GDPR I ZAŠTITA PODATAKA O LIČNOSTI

GDPR – Evropska regulativa o zaštiti podataka o ličnosti

General Data Protection Regulation (GDPR), regulativa Evropske unije o zaštiti podataka o ličnosti, stupila je na snagu 25. maja 2018. godine. Ova regulativa na jedinstven način reguliše zaštitu podataka o ličnosti.

Teritorijalna primena GDPR-a

Primena regulative prvenstveno se odnosi na kompanije osnovane ili sa predstavništvima u državama članicama EU, bez obzira gde se podaci obrađuju. Međutim, u određenim okolnostima, regulativa se primenjuje i na kompanije koje nisu osnovane na teritoriji EU.

Načela obrade ličnih podataka

Obrada podataka mora biti u skladu sa osnovnim načelima regulative i uz saglasnost lica čiji se podaci obrađuju. Saglasnost mora biti:

• Nedvosmislena,
• Data putem izjave ili jasne potvrde.

Saglasnosti date pre 25. maja 2018. godine ostaju validne, ukoliko su usklađene sa pravilima GDPR-a.

Izuzeci od primene

Regulativa se ne primenjuje na obradu podataka u privatne svrhe, bez povezanosti s profesionalnim ili komercijalnim aktivnostima.

Procena rizika

Obaveza kompanije da poštuje GDPR zavisi od rizika povrede prava i sloboda pojedinaca. Ključni faktori uključuju:

• Obim obrade ličnih podataka,
• Osetljivost obrađivanih podataka.

Kompanije koje obrađuju osetljive podatke, poput zdravstvenih informacija, ili veliku količinu podataka, dužne su da se pridržavaju regulative.

Kompanije pod uticajem regulative

Najviše su pogođene kompanije koje:

• Upravljaju društvenim mrežama,
• Prodaju robu i usluge online,
• Rade u bankarskom sektoru, energetici, telekomunikacijama itd.

Osetljivi podaci

GDPR zabranjuje obradu podataka koji su naročito osetljivi, poput:

• Rasnog ili etničkog porekla,
• Političkog mišljenja,
• Religijskih uverenja,
• Genetskih i biometrijskih podataka.

Postoje izuzeci od ovih zabrana, ali su oni strogo regulisani.

Sankcije

Kazne za nepoštovanje regulative iznose do 20 miliona evra ili 4% godišnjeg prihoda kompanije, u zavisnosti od toga koji je iznos veći.

Obaveze kompanija osnovanih u EU

Kompanije se prema GDPR-u dele na:

1. Rukovaoce podacima (controllers) – oni koji odlučuju o obradi podataka,
2. Obrađivače podataka (processors) – oni koji faktički obrađuju podatke.

Rukovalac i obrađivač obavezni su da:

• Poštuju načela obrade podataka,
• Imenuju službenika za zaštitu podataka, ukoliko je to obavezno,
• Usvoje tehničke i organizacione mere zaštite podataka („zaštita po dizajnu“ i „zaštita po zadatku“),
• Vode evidenciju o obrađenim podacima,
• Obaveste nadležne organe o povredi podataka u roku od 72 sata,
• Sprovedu procenu rizika za prava i slobode pojedinaca.

Obaveze kompanija van EU

Kompanije izvan EU potpadaju pod GDPR u dva slučaja:

1. Kada nude robu ili usluge licima iz EU,
2. Kada prate ponašanje lica u EU (profilisanje).

U tim slučajevima, kompanije moraju:

• Primenjivati ista pravila kao kompanije osnovane u EU,
• Imati predstavnika u EU.

Srbija i usklađivanje sa GDPR-om

Srbija je u procesu usklađivanja zakonodavstva sa GDPR-om. Vlada je usvojila predlog novog Zakona o zaštiti podataka o ličnosti, koji se nalazi u zakonodavnoj proceduri.

Kompanije u Srbiji, bilo da posluju lokalno ili međunarodno, treba da provere usklađenost svojih pravila sa GDPR-om, imajući u vidu visoke kazne za nepoštovanje regulative.

Napomena
Informacije u ovom tekstu služe isključivo za opštu informisanost i ne predstavljaju pravni savet. Advokatska kancelarija Petrović Mojsić & Partners ne preuzima odgovornost za posledice postupanja na osnovu ovih informacija.

Advokat Damir Petrović