Pravo

GDPR i zaštita podataka o ličnosti

podaci

Usvajanje Opšte uredbe o zaštiti podataka o ličnosti (GDPR) izazvalo je pažnju bez presedana, kako u Evropskoj uniji, tako i u našoj zemlji među kompanijama koje posluju na internetu i na taj način dolaze u posed ogromne količine ličnih podataka svojih korisnika.

Međutim, nakon njenog stupanja na snagu i ukazivanja na to da će u svakoj državi domaći propisi regulisati bliže i preciznije njene odredbe, u Srbiji su mnoge firme protumačile kao situaciju „tresla se gora, rodio se miš“.

Zapravo, imajući u vidu da je Zakon o zaštiti podataka o ličnosti prilično neprecizan i nema preambulu ni podzakonske propise koji bi bliže objasnili i definisali konkretne situacije koje se smatraju obradom podataka, ni do danas zaštita ličnih podataka kod nas nije šire sprovedena.

Ideja ovog teksta je prepoznavanje šta se smatra obradom podataka i koji se propisi na to odnose. Implementacija zahteva GDPR-a i Zakona o zaštiti podataka o ličnosti je kompleksan posao koji zahteva veće i dublje angažovanje stručnih lica.

Najveća zabluda: „Mi ne obrađujemo lične podatke“

Na samom početku otklonićemo jednu od najvećih zabluda u vezi sa prikupljanjem, rukovanjem i obradom podataka o ličnosti. Naime, moguće je da namera vaše firme nije da na bilo koji način baratate ličnim podacima ili pratite ponašanje određenih lica.

Međutim, samim neminovnim dolaskom u posed ličnih podataka o svojim zaposlenima ili o kandidatima za zaposlenje već „upadate“ u kategoriju obrađivača. Čak i da samo čuvate podatke na serveru, bez uvida u tu bazu. Obradom se smatra svaka automatizovana ili neautomatizovana radnja koja se preduzima u vezi sa podacima o ličnosti. Tu spadaju prikupljanje, beleženje, čuvanje, razvrstavanje, uvid, brisanje, kopiranje, pohranjivanje, kao i sve druge radnje koje se tiču podataka o ličnosti.

Dakle, na svakoga ko ma iz kog razloga ima u posedu lične podatke odnosi se GDPR i/ili Zakon o zaštiti podataka o ličnosti.

Šta su sve podaci o ličnosti?

Pored imena i prezimena, JMBG, adrese i svega što direktno identifikuje osobu, podacima o ličnosti smatra se i mnoštvo podataka preko kojih se indirektno može doći do nekog lica (IP adresa, lokacija preko GPS-a, šifre, nalozi elektronske pošte i nalozi na društvenim mrežama, itd.). Svi ovi podaci spadaju u podatke o ličnosti i uživaju posebnu zaštitu.

Preplitanje GDPR-a i Zakona o zaštiti podataka o ličnosti

Osnovna ideja GDPR-a je da zaštiti fizička lica koja imaju prebivalište, odnosno boravište na teritoriji zemalja Evropske unije od zloupotrebe ličnih podataka, dok je ideja našeg Zakona zaštita lica sa prebivalištem ili boravištem na teritoriji Srbije.

Međutim, stalno kretanje ljudi van granica država ne samo fizički, nego pre svega putem interneta, pretraživanjem sajtova i kupovinom roba i usluga iz inostranstva, neophodno povlači neprestano preplitanje primene GDPR-a i domaćeg zakona (ZZPL).

I za jedan i drugi propis je irelevantno gde se sama obrada podataka odvija. Važno je gde se lica čiji se podaci obrađuju fizički nalaze.

Da bismo što bliže pojasnili ove relacije, uvešćemo primere kompanija i osoba:

  • Ana – državljanka Srbije koja je zaposlena kao medicinska sestra i stanuje u Nemačkoj;
  • Desislava – državljanka Bugarske (EU) sa boravištem, radnom dozvolom i zaposlenjem u Srbiji;
  • TeleMeet – telekomunikaciona kompanija koja posluje i registrovana je u Srbiji, dakle, smatra se domaćom firmom (iako ima matičnu kompaniju u nekoj državi EU, npr. Sloveniji);
  • Toy – kineska kompaniju koja isporučuje robu državljanima Evropske unije, ali i Srbije;
  • Bentley Motors – kompanija koja prikuplja kolačiće od svih posetilaca sajta, sa koje god teritorije da dolaze na sajt.

Kada se Ana prijavi na newsletter biznis edukatorke iz Srbije, ona ostavlja svoje podatke, koje ta edukatorka zatim čuva i na neki, čak i minimalan način, obrađuje. U nameri da zaštiti Anu kao lice koje ima prebivalište u Nemačkoj (EU), GDPR nalaže edukatorki iz Srbije brižljivo postupanje sa podacima.

Kada kompanija TeleMeet DOO Beograd jednog svog zaposlenog, državljanina Srbije, preporuči za posao u svojoj matičnoj kompaniji u Sloveniji, te se on tamo odseli, na nju se, u kontekstu obrade i čuvanja podataka o bivšem zaposlenom, odnosi GDPR. Iako je ona registrovana ovde, a taj čovek je i dalje državljanin Srbije. Samim preseljenjem u državu EU na njega se pruža GDPR.

Ako je Desislava, državljanka Bugarske, zaposlena u TeleMeet DOO Beograd i stanuje u Srbiji, iako je državljanka EU, na nju se odnosi domaći ZZPL, a ne GDPR.

Kineska kompanija Toy, iako nema sedište u Srbiji, ali isporučuje robu ili nudi usluge na teritoriji Srbije, obrađuje lične podatke (imena, adrese, brojeve telefona, brojeve kartica) dužna je da postupa u skladu sa Zakonom o zaštiti podataka o ličnosti. Ova obaveza postoji čak i za lica koja ne kupe ništa. Dovoljno je i što se njihovim samim „razgledanjem“ sajta pokupe podaci.

Na Bentley Motors, ili neku drugu kompaniju koja nema svoju prodaju u Srbiji ili ne nudi usluge ciljano licima sa teritorije Srbije, ali svakako prikuplja kolačiće o svakom posetiocu sajta, ma odakle on dolazio, takođe se odnosi naš Zakon o zaštiti podataka o ličnost ukoliko dođe do zloupotrebe podataka nekog od lica odavde. Ako sajt Bentleyja gledaju lica iz Evropske unije, treking mora biti u skladu sa GDPR-om.

Šta nije obrada podataka o ličnosti?

Kada obradu podataka vrši fizičko lice za svoje lične potrebe, to nije obuhvaćeno ovim propisima. Na primer, imena i brojevi prijatelja i poznanika u telefonu, pa čak i kada su to kontakti majstora, bebisiterki i slično – dakle, lica koje angažujete za potrebe svog domaćinstva ne smatraju se podacima koji se štite u skladu sa ovim propisima.

Takođe, zakon se ne primenjuje ni na podatke koji su anonimni, odnosno na podatke koji nisu dovoljni da se može identifikovati lice.

Treća situacija je kada ne postoji zbirka podataka, odnosno podaci nisu sistematizovani i strukturirani tako da se mogu analizirati, ali je ovaj izuzetak nedovoljno jasan u praksi.

U svim ostalim situacijama poštovanje Zakona o zaštiti podataka o ličnosti je obavezno.

Kako se uskladiti sa GDPR-om, odnosno Zakonom o zaštiti podataka o ličnosti, ukoliko već niste?

Svi preduzetnici i kompanije koji na neki način obrađuju podatke o ličnosti treba da izrade ili revidiraju svoje interne akte i uvedu odgovarajuće procedure kako bi se uskladili sa ovim Zakonom.

Šta su obaveze po Zakonu o zaštiti podataka o ličnosti?

  1. Obaveza obrade podataka o ličnosti na pošten i transparentan način. Ovim se podrazumeva da svaka kompanija koja ima sajt preko koga prikuplja podatke o ličnosti mora da objavi Politiku privatnosti. Politika privatnosti ima čitav niz obaveznih elemenata koji podrazumevaju transparentnost;
  1. Podaci se prikupljaju u svrhu koja je konkretno određena, izričita, opravdana i zakonita. Na primer, ako je neophodno ostavljanje mejla na sajtu da bi se izvršila porudžbina, kupac nije time dao saglasnost da mu se šalju promotivne poruke i ponude. Za tu drugu svrhu neophodno je “štikliranje” dodatne saglasnosti;
  1. Prikupljanje samo primerenih, bitnih neophodnih podataka. Da bi kupac izvršio kupovinu na vašem sajtu, nije neophodno unošenje njegovog datuma rođenja, na primer;
  1. Podaci o ličnosti moraju biti tačni i ažurirani. Recimo, ukoliko je neko uneo svoju adresu za pretplatu na neku robu, onog momenta kada se preseli, njegova prethodna adresa nije više relevantna za obrađivača podataka;
  1. Podaci se čuvaju samo onoliko koliko je neophodno. Ukoliko se koristi video-nadzor radi obezbeđenja sigurnosti imovine i lica, neophodno je donošenje pravnih akata kojima će se predvideti koliko dugo i na koji način se čuvaju podaci prikupljeni tim video-nadzorom, kako se uništavaju snimci i slično;
  1. Podaci se moraju obrađivati na odgovarajući način koji obezbeđuje zaštitu. Na primer, mora biti jasno određeno ko ima pristup podacima o zaposlenima, gde se čuvaju, na koji način i uz potpisivanje izjava o poverljivosti.

Kazne

Jedna od najvećih razlika između GDPR-a i domaćeg zakona je u visini kazni. Dok su kazne za neovlašćeno baratanje ili zloupotrebu podataka o ličnosti po GDPR-u do 20.000.000 evra ili do 4% godišnjeg prometa, maksimalna kazna po Zakonu o zaštiti podataka o ličnosti je 2.000.000 dinara.

Zaključak

Imajući u vidu veliku brzinu kojom se menjaju i postaju kompleksnije informacione tehnologije, propisima je teško da sve buduće situacije sagledaju i unapred opišu kao kažnjive ili dozvoljene. Mnoge situacije kršenja propisa tumače se i veštače u odnosu na tzv. dužnu pažnju koju su obrađivači morali da preduzmu.

Ukoliko ste kompanija koja umnogome rukuje podacima fizičkih lica, verujemo da ste se već uskladili sa GDPR-om i Zakonom o zaštiti podataka o ličnosti. Ukoliko, pak, niste, savetujemo vam da to svakako učinite, jer se kazne već uveliko izriču.

Dopao Vam se tekst?
Podelite ga sa prijateljima!

Autor

Milica Bojanić je diplomirani pravnik sa položenim pravosudnim ispitom i decenijskim iskustvom rada u kompanijama koje i zastupa pred sudovima. Oduvek intuitivno veruje, a sada i zna da je promena jedina konstanta, kako u kosmosu i prirodi, tako i u čoveku. Celoživotna opčinjenost knjigama, neobičnim životnim pričama i događajima, pažljivo slušanje i promišljanje, a u skorije vreme i naročito zanimanje za psihologiju, iznedrili su zaljubljenost u pisanje.

Više o Milici