GDPR u EU

GDPR odnosno Regulativa Evropske Unije o zaštiti podataka o ličnosti, stupila je na snagu 25. maja 2018. godine i na jedinstven način reguliše ovu materiju.

Teritorijalna primena

Teritorijalna primena GDPR-a odnosi se prvenstveno na firme koje su osnovane ili imaju predstavništva u državama članicama EU, bez obzira na to gde se vrši obrada podataka. Pod određenim okolnostima, primena se odnosi i na firme koje nisu osnovane na teritoriji država članica EU.

Predmet

Obrada ličnih podataka bi trebalo da se vrši uz poštovanje načela koja regulišu obradu podataka i uz saglasnost fizičkog lica čiji se podaci obrađuju. Saglasnost treba da bude nedvosmislena, data putem izjave ili jasne potvrde. Saglasnost koja je data pre 25. maja 2018. godine i u skladu je sa navedenim uslovima nove Regulative je validna i dalje, te kompanija nije u obavezi da ponovo traži saglasnost.

GDPR se ne odnosi na obradu ličnih podataka od strane fizičkih lica, a obrada se obavlja isključivo u privatne svrhe, bez povezanosti sa profesionalnim ili komercijalnim aktivnostima.

U zavisnosti od rizika povrede ljudskih prava i sloboda koja se može desiti tokom obrade podataka određuje se da li će firma biti u obavezi da poštuje pravila GDPR-a. Prvo što treba uzeti u obzir jeste obim ličnih podataka koji se obrađuju, a potom i njihovu osetljivost. Recimo - ako firma obrađuje malu količinu osetljivih podataka u vezi sa zdravljem ljudi ili veliku količinu opštih ličnih podatka, bez obzira na osetljivost podataka, biće u obavezi da primenjuje GDPR.

Koje su firme najviše pod “udarom” GDPR-a

Firme koje su najviše pod uticajem GDPR-a su one koje prikupljaju lične podatke, kao što su kompanije koje upravljaju društvenim mrežama, online prodavci, banke, snabdevači energijom (gasom, električnom energijom), telekomunikacione kompanije, itd.

GDPR izričito zabranjuje obradu podataka koji su po svojoj prirodi naročito osetljivi u vezi sa osnovnim pravima i slobodama fizičkih lica, kao što su podaci koji otkrivaju rasno ili etničko poreklo, političko mišljenje, versko ili filozofsko uverenje ili članstvo u sindikatu, kao i obrada genetskih podataka, biometrijskih podataka u svrhu jedinstvene identifikacije pojedinca, podaci u vezi sa zdravljem ili o seksualnom životu ili seksualnoj orjentaciji pojedinca. S’ tim u vezi, regulativa može uticati i na firme koje pružaju usluge zdravstvenim institucijama, kao što su osiguravajuća društva ili farmaceutske kompanije. Izuzeci od pomenute opšte zabrane dozvoljeni su u određenim situacijama.

Kazna

Maksimalna kazna koja se može izreći za nepoštovanje GDPR je 20 miliona EUR ili do 4% od ukupnog godišnjeg prihoda u prethodnoj finansijskoj godini, ukoliko je to viši iznos.

Obaveze firmi osnovanih na teritoriji EU

Među firmama koje imaju obaveze prema GDPR-u, pravi se razlika između rukovaoca (controllers) u čije ime i za čiji račun se podaci obrađuju i samih obrađivača (processors) koji faktički vrše obradu podataka. Na primer, obrađivač usluga može biti pružalac usluga skladištenja podataka na tzv. Cloud platformama ili firma koja se bavi uslugama isplata zarada ili statističkim analizama. Pravni odnos između obrađivača i rukovaoca reguliše se ugovorom čija je sadržina detaljno regulisana Regulativom, a rukovalac je obavezi da obezbedi da obrađivač poštuje načela obrade podataka, u skladu sa instrukcijama rukovaoca.

Rukovalac i obrađivač ličnih podataka su u obavezi da:

  • Poštuju načela obrade podataka o ličnosti;
  • Imenuju službenika za zaštitu podataka o ličnosti, koji bi obavljao zadatke savetovanja i kontrole primene Regulative, kao i ostvarivanje kontakta sa nadzornim organima. U određenim situacijama, kompanije su oslobođene obaveze imenovanja službenika za zaštitu podataka.
  • Usvoje interna pravila i implementiraju tehničke i organizacione mere radi poštovanja pravila Regulative - i to u najranijem periodu dizajniranja mehanizma obrade podataka (Data protection by design), kao i u kasnijem periodu obrade podataka, kako bi se obezbedila obrada podataka uz najveću meru zaštite (obrada samo neophodnih podataka, uz skladištenje u kratkom periodu i uz ograničen pristup) kako se podaci ne bi učinili dostupnim neograničenom broju ljudi (Data protection by default). GDPR navodi o kojim merama je reč.
  • Vode evidenciju o obrađivanim podacima u pisanom i elektronskom obliku. Sadržaj evidencije je detaljno regulisan. U određenim situacijama, firme su oslobođene obaveze vođenja evidencije;
  • U slučaju transfera ličnih podataka u zemlje van teritorije EU ili u međunarodnim organizacijama, ispune uslove koji su propisani GDPR-om, ako Evropska Komisija nije donela odluku da je u predmetnoj zemlji ili međunarodnoj organizaciji stepen zaštite podataka o ličnosti na zadovoljavajućem nivou;
  • Obaveste nadležne organe ukoliko dođe do povrede podataka o ličnosti, odmah a najkasnije 72 h po povredi. U određenim situacijama, postojaće obaveza da se obaveste i fizička lica čiji su lični podaci povređeni;
  • Sprovedu procenu mogućnosti povrede prava i sloboda fizičkih lica prilikom obrade podataka u određenim situacijama.

Firme koje su osnovane izvan teritorije EU

Firme koje su osnovane izvan teritorija država članica EU, potpadaju pod domen GDPR u dva slučaja.

  1. Prvi slučaj je ukoliko firma obrađuju podatke fizičkih lica na teritoriji EU kojima nude/reklamiraju robu ili usluge. Regulativa detaljnije objašnjava da se mogućnost pristupa pojedinaca web sajtu, e-mail-u ili kontakt podacima firma koja je osnovana van EU koja nudi robu ili usluge na domaćem jeziku i u domaćoj valuti ne može klasifikovati kao obrada podataka u smislu Regulative, već bi bilo neophodno da se ponuda robe i usluga omogući na jeziku i u valuti države članice EU. Domaće firme koje za prodatu robu ili pružene usluge prihvataju uplate u evrima vrlo verovatno potpadaju pod domen GDPR.
  2. Drugi slučaj je praćenje ponašanja fizičkih lica na teritoriji EU (tzv. profilisanje). Konkretno, treba utvrditi da li je ponašanje praćeno na internetu i da li će se sakupljeni podaci naknadno koristiti a u cilju predviđanja budućih ponašanja.

Firme izvan EU treba da ispune obaveze koje su opisane u prvom delu teksta, tj. obaveze koje se odnose a firme osnovana ne teritoriji EU, ako potpadaju pod jedan od dva slučaja,

Još, firme  van EU su u obavezi da imenuju predstavnika u EU, što podrazumeva angažovanje npr. advokata iz neke od zemalja EU ili osnivanje predstavništva koji bi postupalo u ime i za račun obrađivača podataka. U određenim situacijama, kompanije van EU neće biti u obavezi da imenuju predstavnika.

Republika Srbija i GDPR

Srbija takođe ima obavezu da uskladi svoje zakonodavstvo sa GDPR-om. Vlada Republike Srbije usvojila novi predlog Zakona o zaštiti podataka o ličnosti, koji prolazi dalju zakonodavnu proceduru pred Skupštinom Republike Srbije.

Imajući u vidu propisanu (visoku) kaznu, preporučljivo je da kako firme koje posluju isključivo na domaćem tržištu, tako i one firme koje imaju razvijeno međunarodno poslovanje, provere da li imaju usvojena pravila o zaštiti podataka o ličnosti i da li su ta pravila usklađena sa GDPR-om.