehnologija blokčejna menja pravila igre za mala...

Kraj beskonačnom skrolovanju: Kako postaviti granice na poslu

Kako pronaći jeftina i kreativna rešenja koja će...

Kako tehnologija blokčejna može transformisati bezbednost i poverenje...

Kako blokčejn revolucija donosi potpunu transparentnost u moderno...

Kako uz pomoć Lean metodologije smanjiti operativne troškove...

Zašto programeri potajno mrze QA testere