GDPR odnosno Regulativa Evropske Unije o zaštiti podataka o ličnosti, stupila je na snagu 25. maja 2018. godine i na jedinstven način reguliše ovu materiju.
Teritorijalna primena Regulative odnosi se prvenstveno na kompanije koje su osnovane ili imaju predstavništva u državama članicama EU, bez obzira gde se vrši obrada. Međutim, pod određenim okolnostima primena se odnosi i na kompanije koje nisu osnovane na teritoriji država članica.
Obrada ličnih podataka bi trebalo da se vrši uz poštovanje načela koja regulišu obradu podataka i uz saglasnost fizičkog lica čiji se podaci obrađuju. Saglasnost treba da bude nedvosmislena, data putem izjave ili jasne potvrde. Saglasnost koja je data pre 25. maja 2018. godine i u skladu je sa navedenim uslovima nove Regulative je validna i dalje, te kompanija nije u obavezi da ponovo traži saglasnost.
Regulativa se ne odnosi na obradu ličnih podataka od strane fizičkih lica a obrada se obavlja isključivo u privatne svrhe, bez povezanosti sa profesionalnim ili komercijalnim aktivnostima.
Da li će kompanija biti u obavezi da poštuje pravila Regulative zavisi od rizika povrede ljudskih prava i sloboda koja se može desiti tokom obrade podataka. Prvenstveno treba uzeti u obzir obim ličnih podataka koji se obrađuju i osetljivost istih. Na primer, ukoliko kompanija obrađuje malu količinu osetljivih podataka u vezi sa zdravljem ljudi ili veliku količinu opštih ličnih podatka, bez obzira na osetljivost podataka, biće u obavezi da primenjuje Regulativu.
Kompanije koje su najviše pod uticajem Regulative su one koje prikupljaju lične podatke, kao što su kompanije koje upravljaju društvenim mrežama, online prodavci, banke, snabdevači energijom (električnom energijom, gasom), telekomunikacione kompanije, itd.
Dodatno, Regulativa izričito zabranjuje obradu podataka koji su po svojoj prirodi naročito osetljivi u vezi sa osnovnim pravima i slobodama fizičkih lica, kao što su podaci koji otkrivaju rasno ili etničko poreklo, političko mišljenje, versko ili filozofsko uverenje ili članstvo u sindikatu, kao i obrada genetskih podataka, biometrijskih podataka u svrhu jedinstvene identifikacije pojedinca, podaci u vezi sa zdravljem ili o seksualnom životu ili seksualnoj orjentaciji pojedinca. S tim u vezi, regulativa može uticati i na kompanije koje pružaju usluge zdravstvenim institucijama, kao što su osiguravajuće ili farmaceutske kompanije. Izuzeci od pomenute opšte zabrane dozvoljeni su u određenim situacijama.
Maksimalan kazna koja se može izreći za nepoštovanje Regulative je 20 miliona EUR ili do 4% od ukupnog godišnjeg prihoda u prethodnoj finansijskoj godini, ukoliko je to viši iznos.
Obaveza kompanija osnovanih na teritoriji EUMeđu kompanijama koje imaju obaveze prema Regulativi pravi se distinkcija između rukovaoca (controller) u čije ime i za čiji račun se obrađuju podaci i obrađivača (processor) koji faktički vrši obradu podataka. Na primer, obrađivač usluga može biti pružalac usluga skladištenja podataka na tzv. Cloud platformama ili kompanija koja se bavi uslugama isplata zarada ili statističkim analizama. Pravni odnos između obrađivača i rukovaoca reguliše se ugovorom čija je sadržina detaljno regulisana Regulativom a rukovalac je obavezi da obezbedi da obrađivač poštuje načela obrade podataka, u skladu sa instrukcijama rukovaoca.
Rukovalac i obrađivač ličnih podataka su u obavezi da:- Poštuju načela obrade podataka o ličnosti;
- Imenuju službenika za zaštitu podataka o ličnosti, koji bi obavljao zadatke savetovanja i kontrole primene Regulative, kao i ostvarivanje kontakta sa nadzornim organima. U određenim situacijama, kompanije su oslobođene obaveze imenovanja službenika za zaštitu podataka.
- Usvoje interna pravila i implementiraju tehinčke i organizacione mere radi poštovanja pravila Regulative i to u najranijem periodu dizajniranja mehanizma obrade podataka ( Data protection by design), kao i u kasnijem periodu obrade podataka, kako bi se obezbedila obrada podataka uz najveću meru zaštite (obrada samo neophodnih podataka, uz skladištenje u kratkom periodu i uz ograničen pristup) kako se podaci ne bi učinili dostupnim neograničenom broju ljudi (Data protection by default). Regulativa navodi o kojim merama je reč.
- Vode evidenciju o obrađivanim podacima u pisanom i elektronskom obliku. Sadržaj evidencije je detaljno regulisan. U određenim situacijama, kompanije su oslobođene obaveze vođenja evidencije;
- U slučaju transfera ličnih podataka u zemlje van teritorije EU ili u međunarodnim organizacijama, ispune uslove koji su propisani Regulativom, ukoliko Evropska Komisija nije donela odluku da je u predmetnoj zemlji ili međunarodnoj organizaciji stepen zaštite podataka o ličnosti na zadovoljavajućem nivou;
- Obaveste nadležne organe ukoliko dođe do povrede podataka o ličnosti, odmah a najkasnije 72 sata nakon povrede. U određenim situacijama, postojaće obaveza da se obaveste i fizička lica čiji su lični podaci povređeni;
- Sprovedu procenu mogućnosti povrede prava i sloboda fizičkih lica prilikom obrade podataka u određenim situacijama.
Kompanije koje nisu osnovane na teritoriji država članica EU potpadaju pod domen Regulative u dva slučaja.
Prvi slučaj je ukoliko kompanija obrađuju podatke fizičkih lica na teritoriji EU kojima nude/reklamiraju robu ili usluge. Regulativa detaljnije objašnjava da se mogućnost pristupa pojedinaca web sajtu, e-mail-u ili kontakt podacima kompanije koja je osnovana van EU koja nudi robu ili usluge na domaćem jeziku i u domaćoj valuti ne može klasifikovati kao obrada podataka u smislu Regulative, već bi bilo neophodno da se ponuda robe i usluga omogući na jeziku i u valuti države članice EU. Domaće kompanije koje za prodatu robu ili pružene usluge prihvataju uplate u evrima vrlo verovatno potpadaju pod domen Regulative.
Drugi slučaj je praćenje ponašanje fizičkih lica na teritoriji EU (tzv. profilisanje). Konkretno, treba utvrditi da li je ponašanje praćeno na internetu i da li će se sakupljeni podaci naknadno koristiti a u cilju predviđanja budućih ponašanja.
Ukoliko potpadaju pod jedan od dva slučaja, kompanije van EU treba da ispune obaveze koje se odnose na kompanije osnovana ne teritoriji EU (obaveze koje su opisane u prvom delu teksta).
Dodatno, kompanije van EU su u obavezi da imenuju predstvanika u EU, što podrazumeva angažovanje advokata iz neke od zemalja Evropske Unije ili osnivanje predstavništva koji bi postupalo u ime i za račun obrađivača podataka. U određenim situacijama, kompanije van EU neće biti u obavezi da imenuju predstavnika.
Srbija takođe ima obavezu da uskladi svoje zakonodavstvo sa Regulativom. Trenutno je Vlada Republike Srbije usvojila novi predlog Zakona o zaštiti podataka o ličnosti, koji će ući u dalju zakonodavnu proceduru pred Skupštinom Republike Srbije.
Preporučljivo je da kako kompanije koje posluju samo na domaćem tržištu, tako i one koje imaju razvijeno međunarodno poslovanje, provere da li imaju usvojena pravila o zaštiti podataka o ličnosti i dali su ista usklađena sa novom Regulativom, imajući u vidu propisane visoke kazne.
Advokat Damir PetrovićInformacije sadržane u ovom tekstu su pružene samo za svrhu opšte informisanosti, nisu pružene i ne mogu se smatrati za pravno mišljenje ili pravni savet. Shodno navedenom, Advokatska kancelarija Petrović Mojsić & Partners odriče svaku odgovornost i ne prihvata bilo kakvu obavezu za posledice koje može pretrpeti bilo koje lice zbog činjenja ili nečinjenja na osnovu informacija sadržanih u ovom tekstu.